关于 Openwrt 获取 ipv6 的安全疑问

2022-04-20 11:43:59 +08:00
 yzc27

自用 Openwrt ( LEDE )作为“旁路由”,主路由不动,openwrt 的 LAN 口网关和 dns 都指向主路由( Linksys ),有需要的设备手动改网关和 dns 指向旁路由。

之前发现 isp 已经有公网 ipv6 了,所以根据网上的一些教程,新建了个 LAN6 口获得了公网 ipv6 。

后来看了下防火墙发现基本设置那里的“出站”、“入站”、“转发”都是“接受”(类似下图),也没看到有特别的规则对 ipv6 进行拦截,之前看网上说 ipv6 是直接把设备暴露在公网上。

对此想请教大家,我这么设置获得 ipv6 的话,对于这个旁路由安不安全?如果不安全的话,openwrt 里的防火墙要怎样设置比较好?

3290 次点击
所在节点    宽带症候群
12 条回复
yinxiangbiji
2022-04-20 12:37:11 +08:00
想用 ipv6 就不要用 openwrt ,想用 openwrt 就不要用它的 ipv6
yzc27
2022-04-20 12:51:50 +08:00
@yinxiangbiji 为啥呢?
qbqbqbqb
2022-04-20 13:39:13 +08:00
默认设置是允许 LAN=>WAN ,不允许 WAN=>LAN ,是有限制的。

这里是你理解错了。防火墙基本设置里面入站 /出站 /转发是对路由器本身来说的,入站是外网或者内网到路由器本身的流量(比如说自己访问路由器控制面板就属于这一类),出站是路由器本身到外网或者内网的流量(比如说路由器里面在线安装 OpenWRT 插件就属于这一类),转发是不同网络之间不涉及路由器本身的流量(正常上网的流量都属于这一类)。第一行源区域是 LAN ,“出站”“入站”“转发”都是接受,指的是从 LAN 到路由器,路由器到 LAN ,LAN 到其它区域(目前只有一个 WAN ),这三个肯定默认是不限制。第二行源区域 WAN ,“入站”“转发”是拒绝,这个才是默认阻止外网访问内网的设置。

你理解的外网内网之间的入站 /出站,实际上对应的是这里“转发”这一列,第一行 LAN=>WAN 的“转发”就相当于内网设备的出站,第二行 WAN=>REJECT(因为后面转发设置为拒绝了,不然这里是 LAN)的“转发”相当于内网设备的入站,这个默认是拒绝,所以其实是有限制的,不会直接把内网设备暴露在公网。
qbqbqbqb
2022-04-20 13:47:37 +08:00
@qbqbqbqb #3 是针对 OpenWRT 做主路由来说的。对于旁路由的话相当于路由器本身只有一个 LAN 区域。这样的话 IPv6 是否直接暴露是要看你的主路由有没有防火墙。

如果主路由没有防火墙的话是可能有一定风险。但是因为只有一个 LAN 区域,你这里把入站设为拒绝的话旁路由也没法正常工作了。建议还是优先确认主路由上的防火墙。想配置旁路由防火墙的话得用规则匹配前缀,但家宽的前缀又是动态的,比较麻烦。
qbqbqbqb
2022-04-20 13:50:26 +08:00
如果旁路由只做 IPv4 网关的话(本来 IPv6 也不方便用旁路由代理),可以考虑直接在防火墙的自定义规则里加一条只阻止 IPv6 协议入站的规则。
yzc27
2022-04-20 13:55:20 +08:00
@qbqbqbqb #5 对,我就只用来做旁路由。

我设 ipv6 主要是想在外面通过 ipv6 连 openvpn 回家里内网。

如果按你所说,为了安全,可不可以防火墙的自定义规则里,针对 ipv6 协议的,只接受某个端口入站,而其他入站全拒绝掉的规则?
qbqbqbqb
2022-04-20 13:59:00 +08:00
@yzc27 可以的,最简单就是加两条规则,一条阻止所有 IPv6 端口入站,一条允许 openvpn 端口,然后注意一下顺序就行(如果顺序错了就都阻止了)。
yzc27
2022-04-20 14:01:22 +08:00
@qbqbqbqb #7 可否请教这两条规则(同时支持 tcp 和 udp )怎么写?对 ipv6 不熟。
yzc27
2022-04-20 14:02:14 +08:00
@qbqbqbqb #4 我主路由是 Linksys 的,里面有个默认开着的 IPv6 SPI Firewall Protection ,不确定是不是就是 ipv6 的防火墙。
!()[https://www.linksys.com/support/images/KB24991-002_EN_v1.png]
huangya
2022-04-21 10:50:56 +08:00
@yzc27 理论上,你主路由的防火墙会阻止 internet 那边主动发来的请求,是不能主动连接到你内网的 IPv6 机器上开放的服务的,比如你现在的 OpenVPN.如果你主路由上不添加规则放行也能通,说明你主路由的防火墙有安全漏洞.
cwbsw
2022-04-21 13:48:46 +08:00
一楼什么鬼? OpenWrt 是目前对 IPv6 支持非常好的选择,吊打很多人吹捧的 RouterOS 。
fengchen0vr
2022-04-22 22:19:43 +08:00
防火墙应该设置在你的出口网关上,而不是旁路由
而且你的旁路由是 lan-lan 吧,这是走的网桥,你得用 ebtables 加规则

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/848096

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX