V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
internelp
V2EX  ›  宽带症候群

有 ipv6 以后,要如何做内网的安全策略?

  •  
  •   internelp · 2018-12-23 22:50:47 +08:00 · 7728 次点击
    这是一个创建于 2180 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天换了宽带,发现有 v6 了。
    Nas 裸奔,没敢开 v6。
    第 1 条附言  ·  2018-12-24 09:07:08 +08:00
    目前来看,ipv6 并没有给我带来什么便利。
    28 条回复    2018-12-25 11:16:46 +08:00
    gyuce
        1
    gyuce  
       2018-12-23 23:22:05 +08:00
    也是自组的 NAS,用的 openmediavault
    \*https://www.v2ex.com/t/520273 用 ipv6 访问家里 NAS 上服务的截图,80 端口为管理页面,没有端口转发也可以正常访问。SSH 也可以\*
    WordTian
        2
    WordTian  
       2018-12-23 23:24:27 +08:00 via Android
    主要就是端口,管理好对外开放的 tcp/udp 端口和这些端口对应服务就好
    liuxyon
        3
    liuxyon  
       2018-12-23 23:43:16 +08:00
    禁止入
    ericww
        4
    ericww  
       2018-12-24 02:11:13 +08:00
    所以你们都没有防火墙得吗?
    omysho
        5
    omysho  
       2018-12-24 02:27:46 +08:00 via Android
    路由器防火墙默认禁止入站的,可以放心开
    wtks1
        6
    wtks1  
       2018-12-24 04:30:08 +08:00 via Android
    目前来看,光猫分配的 ipv6 地址,都是无法从外部访问到的
    wtks1
        7
    wtks1  
       2018-12-24 04:30:52 +08:00 via Android
    明明都是公网,也能访问其他 ipv6 的地址,但就是无法被访问到
    ShareDuck
        8
    ShareDuck  
       2018-12-24 09:31:50 +08:00
    @wtks1 防火墙的设置问题,默认是禁止入连接的。
    flynaj
        9
    flynaj  
       2018-12-24 10:57:24 +08:00 via Android
    openwrt 路由器上默认防火墙规则就是禁止联入的,无论 v4,v6,要配置规则才可以,你的理由器系统老了
    vibbow
        10
    vibbow  
       2018-12-24 10:59:31 +08:00
    在路由器上默认禁止 wan -> lan 的 ipv6 forwarding
    pinews
        11
    pinews  
       2018-12-24 13:05:00 +08:00
    @ShareDuck 你好,请教一下,我用电脑拨号的,外面无法访问,也是防火墙还是什么原因引起的呢?
    pinews
        12
    pinews  
       2018-12-24 13:06:11 +08:00
    还有现在手机上的 ipv6,如果用手机提供网络服务,外网能访问吗?
    BOYPT
        13
    BOYPT  
       2018-12-24 13:08:17 +08:00   ❤️ 1
    目前能良好支持 IPv6 的路由系统 openwrt 和 padavan 默认情况下外网都不能和内网的通信的,想要通信需要添加 ip6tables 规则,需要折腾家里 ipv6 访问的可以参考我的博客文章

    https://blog.ptsang.net/match-ipv6-dynamic-addresses-in-iptables
    pinews
        14
    pinews  
       2018-12-24 13:12:42 +08:00
    @BOYPT 你好,我是电脑拨号的,怎么弄?
    BOYPT
        15
    BOYPT  
       2018-12-24 13:13:40 +08:00
    @pinews #14 电脑拨号就设置一下电脑防火墙规则就是了,比如远程桌面的 3389 端口,单机的话 v4/v6 没区别。
    pinews
        16
    pinews  
       2018-12-24 13:23:37 +08:00
    @BOYPT 不懂 我开了 80 端口,用 127.0.0.1 可以访问,公网 ipv6 也可以在自己电脑上访问,但外面不行,防火墙没设置过。。
    xxq2112
        17
    xxq2112  
       2018-12-24 13:34:49 +08:00 via iPhone
    @pinews 试试看把防火墙关闭看看
    pinews
        18
    pinews  
       2018-12-24 14:05:56 +08:00
    @xxq2112 可能是 apache 的访问策略,他这个是自己设置的,不再防火墙里,我等改了试试看
    Vegetables
        19
    Vegetables  
       2018-12-24 15:21:44 +08:00 via Android
    mark
    pinews
        20
    pinews  
       2018-12-24 15:28:04 +08:00
    还是不能用,不知道是软件问题,还是电信的问题
    ixiaoyui
        21
    ixiaoyui  
       2018-12-24 16:28:17 +08:00
    自反 acl
    qwvy2g
        22
    qwvy2g  
       2018-12-24 16:38:38 +08:00 via Android
    ipv6 防火墙规则不好设置,每次拨号地址变化,只能把全部 ipv6 地址段的某个端口对外打开。也可能家用路由 ipv6 防火墙太弱了。
    internelp
        23
    internelp  
    OP
       2018-12-24 17:11:42 +08:00
    @BOYPT padavan 路由器,我试了一下,默认可以直接访问内网的机器。
    sunjian0000000
        24
    sunjian0000000  
       2018-12-24 17:12:47 +08:00 via Android
    @qwvy2g 没有固定地址才那么不方便,都只是因为没有加钱。。。世界加钱可及,电信政企客户经理的 ipv6 固定地址报价出来好久了。
    pinews
        25
    pinews  
       2018-12-24 17:56:57 +08:00
    @pinews 是软件的问题,wampserver 我改了设置还是不行,下了个 xampp 可以了
    BOYPT
        26
    BOYPT  
       2018-12-24 19:13:33 +08:00
    @internelp #23 只是能 ping 吧,这是我 padavan 里面默认的 ip6tables 规则,只允许转发了 ICMP6.,546 547 是 DHCPv6 用,没有其他能用的规则。

    想要指定特定地址可被访问,需要加入
    -A FORWARD -d ::xxxx/::ffff:ffff:ffff:ffff -j ACCEPT


    # ip6tables-save
    # Generated by ip6tables-save v1.4.16.3 on Mon Dec 24 19:10:59 2018
    *filter
    :INPUT DROP [0:0]
    :FORWARD DROP [19:2254]
    :OUTPUT ACCEPT [35640:5842391]
    :bfplimit - [0:0]
    :upnp - [0:0]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i br0 -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p ipv6-icmp -j ACCEPT
    -A INPUT -m state --state INVALID -j DROP
    -A INPUT -p udp -m udp --sport 547 --dport 546 -j ACCEPT
    -A FORWARD -i br0 -o br0 -j ACCEPT
    -A FORWARD ! -o br0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -p ipv6-icmp -j ACCEPT
    -A FORWARD -m state --state INVALID -j DROP
    -A FORWARD -i br0 -j ACCEPT
    -A FORWARD -j upnp
    cwbsw
        27
    cwbsw  
       2018-12-24 19:18:02 +08:00
    @qwvy2g
    可以匹配后缀的,就是子网掩码的原理,linux based 就行。
    https://www.v2ex.com/t/486379#r_6130381
    ritaswc
        28
    ritaswc  
       2018-12-25 11:16:46 +08:00
    @pinews ipv6 手机是可以被访问的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4526 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 03:54 · PVG 11:54 · LAX 19:54 · JFK 22:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.