威联通 有时候需要外网访问,平时怎么屏蔽?路由器是 OpenWrt 的

2022-02-16 10:08:31 +08:00
 abc8678

前两天第一次通过 IPv6 访问 nas ,用 IP 加端口或域名加端口就可以使用了。在外面用起来比 zerotier 快多了。但 quFirewall 源源不断的提示,有人尝试登录。 一开始以为是 myqnapcloud 域名很容易被盯上,于是按照网上的教程,在阿里云买了个域名,如何在威联通里通过 docker 装上 aliyunddns ,再搞一个 SSL 证书。还是有人访问,他似乎是用 ipv6 地址访问的,而不是用域名访问的。 请问如何在路由器实现屏蔽?效果:内网随便访问,外网用 iptables 屏蔽。需要时通过 zerotier 访问路由器,加个#符号注释一下。 在路由器屏蔽期间,有没有必要关闭威联通里的 docker ? nas 里的"固件更新"等程序能联网吗?

2542 次点击
所在节点    OpenWrt
17 条回复
lifanxi
2022-02-16 10:13:23 +08:00
可以考虑更轻量的 Port knocking 方案
SenLief
2022-02-16 11:28:27 +08:00
openwrt 不知道有没有不允许外网通过 ipv6 访问路由器的 web 功能。
zxqkyle
2022-02-16 11:55:54 +08:00
开启 ipv6 防火墙,禁止所有 input 和 forward
CKR
2022-02-16 12:22:55 +08:00
不给 nas 分配 ipv6 ,然后 zerotier 或者 vpn 连回去再用内网地址连接
abc8678
2022-02-16 12:29:20 +08:00
@CKR 我之前这样用很久了,又回头了……
abc8678
2022-02-16 12:42:17 +08:00
@zxqkyle 我刚才把 wan6 接口给点击关闭了,外面用 ipv6 地址无法访问了。当然,ipv4 地址也不能访问了,因为家里的 ipv4 不是公网。可阿里云那个域名依然可以访问,而且在无 ipv6 的情况下也能访问 nas ,不知道他怎么实现的 小白表示很神奇
abc8678
2022-02-16 12:59:27 +08:00
搞定了,把 wan 口的“获取 ipv6 地址”改为“已禁用”,把 lan 口的“ipv6 分配长度”改为“已禁用”,外面就无法访问了。然后失联了十秒钟,之后又可以继续远程回家里操作路由器了
pxiphx891
2022-02-16 13:00:35 +08:00
wireguard
abc8678
2022-02-16 13:39:28 +08:00
ipv6 关了,短时间内没警告了。没想到过了一段时间,又来了"the denied amount reach the set threshold : 300"难道我理解错这句英语的意思了?这不是别人登录被拒绝的意思吗?源源不断遇到这个提示
RheatiN
2022-02-16 14:44:20 +08:00
我是路由器开的代理,然后开着代理,局域网连回自家的 qnap ,而且 qnap 的 conrolPanel->security 里可以设置 ip 的黑白名单模式,也可设置连几次失败,自动 ban ip 的功能
abc8678
2022-02-16 15:37:56 +08:00
@RheatiN 威联通里确实有失败后加入黑名单的选项,感觉别人手里一大堆肉鸡 IP
abc8678
2022-02-16 17:19:21 +08:00
@RheatiN 我自己的设备也不是静态 IP 啊。想搞个类似于验证码的方法,连接前 手动通过 Skype 发送自己的 IP 给机器人,才允许访问。或者,不知道能不能实现证书识别,就是我手机里装个证书,我的手机才能访问 nas ,其他设备不装证书就无法访问 nas 。。之类的办法
abc8678
2022-02-16 18:06:28 +08:00
看了一下记录,大多数是 ipv4 地址扫描的,可我的 ipv4 并不是公网啊。我想在 nas 上设置阻止 ipv4 访问,但这样做的话,我回到家里就无法局域网连接 nas 了
RheatiN
2022-02-17 08:23:11 +08:00
@abc8678 给你想个馊主意,ip 白名单模式下,找个支持 ipv6 的 vps 或者固定代理,只允许代理的 ip ,然后通过代理连回去,哈哈哈。
abc8678
2022-02-17 17:57:04 +08:00
@RheatiN 源源不断的警报已经断了。我把 IP 白名单设置了一下,虽然我手中的设备的 IPv6 地址是不断变化的,但前半部分还能根据三大运营商找到一些共同点。弄完之后,从原来的几千次访问报警变成了几十次访问。剩下的难啃的骨头,是 ipv4 在访问我。我明明没有 ipv4 的公网 IP 。我想关掉 v4 访问,除了家里局域网
abc8678
2022-02-17 17:58:21 +08:00
@RheatiN 白名单按照三大运营商前缀设置好之后,没有了大多数的国外访问了。之前大多数警报都是美国、荷兰等地方
serafin
2022-07-10 00:41:08 +08:00
nas 防火墙白名单设一个你移动运营商的 ip 段,被同城移动网络 ip 攻击的概率还是比较低的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/834153

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX