目前的配置如下
接口配置
https://imgur.com/Y3ecuSe<img src="
https://imgur.com/Y3ecuSe.png">
防火墙-区域配置-常规
https://imgur.com/L2wIxke<img src="
https://imgur.com/L2wIxke.png">
防火墙-区域配置-区域
https://imgur.com/YRRIhhC<img src="
https://imgur.com/YRRIhhC.png">
目前的症状:
外部主机可以 ping 通`pppoe-wan`口的 ipv4 、ipv6 地址(双栈正常访问)以及 nmap 访问防火墙上的对应开发端口
外部主机可以 ping 通`lan`、`docker_app_*`的::/64 长度的 ipv6 公有网关地址,以及通过虚拟局域网( wireguard )访问::/64 长度的 ipv6 私有网关地址
外部主机无法 ping 通`lan`、`docker_app_*`下任何主机的公有 ipv6 地址,也无法 nmap 这些主机上暴露的服务端口。openwrt 主机自身是可以访问的,并且,`lan`下的主机也是可以 ping 和 nmap 访问`docker_app_*`接口下主机的公有 ipv6 地址的
搞不懂的问题:
- 由于`lan`和`docker_app_*`接口上的 ipv6 地址是从 wan 口的 ipv6 前缀委托而来,那么,它受防火墙的哪个区域的规则控制?比如,不接受 wan 区域入站,是否意味着,这些从 wan 区域委托得到的 ipv6 地址都是拒绝入站的?还是说由于他们的地址是分配到`lan`或`docker_app_*`的接口上的主机的,所以,适用于`lan`或`docker_app_*`区域的入站规则?
- OpenWrt 的防火墙控制(入站出站转发)没有区分 ipv4/6 ,但是,目前所有主机都是可以有公有和私有两种 ipv6 地址的(通过前缀过滤器,可以过滤掉私有 ipv6 地址),那么,怎么在防火墙上区分开来控制?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/1092628
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.