设为首页收藏本站

 找回密码
 加入我们
搜索
      
Chiphell - 分享与交流用户体验»社区 讨论区-生活与技术的讨论 电脑讨论(新) 硬路由TP 13090不能配置IPV6防火墙规则,只能全关,用着 ...
返回列表 发新帖
查看: 903|回复: 19

[网络] 硬路由TP 13090不能配置IPV6防火墙规则,只能全关,用着没啥问题吧

[复制链接]
brucelee1126
发表于 2025-5-5 16:11 | 显示全部楼层 |阅读模式
本帖最后由 brucelee1126 于 2025-5-5 16:16 编辑

硬路由TP 13090不能配置IPV6防火墙规则,只能全关,用着没啥问题吧

宽带没有v4公网,一台设备网卡开了v6用来跑lucky解析和反代,其他设备无特殊情况网卡不开v6(v6干扰smb性能)

刚从j4125 openwrt转硬路由

Screenshot_20250505_160833_Samsung Internet.jpg
回复

举报

ssl0008
发表于 2025-5-5 16:23 | 显示全部楼层
我之前用tp的万兆硬路由就是因为只能全关和全开,才换了爱快卵路由,爱快可以设置ACL,限定特定的机器可以入站,而且可以过滤端口。
全关意味着所有v6设备的所有端口都是暴露公网,包括非常危险的22、3389之类。
但别让人根据前缀猜出来pc的v6地址就行,dhcpv6就很好猜,slaac是拿eui64根据mac算出来的后缀,撞出来的代价非常大。
还有弱口令问题,最常见的是pt客户端可以被对端看到ip,我有一次在群晖里更新qbittorrent重置了默认密码被别人登进去挂了个挖矿木马。。。
回复

举报

港城钢铁侠
发表于 2025-5-5 16:24 来自手机 | 显示全部楼层
直接关掉=裸奔,要不就是你自己在每个设备上配防火墙。
回复

举报

brucelee1126
 楼主| 发表于 2025-5-5 17:21 | 显示全部楼层
ssl0008 发表于 2025-5-5 16:23
我之前用tp的万兆硬路由就是因为只能全关和全开,才换了爱快卵路由,爱快可以设置ACL,限定特定的机器可以 ...

感觉问题很严重啊
回复

举报

iooo
发表于 2025-5-5 17:51 | 显示全部楼层
防火墙还是需要的,哪怕最简单的那种也能把绝大部分攻击拦截掉
回复

举报

nn1122
发表于 2025-5-5 17:57 | 显示全部楼层
这样关掉后,安全性取决于你获得v6的设备的自身防火墙了,也可以下接一个防火墙系统如opnsense/pfsense做透明墙模式进行协议/端口放行控制,当然也可以下接op系统进行nat66
回复

举报

卢奇亚诺
发表于 2025-5-5 18:08 | 显示全部楼层
那么有没有能配置IPV6防火墙规则的硬路由呢
回复

举报

brucelee1126
 楼主| 发表于 2025-5-5 20:02 | 显示全部楼层
换回OP了,以后应路由得买企业级了
回复

举报

hayse
发表于 2025-5-5 21:01 | 显示全部楼层
brucelee1126 发表于 2025-5-5 20:02
换回OP了,以后应路由得买企业级了

硬路由除了神秘的小包加成,没有任何理由去用他,再说也有很多说法这些都是人为的制造焦虑,家用场景op小包同样能力大转飞。
无线的话,我选择用正经商用AP,放着就不用管。
回复

举报

Mashiro_plan_C
发表于 2025-5-5 21:08 来自手机 | 显示全部楼层
卢奇亚诺 发表于 2025-5-5 18:08
那么有没有能配置IPV6防火墙规则的硬路由呢

华硕.jpg
回复

举报

流精岁月
发表于 2025-5-6 08:55 来自手机 | 显示全部楼层
之前看到有人说在tp的应用里面有个专门针对IPv6的“虚拟服务器”,可以放行特定主机的特定端口。反正我手里机器的只有IPv4能这么设置。
回复

举报

brucelee1126
 楼主| 发表于 2025-5-6 09:29 | 显示全部楼层
流精岁月 发表于 2025-5-6 08:55
之前看到有人说在tp的应用里面有个专门针对IPv6的“虚拟服务器”,可以放行特定主机的特定端口。反正我手里 ...

我回头看看
回复

举报

死也要爱钱
发表于 2025-5-6 10:01 | 显示全部楼层
13090大雕发了qwrt固件但要拆机刷(图源群友
1000048994.png
回复

举报

包子不寂寞
发表于 2025-5-6 16:39 | 显示全部楼层
死也要爱钱 发表于 2025-5-6 10:01
13090大雕发了qwrt固件但要拆机刷(图源群友

是呀,我也看到了,就是拆机刷有些麻烦还丢失保修
回复

举报

发表于 2025-5-6 16:50 来自手机 | 显示全部楼层
包子不寂寞 发表于 2025-5-6 16:39
是呀,我也看到了,就是拆机刷有些麻烦还丢失保修

建议是tp当交换机/ap使用,单独搞个方便折腾的设备当主路由
回复

举报

卢奇亚诺
发表于 2025-5-7 09:13 来自手机 | 显示全部楼层
流精岁月 发表于 2025-5-6 08:55
之前看到有人说在tp的应用里面有个专门针对IPv6的“虚拟服务器”,可以放行特定主机的特定端口。反正我手里 ...

v6确实可以,设置完得通过wan口v6 ip访问,而且如果主机v6变了每次得手动改
回复

举报

cyberms
发表于 2025-5-7 09:41 | 显示全部楼层
也没啥屌事

反正都是slaac
回复

举报

流精岁月
发表于 2025-5-7 12:34 来自手机 | 显示全部楼层
卢奇亚诺 发表于 2025-5-7 09:13
v6确实可以,设置完得通过wan口v6 ip访问,而且如果主机v6变了每次得手动改 ...

“虚拟服务器”可以设置放行IPv6端口吗?可以截图看看吗?你的是什么型号?应该不只是可以放行wan口v6吧,lan口下接的设备只要下发成功了v6地址应该都可以设置的吧
回复

举报

卢奇亚诺
发表于 2025-5-7 12:46 | 显示全部楼层
本帖最后由 卢奇亚诺 于 2025-5-7 12:48 编辑
流精岁月 发表于 2025-5-7 12:34
“虚拟服务器”可以设置放行IPv6端口吗?可以截图看看吗?你的是什么型号?应该不只是可以放行wan口v6吧 ...

QQ20250507-124808.png
https://resource.tp-link.com.cn/ ... id=1718865542861125 tp官方文档,但是我觉得这个最拉地方就是每次v6变了得手动改
回复

举报

流精岁月
发表于 2025-5-7 13:37 来自手机 | 显示全部楼层
卢奇亚诺 发表于 2025-5-7 12:46
https://resource.tp-link.com.cn/pc/docCenter/showDoc?id=1718865542861125 tp官方文档,但是我觉得这 ...

IPv6地址是只能拉取选择吗,还是可以手动填的?如果可以手动填,试试掩码可以吗?比如你的电脑v6地址后四段是::a:b:c:d,设置IP地址为0::a:b:c:d/0::ffff:ffff:ffff:ffff,slaac模式后四段一直都是不变的,无论宽带怎么重新拨号变前缀地址,这个地址都是会被匹配到然后放行的。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Archiver|手机版|小黑屋|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2025-5-7 13:50 , Processed in 0.011428 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2007-2024 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表