有 ipv6 以后,要如何做内网的安全策略?

2018-12-23 22:50:47 +08:00
 internelp
今天换了宽带,发现有 v6 了。
Nas 裸奔,没敢开 v6。
7712 次点击
所在节点    宽带症候群
28 条回复
ixiaoyui
2018-12-24 16:28:17 +08:00
自反 acl
qwvy2g
2018-12-24 16:38:38 +08:00
ipv6 防火墙规则不好设置,每次拨号地址变化,只能把全部 ipv6 地址段的某个端口对外打开。也可能家用路由 ipv6 防火墙太弱了。
internelp
2018-12-24 17:11:42 +08:00
@BOYPT padavan 路由器,我试了一下,默认可以直接访问内网的机器。
sunjian0000000
2018-12-24 17:12:47 +08:00
@qwvy2g 没有固定地址才那么不方便,都只是因为没有加钱。。。世界加钱可及,电信政企客户经理的 ipv6 固定地址报价出来好久了。
pinews
2018-12-24 17:56:57 +08:00
@pinews 是软件的问题,wampserver 我改了设置还是不行,下了个 xampp 可以了
BOYPT
2018-12-24 19:13:33 +08:00
@internelp #23 只是能 ping 吧,这是我 padavan 里面默认的 ip6tables 规则,只允许转发了 ICMP6.,546 547 是 DHCPv6 用,没有其他能用的规则。

想要指定特定地址可被访问,需要加入
-A FORWARD -d ::xxxx/::ffff:ffff:ffff:ffff -j ACCEPT


# ip6tables-save
# Generated by ip6tables-save v1.4.16.3 on Mon Dec 24 19:10:59 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [19:2254]
:OUTPUT ACCEPT [35640:5842391]
:bfplimit - [0:0]
:upnp - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD ! -o br0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -j upnp
cwbsw
2018-12-24 19:18:02 +08:00
@qwvy2g
可以匹配后缀的,就是子网掩码的原理,linux based 就行。
https://www.v2ex.com/t/486379#r_6130381
ritaswc
2018-12-25 11:16:46 +08:00
@pinews ipv6 手机是可以被访问的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/520276

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX