IPV6的安全设置

okango

一直用IPV4,以前试过IPV6能用,然后就关了

最近UDP被QOS,听说IPV6稳一点.

IPV4我的知识点建立在,端口别乱映射,密码不要太简单,个人用户基本挺妥

IPV6印象是默认全网开放?需要怎么设置?防火墙之类?

只开放我想要去外网的IPV6应该怎么设置?IPV6也有端口吗?

使用openwrt

alwayskid

OpenWRT防火墙，WAN-LAN转发Reject
要开放端口就在Traffic Rules里加一条限制Destination IP和端口的规则
或者用socat做代理

okango

alwayskid 发表于 2022-9-4 14:47
OpenWRT防火墙，WAN-LAN转发Reject
要开放端口就在Traffic Rules里加一条限制Destination IP和端口的规则
...

大佬，小白听的云里雾里，方便抽空弄几张截图吗

多崎作

一样的问题 ROS设置好了IPV6不知道防火墙应该怎么设置比较好 有大佬分享下脚本不

okango

多崎作 发表于 2022-9-4 14:53
一样的问题 ROS设置好了IPV6不知道防火墙应该怎么设置比较好 有大佬分享下脚本不 ...

我是这样理解的，IPV6不进行相关设置等于裸奔（这个知识点也可能不对），所以不敢轻易设置
IPV4默认封闭，谨慎映射端口一般都安全

hcym

默认设置基本可以了
我一直用6的，移动6出口最大
就怕搞什么穿透，3389之类的，开了也口子

腿毛飘飘

okango 发表于 2022-9-4 15:03
我是这样理解的，IPV6不进行相关设置等于裸奔（这个知识点也可能不对），所以不敢轻易设置
IPV4默认封闭 ...

谁说IPv6 裸奔的？正经的路由器默认也是关闭外部访问的，只能从内部发起连接。

okango

腿毛飘飘 发表于 2022-9-4 15:27
谁说IPv6 裸奔的？正经的路由器默认也是关闭外部访问的，只能从内部发起连接。 ...

多谢指导，请问开了IPV6之后，我想单独给设备A设置IPV6并映射到外网，并且只开放3389端口服务，openwrt如何设置呢

虚心求教，以上要求IPV4有公网的情况下只需要IPV4的IP加端口映射，而IPV6有点云里雾里

echang88

家用，禁止外网PING就差不多了，最多再开启内网DOS攻击防御，也就没啥了，其实PING不到你，做不了肉鸡，就没事了。

HyperSPH

okango 发表于 2022-9-4 15:03
我是这样理解的，IPV6不进行相关设置等于裸奔（这个知识点也可能不对），所以不敢轻易设置
IPV4默认封闭 ...

谁告诉你不进行设置等于裸奔的。官方openwrt固件，默认ipv6直接防火墙全开。要自己设置开放的端口、内网设备地址。。。。

okango

HyperSPH 发表于 2022-9-4 15:39
谁告诉你不进行设置等于裸奔的。官方openwrt固件，默认ipv6直接防火墙全开。要自己设置开放的端口 ...

大佬,能来几张截图吗

okango

我永远喜欢框框 发表于 2022-9-4 16:44
我反正这么设的

谢谢指导,openwrt没法参考你的

HyperSPH

okango 发表于 2022-9-4 16:59
大佬,能来几张截图吗

防火墙通信规则加一个开放设备的地址和端口就行了，简单的很。

okango

HyperSPH 发表于 2022-9-4 17:33
防火墙通信规则加一个开放设备的地址和端口就行了，简单的很。

大佬,参考你的设置,再如图设置,外网仍然访问不了,有空请帮看下啥原因,蛋疼弄了一下午.

其中的IPV6地址是群晖的公网地址(非路由地址),240e:3b1:46e**************这样的

HyperSPH

okango 发表于 2022-9-4 18:22
大佬,参考你的设置,再如图设置,外网仍然访问不了,有空请帮看下啥原因,蛋疼弄了一下午.

其中的IPV6地址 ...

目标地址格式不对。::XXX:XXXX:XXXX:XXXX/::ffff:ffff:ffff:ffff

X换成你群晖ipv6后四位地址。另外，你访问群晖的设备必须也得有ipv6地址，比如手机可以用4G/5G去连了看。
dsfile访问端口一般是5000和5001，tcp和udp也注意下。

hayse

这么一说，我好像全默认。啥也没改过，ipv6的远程桌面，端口也没改，情绪稳定。偶尔还用FRP穿透，没中过招，系统有更新一般都更了，防火墙也正常打开的，安全软件就用的系统自带的，几年没用过其他安全软件了。

okango

HyperSPH 发表于 2022-9-4 18:56
目标地址格式不对。::XXX:XXXX:XXXX:XXXX/::ffff:ffff:ffff:ffff

X换成你群晖ipv6后四位地址。另外，你 ...

似乎问题出在DDNS

比如我的群晖IPV6:240e:3b1:46e**************

外网可以这样访问:http://[240e:3b1:46e**************]:5000访问?

但我无法访问DDNS:http://aaa.com:5000

而实际aaa.com是ping的通的,并且是确定绑了IPV6的

HyperSPH

okango 发表于 2022-9-4 20:39
我可能其他地方设置也有问题

比如我的群晖IPV6:240e:3b1:46e**************

对，网页或者app直接输[ipv6]:5000就可以访问，上行都能满。直连根本不需要ddns。你ipv6地址获取确定没问题的话，其他也没啥特殊设置的。另外，很多地区给的ipv6地址前2-4位的地址每次拨号都会变（可配合ddns）。所以防火墙规则目标地址只给后四位就行，前四位通配设置。

jim9606

所有家用路由器，包括oenwrt都是默认拦截ipv6入站连接的。windows防火墙默认只对本地子网开放smb等内网服务。
主要影响的是一些你主动开放的应用，例如自己假设的无密码的rpc控制台、ftp服务器等。这些应用注意下保护，其他情况不要手贱关防火墙、打开自动更新就是。

okango

jim9606 发表于 2022-9-4 21:11
所有家用路由器，包括oenwrt都是默认拦截ipv6入站连接的。windows防火墙默认只对本地子网开放smb等内网服务 ...

学习了

okango

HyperSPH 发表于 2022-9-4 20:49
对，网页或者app直接输:5000就可以访问，上行都能满。直连根本不需要ddns。你ipv6地址获取确定没问题的话 ...

大佬的方案没错,我在内网[ipv6]:5000这样访问不了,用手机移动网络顺利访问.

另外DDNS应该不能像IPV4一样,绑定路由就通用一个域名:端口.

想要连接群晖的IPV6,就要用群晖的IPV6来DDNS,而不能用主路由的IPV6:端口

今天钻了3个坑记录:
1.在内网访问[ipv6]:5000无效,要外网
2.IPV6的DDNS只能单对单
3.最坑:我一直在尝试wireguard的IPV6,原来不单单是在路由配置防火墙和端口,wireguard的服务端和客户端都得重新配置.

最坑的是我直接从wireguard起步,随便用其他早成功了,按大佬的方法随便其他的服务项目外网[ipv6]:5000早就可以轻松访问,吐血

fzg001

推荐看下这篇文章，基本能解决楼主的需求。
https://blog.csdn.net/qq_37550958/article/details/125012399

aitkots

多崎作 发表于 2022-9-4 14:53
一样的问题 ROS设置好了IPV6不知道防火墙应该怎么设置比较好 有大佬分享下脚本不 ...

我自己写的文档，应该可以帮助到老哥。
RouterOS配置IPv6

cipsauer

如果你要网关后面的某台设备做服务器暴露于公网，那建议你用dhcpv6给内网设备分配ipv6地址，而不是slaac。dhcpv6分配的你可以确定ip后缀，网关的防火墙规则可以无视pd前缀对内网设备的ip后缀做匹配，如果slaac分配ip的话，网关的防火墙规则没法配置

否则你只能在网关完全开放防火墙，由内网的设备单独面对外网的威胁

Krakenius

OpenWRT默认应该是不可以从WAN发起的连接到LAN的，实在害怕建议买硬件防火墙，安全域不放通的话连DHCP都会拦截，超级安全

Krakenius

okango 发表于 2022-9-4 15:03
我是这样理解的，IPV6不进行相关设置等于裸奔（这个知识点也可能不对），所以不敢轻易设置
IPV4默认封闭 ...

如果路由器或者光猫默认是允许入站流量的话，你有ipv6公网地址的设备就相当于裸奔在网上

Krakenius

腿毛飘飘 发表于 2022-9-4 15:27
谁说IPv6 裸奔的？正经的路由器默认也是关闭外部访问的，只能从内部发起连接。 ...

tplink的企业系列就不是这样，透明的，光猫的话有些地方允许入站有些地方不允许

yajian2

openwrt原来ipv6一直在裸奔，赶紧在防火墙通信规则加了个ipv6deny兜底。