V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
There is no place like ::1
keyfunc
V2EX  ›  IPv6

国内的运营商分配的 IPv6 前缀不固定,请问防火墙应该如何配置?

  •  
  •   keyfunc · 2023-02-02 10:01:14 +08:00 · 2050 次点击
    这是一个创建于 670 天前的主题,其中的信息可能已经有所发展或是发生改变。

    电信很早以前就开始分配长度为 56 的前缀了,但家里有很多智能家居设备和一些压根没防火墙的设备,担心存在安全风险,所以 IPv6 一直是关闭的。

    这段时间发现用 P2P 下载时,如果启用了 IPv6 ,整体下载速度能快上不少,所以打算开始用上 IPv6 。 目前在路由侧配置部份防火墙规则,但可以确定的地址也就一些 ULA 和 LLA 地址,GUA 地址是不固定的,所以不太清楚这类地址的规则应该如何配置了。

    我需求十分简单,对部份自带防火墙的主机开放所有入站访问,其他主机按实际情况开放个别端口,其他的全部 Drop 掉。

    有一些问题想请教大家:

    1. 前缀不固定
    2. IPv6 地址采用的是 SLAAC 方式分配,我不太清楚这种分配方式接口地址是否固定
    3. 设备如何静态配置 IPv6 地址?

    因为网络知识比较匮乏,所有来请教下 V2 的大佬们,各位家里用 IPv6 的话,网络是如何规划的?

    5 条回复    2023-02-02 13:24:34 +08:00
    billgong
        1
    billgong  
       2023-02-02 10:03:47 +08:00
    我这边 SLAAC 是每户一个 /56 的地址固定的,然后我在 pfSense 里划一个 /64 作为内网。我发现设备实际上通过 SLAAC 拿到的地址是和 MAC 绑定的,并不会变。但地方运营商怎么搞我就不知道了。
    kuaner
        2
    kuaner  
       2023-02-02 10:10:26 +08:00   ❤️ 1
    用后缀匹配,一般后缀是固定的
    ::5:6:7:8/::ffff:ffff:ffff:ffff
    如果给你分配了有状态的地址,openwrt 的防火墙可以这样匹配规则
    DAPTX4869
        3
    DAPTX4869  
       2023-02-02 10:23:50 +08:00
    openwrt 防火墙默认是外部全关的, 没这种烦恼
    用到的时候放开端口就好了
    keyfunc
        4
    keyfunc  
    OP
       2023-02-02 13:23:16 +08:00
    @kuaner 我试试你这种方式,我的主路由是 routeros 的,看下是否支持,谢谢
    keyfunc
        5
    keyfunc  
    OP
       2023-02-02 13:24:34 +08:00
    @billgong 好像 Windows 的设备接口地址是随机的,不是 EUI64 ,不知道他的随机会不会变。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1165 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 18:49 · PVG 02:49 · LAX 10:49 · JFK 13:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.