这是一个创建于 712 天前的主题,其中的信息可能已经有所发展或是发生改变。
主路由是 openwrt ,想通过公网访问与主路由连接的群晖 NAS ,家里宽带只有动态 IPv6 的公网 IP ,该如何配置 openwrt 的防火墙规则呢?
iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
请教一下各位有什么好方法吗?
iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
请教一下各位有什么好方法吗?
第 1 条附言 2024-01-01 16:45:08 +08:00
 | 1 kaedeair 2024-01-01 13:27:54 +08:00 via Android  1 放行目的地 ip 地址::xxxx:xxxx:xxxx:xxxx/::ffff:ffff:ffff:ffff |
 | 2 lcdtyph 2024-01-01 13:31:24 +08:00 via iPhone 1 1. 可以像一楼那样匹配后缀,但这需要该设备支持获取 dhcpv6 并禁用 slaac 2. 可以匹配该设备的 mac 地址,luci 界面上可以选 |
 | 3 cpstar 2024-01-01 13:59:42 +08:00 只是放行目标地址(也就是 NAS 设备)么?放行 NAS 端口不就好了,然后 NAS 做 AAAA 的 DDNS ,至于获取 IP ,本机获取 V6 地址的方法千千万。 |
 | 4 proxytoworld 2024-01-01 14:39:59 +08:00 iptables 可以放行范围吧,你家 IP 不可能不重复吧 |
 | 5 WhatTheBridgeSay 2024-01-01 14:43:15 +08:00 感觉像是 V4 过度到 V6 还不太适应的样子,楼上怎么还有 DDNS 的....IPV6 的防火墙在你的群晖上 |
| 6 WhatTheBridgeSay 2024-01-01 14:43:48 +08:00 抱歉,楼上说 NAS 的 DDNS 并没有错,是我看叉劈了 |
 | 7 acbot 2024-01-01 14:49:43 +08:00 @lcdtyph 是的,IPv6 防火墙有一个特性,可以后缀匹配! 但 “ ... 这需要该设备支持获取 dhcpv6 并禁用 slaac ... ” 这个说法应该不严谨,slaac 也可以做到让机器后缀固定,只是要在相应的操作系统上调整地址生成的参数,并且 slaac 是 ipv6 更推荐的地址分配方式,兼容性也高于 dhcpv6 (因为早期的安卓系统就不支持 dhcpv6 )系统上再开启隐私扩展更安全。 |
| 8 WhatTheBridgeSay 2024-01-01 14:51:04 +08:00 看了一下 OpenWrt 默认防火墙配置确实是拒绝转发的。 1. 如果你给群晖配置的后缀固定(不管是 slaac 还是 dhcp6)的话可以针对后缀设置防火墙放行 2. 也可以针对所有 IPV6 放行,允许从 wan 区域转发到 lan 区域,让 IPV6 发挥最大价值,当然如果采用后者拥有 IPV6 的机器本身防火墙还是有必要开一开的,虽然理论上 IPV6 基本不可扫描。  |
| 11 acbot 2024-01-02 09:00:11 +08:00 |
 | 12 jiuyl 2024-01-02 10:07:04 +08:00 问题是,指定后缀放行了。 家里地址变更,你在外网,怎样知道家里的前缀呢。 |
 | 13 tsanie 2024-01-02 10:22:24 +08:00 openwrt 后缀匹配支持::a:b:c:d/-64 这种写法,建议少些几个字 (虽然最终生成到 nft 里还是/::ffff:ffff:ffff:ffff ) |
| 15 acbot 2024-01-02 10:50:53 +08:00 @qianxu2001 我只知道老版本(大约:android 8 之前)是确定不支持, 新版本(大约:android 9 以后)是否支持,说法就是五花八门了(有说支持的,有说要特定厂家定制版本支持的,也有说不支持的),我也没办法去都去验证,所以我只能说老版本了! |
 | 16 ysc3839 2024-01-02 18:12:24 +08:00 via Android 匹配 MAC 地址 |
 | 17 v2yoog 2024-01-04 09:51:38 +08:00 架设 vpn 组内网就好了 |
Select Language