首先,我有一個 dns 配置為指向我的裝置全域位址的網域,該網域在 dhcpcd.conf 中設定為靜態,我的 ISP 全域前綴為 xxxx:xxxx:xxxx:de01::3/64。
我使用 Openwrt 路由器作為插入 ISP ONT 的主路由器。我的 IPv4 和 IPv6 網路連線正常運作:我可以 ping 或 ping6 到網路。從 OpenWRT,我的 ISP 給了我一個前綴委託 xxxx:xxxx:xxxx:de00/56。
當我用 ISP 路由器取代 OpenWRT 路由器時,我的 ISP(或它本身,我不知道)給它位址 xxxx:xxxx:xxxx:de01::1/64。
使用ISP 路由器,當我允許來自防火牆的流量時,可以從互聯網(我的手機為4G)訪問地址xxxx:xxxx:xxxx:de01::3 的伺服器,但由於我看到來自ISP 的/56 前綴,我我有點困惑。
我嘗試將 LAN 介面上的 IPv6 分配長度設定為 64,將 IPv6 分配提示設為 1,現在我的 OpenWRT 路由器具有與 ISP 提供給原始路由器相同的位址(xxxx:xxxx:xxxx:de01::1/64區域網路1)。因此,我嘗試在防火牆上配置從 WAN 443 到 LAN xxxx:xxxx:xxxx:de01::3 443 的流量規則,但我的伺服器仍然無法從我的手機存取。
我可能遺漏了一些東西,因為我是 IPv6 的新手,並且無法理解發生了什麼,因為我測試了許多配置但沒有達到我想要的效果。
我有人不能幫助我深入了解發生了什麼事嗎?
這是我的設定(OpenWRT 19.07):
網路:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
option ula_prefix 'fda0:71fe:ea0f::/48'
config interface 'lan'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ifname 'lan1'
option ip6class 'wan6'
option ip6assign '64'
option ip6hint '1'
config interface 'wan'
option ifname 'lan0'
option proto 'dhcp'
option vendorid 'neufbox_NB6V-MAIN-bypassed'
config interface 'wan6'
option ifname 'lan0'
option proto 'dhcpv6'
option reqprefix 'auto'
option reqaddress 'try'
防火牆:
config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option synflood_protect '1'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option output 'ACCEPT'
option mtu_fix '1'
option input 'REJECT'
option forward 'REJECT'
option masq '1'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config rule
option name 'Support-UDP-Traceroute'
option src 'wan'
option dest_port '33434:33689'
option proto 'udp'
option family 'ipv4'
option target 'REJECT'
option enabled '0'
config include
option path '/etc/firewall.user'
config rule
option name 'server_80'
list proto 'tcp'
option src 'wan'
option src_port '80'
option dest 'lan'
option dest_port '80'
option target 'ACCEPT'
list dest_ip 'xxxx:xxxx:xxxx:de01::3'
option family 'ipv6'
config rule
option name 'Server_443'
list proto 'tcp'
option src 'wan'
option src_port '443'
option dest 'lan'
option dest_port '443'
option target 'ACCEPT'
list dest_ip 'xxxx:xxxx:xxxx:de01::3'
option family 'ipv6'
答案1
因此,我透過在firewall.user 中新增自訂規則來使其工作。要使用全域 IPv6 打開特定 Lan 設備上的特定端口,我需要執行以下操作:
ip6tables -t filter -I FORWARD 1 -p tcp --dport 443 -d xxxx:xxxx:xxxx:de01::3 -j ACCEPT