在IPV6环境下，如何开放下级设备给互联网访问

le062

最近我家里的移动宽带可以分配到原生IPV6地址，这样路由器下级的所有设备都拥有了独立IPV6地址。
简单找了下iptables的资料，可以在非全局关闭路由器防火墙的情况下，指定开放一个子设备的外网访问，命令如下：

1. iptables -A FORWARD -m mac --mac-source 12:34:56:78:12:5
   
2. 5 -j ACCEPT

复制代码

参考来源：https://www.cyberciti.biz/tips/i ... ress-filtering.html

注意，需在命令中指定子设备的mac地址，之后如下图加入自动脚本中即可。



-------------------------------------------------------------------------------------
2018年12月10日 18点01分 第一次编辑
经过测试，发现这条命令只能让外网ping到此设备，依然无法访问其端口。
目前可通过下面两条命令开放所有端口，但需指定其IP地址，而IP地址并不固定，这就有点坑爹了。

1. ip6tables -A FORWARD -p all -s 1111:2222:3333:6860:6fe6:6a59:5003:433d -j ACCEPT
   
2. ip6tables -A FORWARD -p all -d 1111:2222:3333:6860:6fe6:6a59:5003:433d -j ACCEPT

复制代码

-------------------------------------------------------------------------------------
2018年12月10日 18点59分 第二次编辑
由于子设备分配到的是动态IPv6地址，可以考虑将所有子设备的特定端口开放。不完美，但比关闭防火墙好很多。

1. ip6tables -A FORWARD -p tcp --dport 22 -j ACCEPT
   
2. ip6tables -A FORWARD -p tcp --dport 6660 -j ACCEPT
   
3. ip6tables -A FORWARD -p tcp --dport 6661 -j ACCEPT

复制代码

-------------------------------------------------------------------------------------
2020年7月3日
换了红米AC2100，因为要用它的加速器。所以无法刷第三方系统。相关命令需要加在指定Chain三秒

1. ip6tables -I forwarding_rule -p tcp --dport 22 -j ACCEPT
   
2. ip6tables -I forwarding_rule -p tcp --dport 6660 -j ACCEPT
   
3. ip6tables -I forwarding_rule -p tcp --dport 6661 -j ACCEPT

复制代码

开机自启：vi /etc/rc.local

1. # restore phy config
   
2. speed=$(uci -q get xiaoqiang.common.WAN_SPEED)
   
3. [ -n "$speed" ] && /usr/sbin/phyhelper swan "$speed"
   
4. 
   
5. ip6tables -I forwarding_rule -p tcp --dport 22 -j ACCEPT
   
6. ip6tables -I forwarding_rule -p tcp --dport 6660 -j ACCEPT
   
7. ip6tables -I forwarding_rule -p tcp --dport 6661 -j ACCEPT
   
8. 
   
9. exit 0

复制代码

fanuq

ip6tables试试呢,openwrt是两个命令分开的

leav325

这里的MAC是匹配 源MAC ，--mac-source，只能开放内网设备上网权限，不能开放内网设备被外网访问的权限

le062

leav325 发表于 2018-12-10 17:10
这里的MAC是匹配 源MAC ，--mac-source，只能开放内网设备上网权限，不能开放内网设备被外网访问的权限

确实呢。这个命令只让内网可以被外网PING，但是端口仍然无法访问。

L-vivi

开放特定端口目前正确的选择，看我的帖子，也是这么干的
https://www.right.com.cn/forum/thread-372567-1-1.html

junqhs

#开机自动安装运行 6relayd
export PATH=‘/etc/storage/bin:/tmp/script:/etc/storage/script:/opt/usr/sbin:/opt/usr/bin:/opt/sbin:/opt/bin:/usr/local/sbin:/usr/sbin:/usr/bin:/sbin:/bin‘
export LD_LIBRARY_PATH=/lib:/opt/lib
while ! [ -x "`which opkg`" ]
do
        logger -t "【6relayd】" "Waitting opt install"     
        sleep 3
done
while ! [ -x "`which 6relayd`" ]
do
        logger -t "【6relayd】" "6relayd not found,begin to install it"
        opkg update
        opkg install 6relayd
done
logger -t "【6relayd】" "6relayd has been installed"
6relayd -d -A eth2.2 br0
logger -t "【6relayd】" "6relayd start"

以上这段拷贝到路由器启动后执行，重启路由器。
路由器下面所有设备就都能获取公网IPV6地址了，我用了很久了没问题。

kinkit

马克下，感觉用得着

hzylucky

mark下
紫薯补丁

hzylucky

请问楼主，有ipv6网络，外网如何访问内网的机器

shb110119

https://blog.ptsang.net/match-ipv6-dynamic-addresses-in-iptables  这个帮你解毒..

le062

shb110119 发表于 2019-7-9 13:19
https://blog.ptsang.net/match-ipv6-dynamic-addresses-in-iptables  这个帮你解毒..

学到了，多谢