IPV6的安全设置
一直用IPV4,以前试过IPV6能用,然后就关了最近UDP被QOS,听说IPV6稳一点.
IPV4我的知识点建立在,端口别乱映射,密码不要太简单,个人用户基本挺妥
IPV6印象是默认全网开放?需要怎么设置?防火墙之类?
只开放我想要去外网的IPV6应该怎么设置?IPV6也有端口吗?
使用openwrt OpenWRT防火墙,WAN-LAN转发Reject
要开放端口就在Traffic Rules里加一条限制Destination IP和端口的规则
或者用socat做代理 alwayskid 发表于 2022-9-4 14:47
OpenWRT防火墙,WAN-LAN转发Reject
要开放端口就在Traffic Rules里加一条限制Destination IP和端口的规则
...
大佬,小白听的云里雾里,方便抽空弄几张截图吗 一样的问题 ROS设置好了IPV6不知道防火墙应该怎么设置比较好 有大佬分享下脚本不[傻笑] 多崎作 发表于 2022-9-4 14:53
一样的问题 ROS设置好了IPV6不知道防火墙应该怎么设置比较好 有大佬分享下脚本不 ...
我是这样理解的,IPV6不进行相关设置等于裸奔(这个知识点也可能不对),所以不敢轻易设置
IPV4默认封闭,谨慎映射端口一般都安全 默认设置基本可以了
我一直用6的,移动6出口最大
就怕搞什么穿透,3389之类的,开了也口子 okango 发表于 2022-9-4 15:03
我是这样理解的,IPV6不进行相关设置等于裸奔(这个知识点也可能不对),所以不敢轻易设置
IPV4默认封闭 ...
谁说IPv6 裸奔的?正经的路由器默认也是关闭外部访问的,只能从内部发起连接。 本帖最后由 okango 于 2022-9-4 15:38 编辑
腿毛飘飘 发表于 2022-9-4 15:27
谁说IPv6 裸奔的?正经的路由器默认也是关闭外部访问的,只能从内部发起连接。 ...
多谢指导,请问开了IPV6之后,我想单独给设备A设置IPV6并映射到外网,并且只开放3389端口服务,openwrt如何设置呢
虚心求教,以上要求IPV4有公网的情况下只需要IPV4的IP加端口映射,而IPV6有点云里雾里 家用,禁止外网PING就差不多了,最多再开启内网DOS攻击防御,也就没啥了,其实PING不到你,做不了肉鸡,就没事了。 本帖最后由 HyperSPH 于 2022-9-4 15:41 编辑
okango 发表于 2022-9-4 15:03
我是这样理解的,IPV6不进行相关设置等于裸奔(这个知识点也可能不对),所以不敢轻易设置
IPV4默认封闭 ...
[睡觉]谁告诉你不进行设置等于裸奔的。官方openwrt固件,默认ipv6直接防火墙全开。要自己设置开放的端口、内网设备地址。。。。 HyperSPH 发表于 2022-9-4 15:39
谁告诉你不进行设置等于裸奔的。官方openwrt固件,默认ipv6直接防火墙全开。要自己设置开放的端口 ...
大佬,能来几张截图吗 我永远喜欢框框 发表于 2022-9-4 16:44
我反正这么设的
谢谢指导,openwrt没法参考你的 okango 发表于 2022-9-4 16:59
大佬,能来几张截图吗
防火墙通信规则加一个开放设备的地址和端口就行了,简单的很。 本帖最后由 okango 于 2022-9-4 18:26 编辑
HyperSPH 发表于 2022-9-4 17:33
防火墙通信规则加一个开放设备的地址和端口就行了,简单的很。
大佬,参考你的设置,再如图设置,外网仍然访问不了,有空请帮看下啥原因,蛋疼弄了一下午.
其中的IPV6地址是群晖的公网地址(非路由地址),240e:3b1:46e**************这样的 本帖最后由 HyperSPH 于 2022-9-4 18:59 编辑
okango 发表于 2022-9-4 18:22
大佬,参考你的设置,再如图设置,外网仍然访问不了,有空请帮看下啥原因,蛋疼弄了一下午.
其中的IPV6地址 ...
目标地址格式不对。::XXX:XXXX:XXXX:XXXX/::ffff:ffff:ffff:ffff
X换成你群晖ipv6后四位地址。另外,你访问群晖的设备必须也得有ipv6地址,比如手机可以用4G/5G去连了看。
dsfile访问端口一般是5000和5001,tcp和udp也注意下。 这么一说,我好像全默认。啥也没改过,ipv6的远程桌面,端口也没改,情绪稳定。偶尔还用FRP穿透,没中过招,系统有更新一般都更了,防火墙也正常打开的,安全软件就用的系统自带的,几年没用过其他安全软件了。https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif 本帖最后由 okango 于 2022-9-4 20:48 编辑
HyperSPH 发表于 2022-9-4 18:56
目标地址格式不对。::XXX:XXXX:XXXX:XXXX/::ffff:ffff:ffff:ffff
X换成你群晖ipv6后四位地址。另外,你 ...
似乎问题出在DDNS[困惑]
比如我的群晖IPV6:240e:3b1:46e**************
外网可以这样访问:http://:5000访问?
但我无法访问DDNS:http://aaa.com:5000
而实际aaa.com是ping的通的,并且是确定绑了IPV6的
本帖最后由 HyperSPH 于 2022-9-4 20:53 编辑
okango 发表于 2022-9-4 20:39
我可能其他地方设置也有问题
比如我的群晖IPV6:240e:3b1:46e**************
对,网页或者app直接输:5000就可以访问,上行都能满。直连根本不需要ddns。你ipv6地址获取确定没问题的话,其他也没啥特殊设置的。另外,很多地区给的ipv6地址前2-4位的地址每次拨号都会变(可配合ddns)。所以防火墙规则目标地址只给后四位就行,前四位通配设置。 所有家用路由器,包括oenwrt都是默认拦截ipv6入站连接的。windows防火墙默认只对本地子网开放smb等内网服务。
主要影响的是一些你主动开放的应用,例如自己假设的无密码的rpc控制台、ftp服务器等。这些应用注意下保护,其他情况不要手贱关防火墙、打开自动更新就是。 jim9606 发表于 2022-9-4 21:11
所有家用路由器,包括oenwrt都是默认拦截ipv6入站连接的。windows防火墙默认只对本地子网开放smb等内网服务 ...
学习了 本帖最后由 okango 于 2022-9-4 21:35 编辑
HyperSPH 发表于 2022-9-4 20:49
对,网页或者app直接输:5000就可以访问,上行都能满。直连根本不需要ddns。你ipv6地址获取确定没问题的话 ...
大佬的方案没错,我在内网:5000这样访问不了,用手机移动网络顺利访问.
另外DDNS应该不能像IPV4一样,绑定路由就通用一个域名:端口.
想要连接群晖的IPV6,就要用群晖的IPV6来DDNS,而不能用主路由的IPV6:端口
今天钻了3个坑记录:
1.在内网访问:5000无效,要外网
2.IPV6的DDNS只能单对单
3.最坑:我一直在尝试wireguard的IPV6,原来不单单是在路由配置防火墙和端口,wireguard的服务端和客户端都得重新配置.
最坑的是我直接从wireguard起步,随便用其他早成功了,按大佬的方法随便其他的服务项目外网:5000早就可以轻松访问,吐血 推荐看下这篇文章,基本能解决楼主的需求。
https://blog.csdn.net/qq_37550958/article/details/125012399
多崎作 发表于 2022-9-4 14:53
一样的问题 ROS设置好了IPV6不知道防火墙应该怎么设置比较好 有大佬分享下脚本不 ...
我自己写的文档,应该可以帮助到老哥。
RouterOS配置IPv6 如果你要网关后面的某台设备做服务器暴露于公网,那建议你用dhcpv6给内网设备分配ipv6地址,而不是slaac。dhcpv6分配的你可以确定ip后缀,网关的防火墙规则可以无视pd前缀对内网设备的ip后缀做匹配,如果slaac分配ip的话,网关的防火墙规则没法配置
否则你只能在网关完全开放防火墙,由内网的设备单独面对外网的威胁 OpenWRT默认应该是不可以从WAN发起的连接到LAN的,实在害怕建议买硬件防火墙,安全域不放通的话连DHCP都会拦截,超级安全 okango 发表于 2022-9-4 15:03
我是这样理解的,IPV6不进行相关设置等于裸奔(这个知识点也可能不对),所以不敢轻易设置
IPV4默认封闭 ...
如果路由器或者光猫默认是允许入站流量的话,你有ipv6公网地址的设备就相当于裸奔在网上 腿毛飘飘 发表于 2022-9-4 15:27
谁说IPv6 裸奔的?正经的路由器默认也是关闭外部访问的,只能从内部发起连接。 ...
tplink的企业系列就不是这样,透明的,光猫的话有些地方允许入站有些地方不允许 openwrt原来ipv6一直在裸奔,赶紧在防火墙通信规则加了个ipv6deny兜底。
页:
[1]