ip6tables 怎么设置仅放行同一网络(同一前缀)的请求

2021-07-03 23:38:04 +08:00
 takeshima
以前 ipv4 的话,只需要放行指定的几个内网的 ip 段就行了,但是 ipv6 的话统统都是公网,有什么办法能仅放行同一局域网下的请求吗,每次重连前缀都会变的,不可能每次连接后都改一次 ip6tables 。
2512 次点击
所在节点    Linux
12 条回复
NSAgold
2021-07-03 23:58:24 +08:00
ipv6 有局域网网段 fe80 开头的。内网可以通过这个 ip 来互相访问
ihipop
2021-07-04 08:09:16 +08:00
同一局域网又不走防火墙

ip6tables 支持后缀匹配
billlee
2021-07-04 11:12:16 +08:00
一般的路由器默认会拦截外部的流量吧
liuxu
2021-07-04 22:35:03 +08:00
路由都是 nat 出去的,放心进不来,tcp/ip 原理没变朋友,ipv6 也有内网段
qbqbqbqb
2021-07-06 11:37:40 +08:00
后缀匹配,写法是“IPv6 地址 /::ffff:ffff:ffff:ffff”
qbqbqbqb
2021-07-06 11:50:11 +08:00
@liuxu "路由都是 nat 出去"不对吧。路由是网络层( IP 协议,这里还不涉及 TCP )的功能; NAT 涉及 TCP,UDP 的端口号,是传输层的功能,一般都和防火墙一起实现。显然是两种东西。只是说家用路由在 IPv4 上都固化了 NAT 功能(因为是目前的民用宽带 IPv4 接入给多台设备上网所必须的功能)而已。从原理上来看,早期 IP 充足的时候,TCP/IP 没有 NAT 也是能正常运作的。

以目前的民用宽带 IPv6 部署情况来看,上公网一律用 2 开头的公网地址。fc 开头的“内网段”只能用于内网内部通信,相应的数据包永远不会进入公网,而且一般家用路由不会配置这个段。另外还有 fe80 开头的链路内地址,也是不可能上公网的。并不存在“NAT 出去”的情况。
liuxu
2021-07-06 12:08:00 +08:00
@qbqbqbqb 明天早上睡醒了洗把脸,再重新看看我在说什么,你在说什么
qbqbqbqb
2021-07-06 12:26:53 +08:00
@liuxu 我只是指出你说的“路由都是 nat 出去的,放心进不来”有事实错误。你上个 ipv6 测试站,再比对一下网站上显示的你的 IP 地址和本机 ipconfig 里的“临时 IPv6 地址”一不一样,就知道到底是不是“nat 出去的”了。路由器拦不拦截传入 IPv6 连接也是要看具体设备的,如果路由器或路由模式光猫碰巧不默认开启防火墙,客户端也没开防火墙,还真“进得来”
liuxu
2021-07-06 14:56:47 +08:00
@qbqbqbqb

v2ex 的人谁不知道路由是传输层,nat 是会话层的东西。你去买 10 个路由器,看看是不是都带 nat,是不是都默认都把防火墙打开了。事实错误,那你把统计数据发出来,没个测试数据支撑你能说你是事实正确么小兄弟。讲碰巧,你的巧碰的也太多了,整个 V2EX 谁不知道都没有防火墙就可以进的来。

本来我是准备说 ip 层和 tcp 层的,我又改成传输层和会话层了,免得你再钻。逗号句号我也改标准了,免得你说我标点符号用的不对。
qbqbqbqb
2021-07-06 16:00:30 +08:00
@liuxu

搞清楚,本贴里讨论的是**IPv6**。你说都有 NAT,那是 IPv4,跑题了。

你去买 10 个路由器,看看是不是都有 IPv6 NAT 。现在国内家用路由(不考虑刷机的),也就小米有 NAT6 (而且也是备用方案,仅推荐在 Native IPv6 不可用的时候使用),其它的 TP, ASUS, NETGEAR,对于 IPv6 都是只分配 2 开头的全球单播地址。
qbqbqbqb
2021-07-06 16:14:49 +08:00
@liuxu IPv6 相比 IPv4 一大特点就是弃用 NAT 你不知道?楼主问 IPv6 防火墙怎么设,你上来就是一句“路由都是 nat 出去”,事实上同一个路由器只有 IPv4 流量才 NAT,IPv6 无 NAT,那你这个不是事实错误?
liuxu
2021-07-06 16:46:47 +08:00
@qbqbqbqb 已 block

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/787383

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX