关于 Openwrt 获取 ipv6 的安全疑问

想用 ipv6 就不要用 openwrt ，想用 openwrt 就不要用它的 ipv6

@yinxiangbiji 为啥呢？

默认设置是允许 LAN=>WAN ，不允许 WAN=>LAN ，是有限制的。

这里是你理解错了。防火墙基本设置里面入站 /出站 /转发是对路由器本身来说的，入站是外网或者内网到路由器本身的流量（比如说自己访问路由器控制面板就属于这一类），出站是路由器本身到外网或者内网的流量（比如说路由器里面在线安装 OpenWRT 插件就属于这一类），转发是不同网络之间不涉及路由器本身的流量（正常上网的流量都属于这一类）。第一行源区域是 LAN ，“出站”“入站”“转发”都是接受，指的是从 LAN 到路由器，路由器到 LAN ，LAN 到其它区域（目前只有一个 WAN ），这三个肯定默认是不限制。第二行源区域 WAN ，“入站”“转发”是拒绝，这个才是默认阻止外网访问内网的设置。

你理解的外网内网之间的入站 /出站，实际上对应的是这里“转发”这一列，第一行 LAN=>WAN 的“转发”就相当于内网设备的出站，第二行 WAN=>REJECT(因为后面转发设置为拒绝了，不然这里是 LAN)的“转发”相当于内网设备的入站，这个默认是拒绝，所以其实是有限制的，不会直接把内网设备暴露在公网。

@qbqbqbqb #3 是针对 OpenWRT 做主路由来说的。对于旁路由的话相当于路由器本身只有一个 LAN 区域。这样的话 IPv6 是否直接暴露是要看你的主路由有没有防火墙。

如果主路由没有防火墙的话是可能有一定风险。但是因为只有一个 LAN 区域，你这里把入站设为拒绝的话旁路由也没法正常工作了。建议还是优先确认主路由上的防火墙。想配置旁路由防火墙的话得用规则匹配前缀，但家宽的前缀又是动态的，比较麻烦。

如果旁路由只做 IPv4 网关的话（本来 IPv6 也不方便用旁路由代理），可以考虑直接在防火墙的自定义规则里加一条只阻止 IPv6 协议入站的规则。

@qbqbqbqb #5 对，我就只用来做旁路由。

我设 ipv6 主要是想在外面通过 ipv6 连 openvpn 回家里内网。

如果按你所说，为了安全，可不可以防火墙的自定义规则里，针对 ipv6 协议的，只接受某个端口入站，而其他入站全拒绝掉的规则？

@yzc27 可以的，最简单就是加两条规则，一条阻止所有 IPv6 端口入站，一条允许 openvpn 端口，然后注意一下顺序就行（如果顺序错了就都阻止了）。

@qbqbqbqb #7 可否请教这两条规则（同时支持 tcp 和 udp ）怎么写？对 ipv6 不熟。

@qbqbqbqb #4 我主路由是 Linksys 的，里面有个默认开着的 IPv6 SPI Firewall Protection ，不确定是不是就是 ipv6 的防火墙。
!()[https://www.linksys.com/support/images/KB24991-002_EN_v1.png]

@yzc27 理论上，你主路由的防火墙会阻止 internet 那边主动发来的请求，是不能主动连接到你内网的 IPv6 机器上开放的服务的，比如你现在的 OpenVPN.如果你主路由上不添加规则放行也能通，说明你主路由的防火墙有安全漏洞.

一楼什么鬼？ OpenWrt 是目前对 IPv6 支持非常好的选择，吊打很多人吹捧的 RouterOS 。

防火墙应该设置在你的出口网关上，而不是旁路由
而且你的旁路由是 lan-lan 吧，这是走的网桥，你得用 ebtables 加规则