动态公网 IP,如何配置 openwrt 防火墙,仅放行指定设备?

356 天前
 yodhcn
主路由是 openwrt ,想通过公网访问与主路由连接的群晖 NAS ,家里宽带只有动态 IPv6 的公网 IP ,该如何配置 openwrt 的防火墙规则呢?
iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
请教一下各位有什么好方法吗?
2940 次点击
所在节点    程序员
17 条回复
kaedeair
356 天前
放行目的地 ip 地址::xxxx:xxxx:xxxx:xxxx/::ffff:ffff:ffff:ffff
lcdtyph
356 天前
1. 可以像一楼那样匹配后缀,但这需要该设备支持获取 dhcpv6 并禁用 slaac
2. 可以匹配该设备的 mac 地址,luci 界面上可以选
cpstar
356 天前
只是放行目标地址(也就是 NAS 设备)么?放行 NAS 端口不就好了,然后 NAS 做 AAAA 的 DDNS ,至于获取 IP ,本机获取 V6 地址的方法千千万。
proxytoworld
356 天前
iptables 可以放行范围吧,你家 IP 不可能不重复吧
WhatTheBridgeSay
356 天前
感觉像是 V4 过度到 V6 还不太适应的样子,楼上怎么还有 DDNS 的....IPV6 的防火墙在你的群晖上
WhatTheBridgeSay
356 天前
抱歉,楼上说 NAS 的 DDNS 并没有错,是我看叉劈了
acbot
356 天前
@lcdtyph

是的,IPv6 防火墙有一个特性,可以后缀匹配!

但 “ ... 这需要该设备支持获取 dhcpv6 并禁用 slaac ... ” 这个说法应该不严谨,slaac 也可以做到让机器后缀固定,只是要在相应的操作系统上调整地址生成的参数,并且 slaac 是 ipv6 更推荐的地址分配方式,兼容性也高于 dhcpv6 (因为早期的安卓系统就不支持 dhcpv6 )系统上再开启隐私扩展更安全。
WhatTheBridgeSay
356 天前
看了一下 OpenWrt 默认防火墙配置确实是拒绝转发的。
1. 如果你给群晖配置的后缀固定(不管是 slaac 还是 dhcp6)的话可以针对后缀设置防火墙放行
2. 也可以针对所有 IPV6 放行,允许从 wan 区域转发到 lan 区域,让 IPV6 发挥最大价值,当然如果采用后者拥有 IPV6 的机器本身防火墙还是有必要开一开的,虽然理论上 IPV6 基本不可扫描。

gudako
356 天前
@acbot 请问安卓可以调整*地址生成参数*来固定通过 slaac 获取的 ipv6 后缀吗?
lcdtyph
356 天前
@acbot 是的可以设置成 eui64 生成固定后缀
acbot
355 天前
@gudako

我记得 android 默认就是开启隐私模式,slaac 模式下默认就是两个地址, 一个 eui64 后缀(固定) 一个随机后缀,至于能不能修改我没有研究过!
jiuyl
355 天前
问题是,指定后缀放行了。 家里地址变更,你在外网,怎样知道家里的前缀呢。
tsanie
355 天前
openwrt 后缀匹配支持::a:b:c:d/-64 这种写法,建议少些几个字

(虽然最终生成到 nft 里还是/::ffff:ffff:ffff:ffff )
qianxu2001
355 天前
@acbot 不是早期,现在也不支持,且以后也不会支持
acbot
355 天前
@qianxu2001 我只知道老版本(大约:android 8 之前)是确定不支持, 新版本(大约:android 9 以后)是否支持,说法就是五花八门了(有说支持的,有说要特定厂家定制版本支持的,也有说不支持的),我也没办法去都去验证,所以我只能说老版本了!
ysc3839
355 天前
匹配 MAC 地址
v2yoog
353 天前
架设 vpn 组内网就好了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1004926

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX