国内的运营商分配的 IPv6 前缀不固定,请问防火墙应该如何配置?

2023-02-02 10:01:14 +08:00
 keyfunc

电信很早以前就开始分配长度为 56 的前缀了,但家里有很多智能家居设备和一些压根没防火墙的设备,担心存在安全风险,所以 IPv6 一直是关闭的。

这段时间发现用 P2P 下载时,如果启用了 IPv6 ,整体下载速度能快上不少,所以打算开始用上 IPv6 。 目前在路由侧配置部份防火墙规则,但可以确定的地址也就一些 ULA 和 LLA 地址,GUA 地址是不固定的,所以不太清楚这类地址的规则应该如何配置了。

我需求十分简单,对部份自带防火墙的主机开放所有入站访问,其他主机按实际情况开放个别端口,其他的全部 Drop 掉。

有一些问题想请教大家:

  1. 前缀不固定
  2. IPv6 地址采用的是 SLAAC 方式分配,我不太清楚这种分配方式接口地址是否固定
  3. 设备如何静态配置 IPv6 地址?

因为网络知识比较匮乏,所有来请教下 V2 的大佬们,各位家里用 IPv6 的话,网络是如何规划的?

2040 次点击
所在节点    IPv6
5 条回复
billgong
2023-02-02 10:03:47 +08:00
我这边 SLAAC 是每户一个 /56 的地址固定的,然后我在 pfSense 里划一个 /64 作为内网。我发现设备实际上通过 SLAAC 拿到的地址是和 MAC 绑定的,并不会变。但地方运营商怎么搞我就不知道了。
kuaner
2023-02-02 10:10:26 +08:00
用后缀匹配,一般后缀是固定的
::5:6:7:8/::ffff:ffff:ffff:ffff
如果给你分配了有状态的地址,openwrt 的防火墙可以这样匹配规则
DAPTX4869
2023-02-02 10:23:50 +08:00
openwrt 防火墙默认是外部全关的, 没这种烦恼
用到的时候放开端口就好了
keyfunc
2023-02-02 13:23:16 +08:00
@kuaner 我试试你这种方式,我的主路由是 routeros 的,看下是否支持,谢谢
keyfunc
2023-02-02 13:24:34 +08:00
@billgong 好像 Windows 的设备接口地址是随机的,不是 EUI64 ,不知道他的随机会不会变。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/912465

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX