校园网只分配了/128 的 ipv6,所以用了 nat66,但只想给内网下部分设备分配 ipv6,请问有方法吗?

2022-12-12 16:44:22 +08:00
 yanyumihuang
路由器是 padavan
需求就是在开启 nat66 的情况下只给某个设备分配 ipv6 。之前分配的是 /60 时可以用以下脚本
ip6tables -A input_lan_rule -i br-lan -p ipv6-icmp -m mac ! --mac-source FC7C02D07D21 -j DROP
ip6tables -A input_lan_rule -i br-lan -p udp --dport 547 -m mac ! --mac-source FC7C02D07D21-j DROP
但在 nat66 条件下不生效。
上面的脚本也是在 v 站搜到的
https://www.v2ex.com/t/664819
1465 次点击
所在节点    宽带症候群
8 条回复
feng0vx
2022-12-13 08:08:56 +08:00
楼主这样是不是桥接就可以了,ebtables 可以过滤网桥上的包
yanyumihuang
2022-12-13 08:57:36 +08:00
学校用的锐捷,在路由器上用 mentohust 进行的认证。我去看看 ebtables 的用法
@feng0vx
TESTFLIGHT2021
2022-12-13 09:46:03 +08:00
IPV6 PASSTHROUGH
yanyumihuang
2022-12-13 10:47:20 +08:00
@TESTFLIGHT2021 我去看看
ysc3839
2022-12-13 10:52:25 +08:00
确定校园网不是 SLAAC 给一个段?建议电脑直连网线抓包看看。如果是 SLAAC 的话推荐用 OpenWrt SLAAC relay 。
TESTFLIGHT2021
2022-12-13 12:10:44 +08:00
学校一般 IPV6 不需要认证 V4 不认证不让外网,可以校内网
yanyumihuang
2022-12-13 13:30:05 +08:00
@TESTFLIGHT2021 我校需要,认证后才分配 ipv6
@ysc3839 我去看看
setrmrf
2022-12-18 21:27:09 +08:00
可以自己做 IPV6-NAT ,然后内网设备做 static ipv6,isc-dhcp-server 也能做到给特定设备分配
但是不要尝试开启 slaac ,这会导致不可控
anyway ,你可以 drop 掉非特定设备的 ipv6(via nftables reject)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/901984

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX