1
dant 2023-11-07 17:19:03 +08:00
也可以在 luci 中添加 firewall rule ,给特定 MAC 地址阻断 ICMPv6/DHCPv6
|
2
a90405 OP @dant #1 我研究了一下,只要开了路由器定期发送的 RA ,客户端开了 SLAAC ,就没办法阻止客户获得 ipv6 地址,顶楼的防火墙只能阻挡客户端刚接入网络时候的请求 IPV6 地址发送的 RS ,从而让客户端立即接收不到路由器回播的单播 RA 消息,从而让客户端一开始没法获取 IPV6 地址,直到下一次的路由器主动发送的组播 RA 消息。
路由器定期的 RA 组播消息,它发送到 FF02::1 这个目标地址的,这个地址是所有 ipv6 客户端所在的组播地址,所有只要开了 ipv6 协议,有链路本地 ipv6 FE80 开头的那个地址的机器都能收到。 所以说,在路由器上阻止特定客户端获取 Ipv6 地址是没办法的,至少 openwrt 的 odhcpd 是没有办法的。 所以说本贴作废。 |
3
ranaanna 2023-11-09 22:53:52 +08:00
@a90405 同意。不过在路由器上可以配置向其发送路由通告并接受路由请求的客户端列表,也就是 RADVD 的 clients{};。这样路由器只会发送 RA 到列表中的单播地址而不会发送到组播地址,来自其它地址的请求也会被拒绝。当然 OP 想要实现的,是一个黑名单,而这是个白名单
|
4
beyondstars 2023-11-17 12:17:01 +08:00
如果不限定于纯软件方法的话,可以考虑 VLAN ,主路由器的 LAN 口连接到 port 0, 一个 IPv4 only 的路由器接到 port 1 ,不允许获取 IPv6 地址到机器接到 port 2, 然后 port 0, port 1 属于 VLAN 1, port 1, port 2 属于 VLAN 2, port 1 设定为汇聚端口。这时如果在主路由 ping ff02::1 这个地址应该只收到连接到 port 0, port 1 两台主机的回复。
这样从主路由发出的 RA 广播帧就不会到达受限制获取 IPv6 地址的那台机器了。 |
5
beyondstars 2023-11-17 12:21:52 +08:00
有的交换机支持 IPv6 RA Guard 功能,可以屏蔽特定条件的 RA 帧,不过这个我没有仔细了解过。https://networklessons.com/cisco/ccie-routing-switching-written/ipv6-ra-guard
|