家庭用户的 ipv6 基本都是动态 IP,那么路由上针对单独某台机器的防火墙策略该怎么做呢?

2019-01-30 19:45:55 +08:00
 Danswerme

需求:可以访问内网资源,所有向外部网络发起的请求全部拒绝.

在 ipv4 下很好做,内网都是静态 IP,我使用的是 RouterOS 路由器,直接写一条这台机器目标地址非内网网段的连接全部 drop 的规则就好了。

但是在 ipv6 下,由 ISP 分配的前缀是会变化的,而后 64bit 的接口标识符,有的设备会遵循 IEEE EUI-64 标准,后缀也就是接口标识符保持不变,这时候使用脚本判断标识符还可以做一下相应的策略。

例如我下面上图的这台运行 ESXI 的主机,无论前缀怎么变化,它的接口标识符从未发生过变化。

而有的设备,例如安卓手机,还有运行 macOS 的电脑,接口标识符在在前缀变化后也会跟着变化,这样一来完全不知道该怎么写 ipv6 的防火墙规则了,还请各位 V 友不吝赐教.

2167 次点击
所在节点    问与答
7 条回复
ysc3839
2019-01-30 20:24:02 +08:00
DHCPv6 分配固定的 IP 地址也许可以?
Danswerme
2019-01-30 21:07:01 +08:00
@ysc3839 因为电信分配的是 /64,所以只好用 slaac
yzwduck
2019-01-30 22:08:54 +08:00
之前有一个相关的讨论,可以参考一下 https://www.v2ex.com/t/530084
或者想办法在终端上禁用 IPv6 Privacy Extensions ?
Danswerme
2019-01-30 22:29:55 +08:00
@yzwduck 谢谢!找到了相关资料,只是 macos 似乎暂时没有办法可以关闭随机生成接口 ID。

https://arstechnica.com/gadgets/2016/09/macos-10-12-sierra-the-ars-technica-review/6/

https://superuser.com/questions/243669/how-to-avoid-exposing-my-mac-address-when-using-ipv6

https://discussions.apple.com/thread/7684138

https://apple.stackexchange.com/questions/254778/sierra-has-changed-ipv6-link-local-addressing-why-how
Danswerme
2019-01-30 22:40:21 +08:00
@yzwduck 另外隐私扩展地址和 EUI-64 是两码事,前者是生成一个临时的 ip 地址,用来向外发起请求隐藏自己的真实地址,这就是为什么设备一般会有两个 v6 地址的原因。
后者则是根据 mac 地址计算出的接口 ID,而 Windows 和 macOS 没有使用 mac 地址来计算接口 ID,用的是其他方法随机(?)生成的接口 ID
Danswerme
2019-01-30 22:49:00 +08:00
https://groups.google.com/forum/m/#!topic/ipv6hackers/TQ5PggDXZ0Y
yzwduck
2019-01-30 23:05:58 +08:00
我是想通过禁用 IPv6 Privacy Extensions 来强制设备根据 EUI-64 使用 MAC 地址来生成后缀固定的 ipv6 地址。
不过目前我的路由器无法接入 v6 的网络,自身对 ipv6 网络也不熟悉,如有错误 希望各位 V 友能批评指教。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/531965

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX