brucelee1126 发表于 2025-5-5 16:11

硬路由TP 13090不能配置IPV6防火墙规则,只能全关,用着没啥问题吧

本帖最后由 brucelee1126 于 2025-5-5 16:16 编辑

硬路由TP 13090不能配置IPV6防火墙规则,只能全关,用着没啥问题吧

宽带没有v4公网,一台设备网卡开了v6用来跑lucky解析和反代,其他设备无特殊情况网卡不开v6(v6干扰smb性能)

刚从j4125 openwrt转硬路由

ssl0008 发表于 2025-5-5 16:23

我之前用tp的万兆硬路由就是因为只能全关和全开,才换了爱快卵路由,爱快可以设置ACL,限定特定的机器可以入站,而且可以过滤端口。
全关意味着所有v6设备的所有端口都是暴露公网,包括非常危险的22、3389之类。
但别让人根据前缀猜出来pc的v6地址就行,dhcpv6就很好猜,slaac是拿eui64根据mac算出来的后缀,撞出来的代价非常大。
还有弱口令问题,最常见的是pt客户端可以被对端看到ip,我有一次在群晖里更新qbittorrent重置了默认密码被别人登进去挂了个挖矿木马。。。

港城钢铁侠 发表于 2025-5-5 16:24

直接关掉=裸奔,要不就是你自己在每个设备上配防火墙。

brucelee1126 发表于 2025-5-5 17:21

ssl0008 发表于 2025-5-5 16:23
我之前用tp的万兆硬路由就是因为只能全关和全开,才换了爱快卵路由,爱快可以设置ACL,限定特定的机器可以 ...

感觉问题很严重啊

iooo 发表于 2025-5-5 17:51

防火墙还是需要的,哪怕最简单的那种也能把绝大部分攻击拦截掉

nn1122 发表于 2025-5-5 17:57

这样关掉后,安全性取决于你获得v6的设备的自身防火墙了,也可以下接一个防火墙系统如opnsense/pfsense做透明墙模式进行协议/端口放行控制,当然也可以下接op系统进行nat66

卢奇亚诺 发表于 2025-5-5 18:08

那么有没有能配置IPV6防火墙规则的硬路由呢

brucelee1126 发表于 2025-5-5 20:02

换回OP了,以后应路由得买企业级了

hayse 发表于 2025-5-5 21:01

brucelee1126 发表于 2025-5-5 20:02
换回OP了,以后应路由得买企业级了

硬路由除了神秘的小包加成,没有任何理由去用他,再说也有很多说法这些都是人为的制造焦虑,家用场景op小包同样能力大转飞。
无线的话,我选择用正经商用AP,放着就不用管。

Mashiro_plan_C 发表于 2025-5-5 21:08

卢奇亚诺 发表于 2025-5-5 18:08
那么有没有能配置IPV6防火墙规则的硬路由呢

华硕.jpg

流精岁月 发表于 2025-5-6 08:55

之前看到有人说在tp的应用里面有个专门针对IPv6的“虚拟服务器”,可以放行特定主机的特定端口。反正我手里机器的只有IPv4能这么设置。

brucelee1126 发表于 2025-5-6 09:29

流精岁月 发表于 2025-5-6 08:55
之前看到有人说在tp的应用里面有个专门针对IPv6的“虚拟服务器”,可以放行特定主机的特定端口。反正我手里 ...

我回头看看

死也要爱钱 发表于 2025-5-6 10:01

13090大雕发了qwrt固件但要拆机刷(图源群友

包子不寂寞 发表于 2025-5-6 16:39

死也要爱钱 发表于 2025-5-6 10:01
13090大雕发了qwrt固件但要拆机刷(图源群友

是呀,我也看到了,就是拆机刷有些麻烦还丢失保修

骑士王的殇夜 发表于 2025-5-6 16:50

包子不寂寞 发表于 2025-5-6 16:39
是呀,我也看到了,就是拆机刷有些麻烦还丢失保修

建议是tp当交换机/ap使用,单独搞个方便折腾的设备当主路由

卢奇亚诺 发表于 2025-5-7 09:13

流精岁月 发表于 2025-5-6 08:55
之前看到有人说在tp的应用里面有个专门针对IPv6的“虚拟服务器”,可以放行特定主机的特定端口。反正我手里 ...

v6确实可以,设置完得通过wan口v6 ip访问,而且如果主机v6变了每次得手动改

cyberms 发表于 2025-5-7 09:41

也没啥屌事

反正都是slaac

流精岁月 发表于 2025-5-7 12:34

卢奇亚诺 发表于 2025-5-7 09:13
v6确实可以,设置完得通过wan口v6 ip访问,而且如果主机v6变了每次得手动改 ...

“虚拟服务器”可以设置放行IPv6端口吗?可以截图看看吗?你的是什么型号?应该不只是可以放行wan口v6吧,lan口下接的设备只要下发成功了v6地址应该都可以设置的吧

卢奇亚诺 发表于 2025-5-7 12:46

本帖最后由 卢奇亚诺 于 2025-5-7 12:48 编辑

流精岁月 发表于 2025-5-7 12:34
“虚拟服务器”可以设置放行IPv6端口吗?可以截图看看吗?你的是什么型号?应该不只是可以放行wan口v6吧 ...

https://resource.tp-link.com.cn/pc/docCenter/showDoc?id=1718865542861125 tp官方文档,但是我觉得这个最拉地方就是每次v6变了得手动改

流精岁月 发表于 2025-5-7 13:37

卢奇亚诺 发表于 2025-5-7 12:46
https://resource.tp-link.com.cn/pc/docCenter/showDoc?id=1718865542861125 tp官方文档,但是我觉得这 ...

IPv6地址是只能拉取选择吗,还是可以手动填的?如果可以手动填,试试掩码可以吗?比如你的电脑v6地址后四段是::a:b:c:d,设置IP地址为0::a:b:c:d/0::ffff:ffff:ffff:ffff,slaac模式后四段一直都是不变的,无论宽带怎么重新拨号变前缀地址,这个地址都是会被匹配到然后放行的。

卢奇亚诺 发表于 2025-5-7 16:09

流精岁月 发表于 2025-5-7 13:37
IPv6地址是只能拉取选择吗,还是可以手动填的?如果可以手动填,试试掩码可以吗?比如你的电脑v6地址后四 ...

只能手填,不支持掩码
页: [1]
查看完整版本: 硬路由TP 13090不能配置IPV6防火墙规则,只能全关,用着没啥问题吧