这是一个创建于 1150 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT ,
一则帖子引发的思考。 路由器开了 ipv6 ,上面挂的旁路由裸奔了。。。
随后,检查了自己的,
我们都知道,路由器防火墙策略通过 wan 和 lan 来进行规则设置的。 在 ipv4 下,wan 口获取的是公网地址( pppoe ,无公网地址的获取的是大局网地址),lan 口一般是私有地址。
而在 ipv6 下呢,无论是 dhcp 还是 slaac 方式获取的,都是公网 ip 。那么,防火墙是如何区分 哪个 ipv6 是 wan , 哪个又是 lan 呢?
我在我的某为 ma5671 光猫上测试发现(光猫拨号,slaac 获取 ipv6 ),光猫自己的 ppp257 接口,会获取到一个 ipv6 。ipv6 防火墙会根据 ppp256 接口所在的 wan 执行 wan 策略。所以,默认情况下,从外部( vps )上一般无法直接访问光猫的 ipv6 。
问题来了,slaac 方式下发给 下挂的设备,(通过 lan 口 连接的如 tv ,n1 软路由等)。
比如,slaac 下发的地址到了 软路由的 eth0, 由于这个 eth0 在 软路由里是划给了 lan 的。所以,在 软路由里,是执行的 lan 策略。这个时候,就出现了裸奔的情况。
同理,通过 lan 口连接的 tv 也是一样的。
 | 1 Tobar 2022-08-26 15:43:11 +08:00 via Android ipv6 通过子网来划分区域 |
 | 2 sujin190 2022-08-26 15:50:18 +08:00 ipv4 除了防火墙外 wan 口有配置 nat ,ipv6 wan 和 lan 应该只有防火墙区别了吧 |
 | 3 heiher 2022-08-26 15:55:00 +08:00 正常情况:IPv4(NAT)、IPv6 ,数据包从 wan 口进入,转发到 lan 口上连接的终端设备,都是经过 iptables filter 表 forward 链的。openwrt 默认配置的 wan 防火墙规则就可以挡住对终端机分配的 IPv6 地址的主动入站访问。光猫路由模式就看具体的防火墙配置了,看情况是存在疏漏的。 |
 | 4 littlewing 2022-08-26 15:55:06 +08:00 ipv6 的防火墙要单独配置 |
 | 5 ghjexxka 2022-08-26 16:12:23 +08:00 wan 和 lan 是防火墙的区域,这俩对应的是接口不是 ip 地址,默认配置更不会去区分私有地址和公网地址 lan 区域下的地址能通,说明 wan in 到 lan out 方向是放行的 |
 | 6 KagurazakaNyaa 2022-08-26 16:16:21 +08:00 有,你可以理解为 ULA 地址就是 lan ,GUA 地址就是 wan |
 | ipv6 不在需要 nat (不是说不能 nat ),因为地址太多太多了,正常的情况下,可以为世界上所有电脑分配一个公网 IPV6 地址, 但是电信以后改成 IOE 后难说。人家光猫要做 ipv6 网关,不给桥接,还要做一次 NAT,搞不好分配的就不是全球可路由的 IPV6 地址,而是站点本地地址。FEC0 开头的 ipv6 地址(你可以变相的理解为 ipv4 的私网地址,但这么比喻不够恰当和专业) |
 | 8 lns103 2022-08-26 19:01:10 +08:00 via Android @mrzx ipoe 只是认证方式变了,“拨号”设备还是可以获得 ipv6 前缀,光猫下的设备都可以获得公网 v6 地址,只是部分光猫不支持 pd 子网划分下发,下面接的路由器无法获得 pd 前缀,才需要 Nat (也可以 relay ,这样路由器下的还是能获得 v6 公网 |
 | 9 Licsber 2022-08-26 23:04:31 +08:00 |
 | 10 txydhr 2022-08-29 02:32:09 +08:00 在那个电话拨号和 adsl 的时代,防火墙都是设备负责的 |
Select Language