主路由是 openwrt ,想通过公网访问与主路由连接的群晖 NAS ,家里宽带只有动态 IPv6 的公网 IP ,该如何配置 openwrt 的防火墙规则呢?
iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
请教一下各位有什么好方法吗?
iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
请教一下各位有什么好方法吗?
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 899 days ago, the information mentioned may be changed or developed.
Supplement 1 · Jan 1, 2024
 |
1
kaedeair Jan 1, 2024 via Android  1
放行目的地 ip 地址::xxxx:xxxx:xxxx:xxxx/::ffff:ffff:ffff:ffff
|
 |
2
lcdtyph Jan 1, 2024 via iPhone 1
1. 可以像一楼那样匹配后缀,但这需要该设备支持获取 dhcpv6 并禁用 slaac
2. 可以匹配该设备的 mac 地址,luci 界面上可以选 |
 |
3
cpstar Jan 1, 2024
只是放行目标地址(也就是 NAS 设备)么?放行 NAS 端口不就好了,然后 NAS 做 AAAA 的 DDNS ,至于获取 IP ,本机获取 V6 地址的方法千千万。
|
 |
4
proxytoworld Jan 1, 2024
iptables 可以放行范围吧,你家 IP 不可能不重复吧
|
 |
5
WhatTheBridgeSay Jan 1, 2024
感觉像是 V4 过度到 V6 还不太适应的样子,楼上怎么还有 DDNS 的....IPV6 的防火墙在你的群晖上
|
|
6
WhatTheBridgeSay Jan 1, 2024
抱歉,楼上说 NAS 的 DDNS 并没有错,是我看叉劈了
|
 |
7
acbot Jan 1, 2024
@lcdtyph
是的,IPv6 防火墙有一个特性,可以后缀匹配! 但 “ ... 这需要该设备支持获取 dhcpv6 并禁用 slaac ... ” 这个说法应该不严谨,slaac 也可以做到让机器后缀固定,只是要在相应的操作系统上调整地址生成的参数,并且 slaac 是 ipv6 更推荐的地址分配方式,兼容性也高于 dhcpv6 (因为早期的安卓系统就不支持 dhcpv6 )系统上再开启隐私扩展更安全。 |
|
8
WhatTheBridgeSay Jan 1, 2024
看了一下 OpenWrt 默认防火墙配置确实是拒绝转发的。
1. 如果你给群晖配置的后缀固定(不管是 slaac 还是 dhcp6)的话可以针对后缀设置防火墙放行 2. 也可以针对所有 IPV6 放行,允许从 wan 区域转发到 lan 区域,让 IPV6 发挥最大价值,当然如果采用后者拥有 IPV6 的机器本身防火墙还是有必要开一开的,虽然理论上 IPV6 基本不可扫描。  |
|
11
acbot Jan 2, 2024
|
 |
12
jiuyl Jan 2, 2024
问题是,指定后缀放行了。 家里地址变更,你在外网,怎样知道家里的前缀呢。
|
 |
13
tsanie Jan 2, 2024
openwrt 后缀匹配支持::a:b:c:d/-64 这种写法,建议少些几个字
(虽然最终生成到 nft 里还是/::ffff:ffff:ffff:ffff ) |
|
15
acbot Jan 2, 2024
@qianxu2001 我只知道老版本(大约:android 8 之前)是确定不支持, 新版本(大约:android 9 以后)是否支持,说法就是五花八门了(有说支持的,有说要特定厂家定制版本支持的,也有说不支持的),我也没办法去都去验证,所以我只能说老版本了!
|
 |
16
ysc3839 Jan 2, 2024 via Android
匹配 MAC 地址
|
 |
17
v2yoog Jan 4, 2024
架设 vpn 组内网就好了
|
Select Language