V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cloudsigma2022
V2EX  ›  宽带症候群

ipv6 下 有没有 wan 和 lan 的概念?

  •  
  •   cloudsigma2022 · 2022-08-26 15:38:29 +08:00 · 3889 次点击
    这是一个创建于 852 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT ,

    一则帖子引发的思考。 路由器开了 ipv6 ,上面挂的旁路由裸奔了。。。

    随后,检查了自己的,

    旁路软路由 ipv6 裸奔是什么原因导致的

    我们都知道,路由器防火墙策略通过 wan 和 lan 来进行规则设置的。 在 ipv4 下,wan 口获取的是公网地址( pppoe ,无公网地址的获取的是大局网地址),lan 口一般是私有地址。

    而在 ipv6 下呢,无论是 dhcp 还是 slaac 方式获取的,都是公网 ip 。那么,防火墙是如何区分 哪个 ipv6 是 wan , 哪个又是 lan 呢?

    我在我的某为 ma5671 光猫上测试发现(光猫拨号,slaac 获取 ipv6 ),光猫自己的 ppp257 接口,会获取到一个 ipv6 。ipv6 防火墙会根据 ppp256 接口所在的 wan 执行 wan 策略。所以,默认情况下,从外部( vps )上一般无法直接访问光猫的 ipv6 。

    问题来了,slaac 方式下发给 下挂的设备,(通过 lan 口 连接的如 tv ,n1 软路由等)。

    比如,slaac 下发的地址到了 软路由的 eth0, 由于这个 eth0 在 软路由里是划给了 lan 的。所以,在 软路由里,是执行的 lan 策略。这个时候,就出现了裸奔的情况。

    同理,通过 lan 口连接的 tv 也是一样的。

    10 条回复    2022-08-29 02:32:09 +08:00
    Tobar
        1
    Tobar  
       2022-08-26 15:43:11 +08:00 via Android
    ipv6 通过子网来划分区域
    sujin190
        2
    sujin190  
       2022-08-26 15:50:18 +08:00
    ipv4 除了防火墙外 wan 口有配置 nat ,ipv6 wan 和 lan 应该只有防火墙区别了吧
    heiher
        3
    heiher  
       2022-08-26 15:55:00 +08:00
    正常情况:IPv4(NAT)、IPv6 ,数据包从 wan 口进入,转发到 lan 口上连接的终端设备,都是经过 iptables filter 表 forward 链的。openwrt 默认配置的 wan 防火墙规则就可以挡住对终端机分配的 IPv6 地址的主动入站访问。光猫路由模式就看具体的防火墙配置了,看情况是存在疏漏的。
    littlewing
        4
    littlewing  
       2022-08-26 15:55:06 +08:00
    ipv6 的防火墙要单独配置
    ghjexxka
        5
    ghjexxka  
       2022-08-26 16:12:23 +08:00
    wan 和 lan 是防火墙的区域,这俩对应的是接口不是 ip 地址,默认配置更不会去区分私有地址和公网地址

    lan 区域下的地址能通,说明 wan in 到 lan out 方向是放行的
    XiLingHost
        6
    XiLingHost  
       2022-08-26 16:16:21 +08:00
    有,你可以理解为 ULA 地址就是 lan ,GUA 地址就是 wan
    mrzx
        7
    mrzx  
       2022-08-26 18:22:07 +08:00
    ipv6 不在需要 nat (不是说不能 nat ),因为地址太多太多了,正常的情况下,可以为世界上所有电脑分配一个公网 IPV6 地址,

    但是电信以后改成 IOE 后难说。人家光猫要做 ipv6 网关,不给桥接,还要做一次 NAT,搞不好分配的就不是全球可路由的 IPV6 地址,而是站点本地地址。FEC0 开头的 ipv6 地址(你可以变相的理解为 ipv4 的私网地址,但这么比喻不够恰当和专业)
    lns103
        8
    lns103  
       2022-08-26 19:01:10 +08:00 via Android
    @mrzx ipoe 只是认证方式变了,“拨号”设备还是可以获得 ipv6 前缀,光猫下的设备都可以获得公网 v6 地址,只是部分光猫不支持 pd 子网划分下发,下面接的路由器无法获得 pd 前缀,才需要 Nat (也可以 relay ,这样路由器下的还是能获得 v6 公网
    Licsber
        9
    Licsber  
       2022-08-26 23:04:31 +08:00
    可以看一下我的帖子
    /t/875719
    其实 nat4 藏匿了防火墙的地位和重要性
    反而是万物互联的 v6 暴露了这个问题
    终端安全才是应该看重的
    txydhr
        10
    txydhr  
       2022-08-29 02:32:09 +08:00
    在那个电话拨号和 adsl 的时代,防火墙都是设备负责的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1251 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:00 · PVG 02:00 · LAX 10:00 · JFK 13:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.