設置openwrt路由器的防火牆_容許從外網訪問內網的ipv6服務

設置openwrt路由器的防火牆_容許從外網訪問內網的ipv6服務

轉載註明來源: 本文連接 來自osnosn的博客，寫於 2019-11-02.

參考文章:

• IPv6「內網」設備透出到到公網的正確姿式
• 在路由器iptables中匹配IPv6動態地址
• 家用寬帶的IPv6配置

如今家庭寬帶的運營商，都已經提供 ipv6 了。
當你撥號上網後，運營商給你的路由器分配一個 ipv6 的同時，還會給你分配一個 ipv6 的前綴。
這樣，你路由器後面的全部設備都會獲得一個公網的 ipv6 地址。
可是，你會發現，內網的設備，雖然有公網ipv6地址，但沒法從外網訪問它們。僅能從外網ping通它們。
這是由於路由器的缺省設置。爲了保護內網設備，缺省沒有把內網設備暴露到公網上，僅僅容許從公網ping它們。

若是你內網有一臺機器，提供了https或別的什麼的服務，須要容許從公網訪問它。
就須要修改路由器防火牆的設置，容許從公網訪問這臺機器的指定端口。

OpenWRT 的防火牆設置:

添加一個規則:

返回後，能夠看到有一個"未命名的規則"，編輯它:

按需設置:

• 內網設備的ipv6地址，
  前半部分是ipv6前綴，是運營商分配的。重撥後會變化。
  後半部分，若是不是eui64，就是隨機生成的，也會變。若是是eui64，則與mac地址相關，不會變化，除非換網卡。
• 若是整個ipv6都會變，防火牆規則就沒辦法寫了。除非全網放行(內網目標地址掩碼填::/0或any)。
• 因此配置內網設備的ipv6地址爲eui64，防火牆的內網目標地址掩碼填 ::xxxx:xxxx:xxxx:xxxx/::FFFF:FFFF:FFFF:FFFF, 這樣就比較安全了。
  (ipv6地址掩碼比v4靈活，v6能夠掩前面，也能夠掩後面。v4就只能掩前面)
• 設置Linux的ipv6爲eui64模式,請參考:(Linux ipv6 無狀態 設置爲 eui64)

---end---

轉載註明來源: 本文連接 來自osnosn的博客