ros ipv6配置防火墙，ipv6 pppoe分配的地址总变怎么办？

futurehost

电信 2天左右就重新连接一下pppoe，结果每次ipv6 htcp就变一个地址。我根据网上配置的ipv6防火墙，其中地址这里，需要输入ipv6地址；岂不是每两天就要重新配置一遍？  有什么办法，pppoe重新拨号时，ipv6防火墙里这个地址，也自动更新呢？


这是网上配置ipv6防火墙的地址设置里面的配置。


首先定义地址列表，这些地址包括本地链路地址、组播地址和你获取的IPv6地址
/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=your_ipv6 address list=allowed
add address=ff02::/16 comment=multicast list=allowed

colin

用脚本更新啊。不过貌似不需要这样的防火墙规则。如果是想保护路由的话，建议参考下官方给出的推荐ipv6规则。

futurehost

colin 发表于 2022-2-23 12:39
用脚本更新啊。不过貌似不需要这样的防火墙规则。如果是想保护路由的话，建议参考下官方给出的推荐ipv6规则 ...

是保护路由内部的内网啊，里面都是带公网ip的，还是比较危险的。

请问哪里有官方推荐的ipv6规则？

colin

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
拉到最底下。这个我一直在用。当然是根据自己的实际情况改造了下。
保护内网的话，并不需要你上面写的啥地址列表啊。

futurehost

colin 发表于 2022-2-23 18:37
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
拉到最底下。这个我一直在用。当然是根据自 ...

多谢先，这里面推荐的address list是这样的

/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=xxxx::/48  list=allowed
add address=ff02::/16 comment=multicast list=allowed

xxxx::48，在ipv6里是什么意思吗？是全部的意思吗？

colin

他这个是为了允许指定的地址可以访问路由身。如果你是在内网访问的话，直接用接口来限定啊。不需要指定这个地址的。

futurehost

colin 发表于 2022-2-23 22:01
他这个是为了允许指定的地址可以访问路由身。如果你是在内网访问的话，直接用接口来限定啊。不需要指定这个 ...

请问防火墙最后一句话，会阻止我内外客户端访问外网，这是什么原因呢？
add action=drop chain=forward log-prefix=IPV6


log里面，有这样的字眼  proto UDP， 难道是客户端查询外网dns，被防火墙给盾了？

colin

那条的主要目的是要禁止外网访问你的内网机器
倒数第2条，
add action=accept chain=forward comment="local network" in-interface=!sit1 src-address-list=allowed
会允许内网机器访问外网。
不过要稍做改造，
add action=accept chain=forward comment="local network" in-interface=if-list-lan
比如内网机器从eth3, eth4等接口，那就把这几个接口放到if-list-lan里面去

futurehost

colin 发表于 2022-2-26 09:00
那条的主要目的是要禁止外网访问你的内网机器
倒数第2条，
add action=accept chain=forward comment="lo ...

多谢多谢，我这个!sit1，我一直用的是!wan，估计是这个原因吧

futurehost

colin 发表于 2022-2-26 09:00
那条的主要目的是要禁止外网访问你的内网机器
倒数第2条，
add action=accept chain=forward comment="lo ...

请问倒数第三条的!sit1  是否也需要改为lan口呢

futurehost

我把倒数第二条这一部分删了，src-address-list=allowed。因为我觉得这个allowed list，若上面没有加入分配的v6地址，则这句话对内网访问不起作用，都进到最后的drop里面去了。前面说了，若是加了上面那个allowed 地址，这里就起作用了。每两天换一次地址，这里就失效了。端口和地址是与的关系，所以删掉就可以了。

colin

我上面说了啊。倒数第2条需要改造，其中一个内容就是把src-address-list这一条件删了。改为用interface-list。
不过你现在不会改成这样子吧？
add action=accept chain=forward comment="local network"

futurehost

colin 发表于 2022-2-27 01:26
我上面说了啊。倒数第2条需要改造，其中一个内容就是把src-address-list这一条件删了。改为用interface-lis ...

加了端口号的

colin

加端口号的话，应该要区分方向。比如
internet->内网，只开放指定端口
内网->internet，全部放行

futurehost

colin 发表于 2022-2-27 13:36
加端口号的话，应该要区分方向。比如
internet->内网，只开放指定端口
内网->internet，全部放行

明白，目前我没有外部访问需求，只把内部访问外面就可以了。多谢多谢