码农的家庭全万兆企业级组网分享，包括软件及硬件

aitkots

nn1122 发表于 2023-1-29 08:46
同为2260T主路由（后面可刷openwrt），缺点是v6没有防火墙，TP所有几乎所有的路由型号都禁止了v6防火墙，默 ...

我正好想问这设备对IPv6的防火墙支持的怎么样的，我自己也有个便宜的TP-Link有线路由器，开了IPv6，用在线的IPv6防火墙测试工具扫描了一下，立马拔了TP-Link的电源。。。

aitkots

nn1122 发表于 2023-2-7 17:00
TP一贯坚持V6全透明不动摇，默认防火墙关闭，所有端口都能通，可接二级路由如openwrt进行安全的v6访问 ...

所以我现在是用的RouterOS，虽然是CHR版本，配置的是高级防火墙规则，目前来看，至少从外网发起的攻击，进不来。

但是如果内网本身有设备已经出问题了，那还是不好防御。

有时间再看看重新尝试OPNsense的suricata，

我用过OPN的20.xx还是21.xx版本，底层还是HardenBSD的年代，

那时候就基本设置（PPPoE+IPV4+内网DNS重定向到OPN+简单的suricata）上网，其他的基本没动，访问网站总有一种卡顿的感觉，后来关闭了suricata还是卡顿，但是整体系统负载很低。

不知道是啥原因，就开始用RouterOS了。

不知道现在 OPN 23.01 用起来怎么样，看着是切换到主线BSD了。

aitkots

nn1122 发表于 2023-2-7 17:35
在routeros，openwrt，opnsense这三个系统中，我都采用了nat6的方式，其主要目的是为了DDNS都指向一个V6 ...

我之前还收藏过这个帖子，有人把后缀给固定了。。
https://www.cnblogs.com/Yogile/p/16648328.html

aitkots

nn1122 发表于 2023-2-8 08:40
我之前也看到了，后来我自己摸索出了v6 nat的方法，结合godaddy上注册的域名DDNS到v4和v6，效果非常好 ...

你说的是NAT66 IPv6地址转换 还是 NPT IPv6 前缀转换呀？

aitkots

大敛猫 发表于 2023-2-19 13:07
大神  求问 ROS 需要布置 哪些高级防火墙啊。。

其实 “高级防火墙” 是针对 RouterOS 原生硬件自带的防火墙而言的。  

如果你用的是 RouterOS 原生硬件，那么初始化完成后自带的防火墙和这个比较类似：

https://gitee.com/callmer/router ... imple_shortcut.conf

然后我根据官方文档：

https://help.mikrotik.com/docs/d ... g+Advanced+Firewall

整合完成后，就形成了 “高级防火墙” ：

https://gitee.com/callmer/router ... s_chr_shortcut.conf

主要区别就是更精细化的管理，比如启用了 raw 表，启用了DDoS，默认 Drop 一些不必要的包，对 ICMP 精细化管理等。

根据实际测试（测试设备 RB750Gr3 ），“高级防火墙” 相比默认的 “精简防火墙” 对性能基本没有影响。

aitkots

大敛猫 发表于 2023-2-19 15:44
我买的是 软件的授权 单独的机器跑ROS 性能应该不是问题  

主要还是 要保证iptv6 的防护性 毕竟ipv4完全 ...

IPv6 的防护性，用 “高级防火墙” 完全不用担心，我测试过，从外网发起的连接是进不来的。

可以用这个网站测试一下：

https://ipv6.chappell-family.com/ipv6tcptest/