有 ipv6 以后，要如何做内网的安全策略？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2160 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天换了宽带，发现有 v6 了。
Nas 裸奔，没敢开 v6。

第 1 条附言 · 2018-12-24 09:07:08 +08:00

目前来看，ipv6 并没有给我带来什么便利。

IPV6

NAS

内网

裸奔

28 条回复 • 2018-12-25 11:16:46 +08:00

gyuce

2018-12-23 23:22:05 +08:00

也是自组的 NAS，用的 openmediavault
\*https://www.v2ex.com/t/520273 用 ipv6 访问家里 NAS 上服务的截图，80 端口为管理页面，没有端口转发也可以正常访问。SSH 也可以\*

WordTian

2018-12-23 23:24:27 +08:00 via Android

主要就是端口，管理好对外开放的 tcp/udp 端口和这些端口对应服务就好

liuxyon

2018-12-23 23:43:16 +08:00

禁止入

ericww

2018-12-24 02:11:13 +08:00

所以你们都没有防火墙得吗？

omysho

2018-12-24 02:27:46 +08:00 via Android

路由器防火墙默认禁止入站的，可以放心开

wtks1

2018-12-24 04:30:08 +08:00 via Android

目前来看，光猫分配的 ipv6 地址，都是无法从外部访问到的

wtks1

2018-12-24 04:30:52 +08:00 via Android

明明都是公网，也能访问其他 ipv6 的地址，但就是无法被访问到

ShareDuck

2018-12-24 09:31:50 +08:00

@wtks1 防火墙的设置问题，默认是禁止入连接的。

flynaj

2018-12-24 10:57:24 +08:00 via Android

openwrt 路由器上默认防火墙规则就是禁止联入的，无论 v4,v6,要配置规则才可以，你的理由器系统老了

vibbow

2018-12-24 10:59:31 +08:00

在路由器上默认禁止 wan -> lan 的 ipv6 forwarding

pinews

2018-12-24 13:05:00 +08:00

@ShareDuck 你好，请教一下，我用电脑拨号的，外面无法访问，也是防火墙还是什么原因引起的呢?

pinews

2018-12-24 13:06:11 +08:00

还有现在手机上的 ipv6，如果用手机提供网络服务，外网能访问吗？

BOYPT

2018-12-24 13:08:17 +08:00

目前能良好支持 IPv6 的路由系统 openwrt 和 padavan 默认情况下外网都不能和内网的通信的，想要通信需要添加 ip6tables 规则，需要折腾家里 ipv6 访问的可以参考我的博客文章

https://blog.ptsang.net/match-ipv6-dynamic-addresses-in-iptables

pinews

2018-12-24 13:12:42 +08:00

@BOYPT 你好，我是电脑拨号的，怎么弄？

BOYPT

2018-12-24 13:13:40 +08:00

@pinews #14 电脑拨号就设置一下电脑防火墙规则就是了，比如远程桌面的 3389 端口，单机的话 v4/v6 没区别。

pinews

2018-12-24 13:23:37 +08:00

@BOYPT 不懂我开了 80 端口，用 127.0.0.1 可以访问，公网 ipv6 也可以在自己电脑上访问，但外面不行，防火墙没设置过。。

xxq2112

2018-12-24 13:34:49 +08:00 via iPhone

@pinews 试试看把防火墙关闭看看

pinews

2018-12-24 14:05:56 +08:00

@xxq2112 可能是 apache 的访问策略，他这个是自己设置的，不再防火墙里，我等改了试试看

Vegetables

2018-12-24 15:21:44 +08:00 via Android

mark

pinews

2018-12-24 15:28:04 +08:00

还是不能用，不知道是软件问题，还是电信的问题

ixiaoyui

2018-12-24 16:28:17 +08:00

自反 acl

qwvy2g

2018-12-24 16:38:38 +08:00 via Android

ipv6 防火墙规则不好设置，每次拨号地址变化，只能把全部 ipv6 地址段的某个端口对外打开。也可能家用路由 ipv6 防火墙太弱了。

internelp

2018-12-24 17:11:42 +08:00

@BOYPT padavan 路由器，我试了一下，默认可以直接访问内网的机器。

sunjian0000000

2018-12-24 17:12:47 +08:00 via Android

@qwvy2g 没有固定地址才那么不方便，都只是因为没有加钱。。。世界加钱可及，电信政企客户经理的 ipv6 固定地址报价出来好久了。

pinews

2018-12-24 17:56:57 +08:00

@pinews 是软件的问题，wampserver 我改了设置还是不行，下了个 xampp 可以了

BOYPT

2018-12-24 19:13:33 +08:00

@internelp #23 只是能 ping 吧，这是我 padavan 里面默认的 ip6tables 规则，只允许转发了 ICMP6.，546 547 是 DHCPv6 用，没有其他能用的规则。

想要指定特定地址可被访问，需要加入
-A FORWARD -d ::xxxx/::ffff:ffff:ffff:ffff -j ACCEPT

# ip6tables-save
# Generated by ip6tables-save v1.4.16.3 on Mon Dec 24 19:10:59 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [19:2254]
:OUTPUT ACCEPT [35640:5842391]
:bfplimit - [0:0]
:upnp - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD ! -o br0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -j upnp

cwbsw

2018-12-24 19:18:02 +08:00

@qwvy2g
可以匹配后缀的，就是子网掩码的原理，linux based 就行。
https://www.v2ex.com/t/486379#r_6130381

ritaswc

2018-12-25 11:16:46 +08:00

@pinews ipv6 手机是可以被访问的