OpenWRT IPv6 防火牆重定向連接埠

Question 1

實際上，您也可以在 Linux ip6tables 中使用相同的基於 DNAT 的連接埠轉送。主要區別是你不改變目的地地址；另一方面，你確實需要匹配在現有地址上。

-t nat -I PREROUTING -d 2345::1 -p tcp --dport 5000 -j DNAT --to-destination [2345::1]:22

當然，使用 IPv6，您不需要基於 SNAT 的偽裝，但這是一個完全獨立的防火牆規則，因此可以簡單地省略它。

我不知道這如何轉換為 OpenWRT（除非你可能需要該kmod-ipt-nat6套件），但我懷疑它是這樣的：

config redirect
    option family ipv6
    option src wan6
    option src_dip 2345::1
    option proto tcp
    option src_dport 5000
    option target DNAT
    option dest_ip 2345::1
    option dest_port 22

Answer

實際上，您也可以在 Linux ip6tables 中使用相同的基於 DNAT 的連接埠轉送。主要區別是你不改變目的地地址；另一方面，你確實需要匹配在現有地址上。

-t nat -I PREROUTING -d 2345::1 -p tcp --dport 5000 -j DNAT --to-destination [2345::1]:22

當然，使用 IPv6，您不需要基於 SNAT 的偽裝，但這是一個完全獨立的防火牆規則，因此可以簡單地省略它。

我不知道這如何轉換為 OpenWRT（除非你可能需要該kmod-ipt-nat6套件），但我懷疑它是這樣的：

config redirect
    option family ipv6
    option src wan6
    option src_dip 2345::1
    option proto tcp
    option src_dport 5000
    option target DNAT
    option dest_ip 2345::1
    option dest_port 22

Question 2

目前似乎無法在 OpenWRT 的防火牆 3 中使用 IPv6 的「設定重定向」。

但是我可以使用以下規則手動實現它：

ip6tables -t nat -I PREROUTING -d IPV6_ADDRESS_HERE -p tcp --dport 5000 -j DNAT --to-destination [IPV6_ADDRESS_HERE]:22 ip6tables -A zone_wan_input -m conntrack --ctstate DNAT -j ACCEPT ip6tables -A zone_wan_forward -m conntrack --ctstate DNAT -j zone_(ZONE_NAME)_dest_ACCEPT

Answer

目前似乎無法在 OpenWRT 的防火牆 3 中使用 IPv6 的「設定重定向」。

但是我可以使用以下規則手動實現它：

ip6tables -t nat -I PREROUTING -d IPV6_ADDRESS_HERE -p tcp --dport 5000 -j DNAT --to-destination [IPV6_ADDRESS_HERE]:22 ip6tables -A zone_wan_input -m conntrack --ctstate DNAT -j ACCEPT ip6tables -A zone_wan_forward -m conntrack --ctstate DNAT -j zone_(ZONE_NAME)_dest_ACCEPT

OpenWRT IPv6 防火牆重定向連接埠

答案1

答案2

相關內容