有 ipv6 以后，要如何做内网的安全策略？

internelp · 2018-12-23T14:50:47Z

今天换了宽带，发现有 v6 了。 Nas 裸奔，没敢开 v6。

IPv6

NAS

内网

裸奔

28 replies • 2018-12-25 11:16:46 +08:00

1

gyuce

Dec 23, 2018

也是自组的 NAS，用的 openmediavault
\*https://www.v2ex.com/t/520273 用 ipv6 访问家里 NAS 上服务的截图，80 端口为管理页面，没有端口转发也可以正常访问。SSH 也可以\*

2

WordTian

Dec 23, 2018 via Android

主要就是端口，管理好对外开放的 tcp/udp 端口和这些端口对应服务就好

3

liuxyon

Dec 23, 2018

禁止入

4

ericww

Dec 24, 2018

所以你们都没有防火墙得吗？

5

omysho

Dec 24, 2018 via Android

路由器防火墙默认禁止入站的，可以放心开

6

wtks1

Dec 24, 2018 via Android

目前来看，光猫分配的 ipv6 地址，都是无法从外部访问到的

7

wtks1

Dec 24, 2018 via Android

明明都是公网，也能访问其他 ipv6 的地址，但就是无法被访问到

8

ShareDuck

Dec 24, 2018

@wtks1 防火墙的设置问题，默认是禁止入连接的。

9

flynaj

Dec 24, 2018 via Android

openwrt 路由器上默认防火墙规则就是禁止联入的，无论 v4,v6,要配置规则才可以，你的理由器系统老了

10

vibbow

Dec 24, 2018

在路由器上默认禁止 wan -> lan 的 ipv6 forwarding

11

pinews

Dec 24, 2018

@ShareDuck 你好，请教一下，我用电脑拨号的，外面无法访问，也是防火墙还是什么原因引起的呢?

12

pinews

Dec 24, 2018

还有现在手机上的 ipv6，如果用手机提供网络服务，外网能访问吗？

13

BOYPT

Dec 24, 2018

1

目前能良好支持 IPv6 的路由系统 openwrt 和 padavan 默认情况下外网都不能和内网的通信的，想要通信需要添加 ip6tables 规则，需要折腾家里 ipv6 访问的可以参考我的博客文章

https://blog.ptsang.net/match-ipv6-dynamic-addresses-in-iptables

14

pinews

Dec 24, 2018

@BOYPT 你好，我是电脑拨号的，怎么弄？

15

BOYPT

Dec 24, 2018

@pinews #14 电脑拨号就设置一下电脑防火墙规则就是了，比如远程桌面的 3389 端口，单机的话 v4/v6 没区别。

16

pinews

Dec 24, 2018

@BOYPT 不懂我开了 80 端口，用 127.0.0.1 可以访问，公网 ipv6 也可以在自己电脑上访问，但外面不行，防火墙没设置过。。

17

xxq2112

Dec 24, 2018 via iPhone

@pinews 试试看把防火墙关闭看看

18

pinews

Dec 24, 2018

@xxq2112 可能是 apache 的访问策略，他这个是自己设置的，不再防火墙里，我等改了试试看

19

Vegetables

Dec 24, 2018 via Android

mark

20

pinews

Dec 24, 2018

还是不能用，不知道是软件问题，还是电信的问题

21

ixiaoyui

Dec 24, 2018

自反 acl

22

qwvy2g

Dec 24, 2018 via Android

ipv6 防火墙规则不好设置，每次拨号地址变化，只能把全部 ipv6 地址段的某个端口对外打开。也可能家用路由 ipv6 防火墙太弱了。

23

internelp

OP

Dec 24, 2018

@BOYPT padavan 路由器，我试了一下，默认可以直接访问内网的机器。

24

sunjian0000000

Dec 24, 2018 via Android

@qwvy2g 没有固定地址才那么不方便，都只是因为没有加钱。。。世界加钱可及，电信政企客户经理的 ipv6 固定地址报价出来好久了。

25

pinews

Dec 24, 2018

@pinews 是软件的问题，wampserver 我改了设置还是不行，下了个 xampp 可以了

26

BOYPT

Dec 24, 2018

@internelp #23 只是能 ping 吧，这是我 padavan 里面默认的 ip6tables 规则，只允许转发了 ICMP6.，546 547 是 DHCPv6 用，没有其他能用的规则。

想要指定特定地址可被访问，需要加入
-A FORWARD -d ::xxxx/::ffff:ffff:ffff:ffff -j ACCEPT

# ip6tables-save
# Generated by ip6tables-save v1.4.16.3 on Mon Dec 24 19:10:59 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [19:2254]
:OUTPUT ACCEPT [35640:5842391]
:bfplimit - [0:0]
:upnp - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD ! -o br0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -j upnp

27

cwbsw

Dec 24, 2018

@qwvy2g
可以匹配后缀的，就是子网掩码的原理，linux based 就行。
https://www.v2ex.com/t/486379#r_6130381

28

ritaswc

Dec 25, 2018

@pinews ipv6 手机是可以被访问的