N1盒子openwrt系统ipv6防火墙设置[记录]

电***

记录一下操作，不确定是不是正确的方法
想用公网ipv6访问盒子里的服务，在上面跑了alist，N1是旁路由，主路由用的移动办宽带送的路由器关闭了v6的防火墙，在外面扫了一下N1盒子的IP发现服务的端口都暴露了，所以想设置一下N1的防火墙只暴露指定的端口。

系统是用的F大的88版本的
一开始的ip6table INPUT表是



ip6table 添加以下规则

1. 
   
2. <div>#添加自己需要开放的端口
   
3. ip6tables -A input_rule -p tcp --dport 22 -j ACCEPT
   
4. ip6tables -A input_rule -p tcp --dport 443 -j ACCEPT
   
5. ip6tables -A input_rule -p tcp --dport 5244 -j ACCEPT
   
6. ip6tables -A input_rule -p tcp --dport 6888 -j ACCEPT
   
7. ip6tables -A input_rule -p ucp --dport 6888 -j ACCEPT
   
8. #把INPUT的默认策略改为DROP
   
9. ip6tables -P INPUT DROP
   
10. #去掉NEW 的ACCEPT
    
11. ip6tables -A input_rule -m conntrack --ctstate NEW -j DROP

复制代码

添加规则后的ip6table


端口扫描也只发现ip6table放行端口

siy***

学习一下，
用什么工具怎么扫描端口呀

电***

siyu04 发表于 2024-4-25 19:56
学习一下，
用什么工具怎么扫描端口呀

用的nmap
nmap -6 -sS -p 1-65535 -v  ipv6地址

vik***

恰巧我这几天也在尝试n1旁路由下ipv6的防火墙操作，我个人操作如下

1.参照这一教程（https://www.right.com.cn/forum/f ... highlight=ipv6%2Bn1），设置好网卡lan6作为dhcp v6客户端，但是新建防火墙而不选择lan本身使用的

2.lan6的防火墙设置为入站关，出站开，转发开，并在高级设置中将限制地址改为仅ipv6；同时将lan的防火墙限制地址改为仅ipv4

3.通信规则-打开路由器端口-新建进入规则

  限制地址改为ipv6，协议ICMP，源区域：lan6，目标区域：设备（输入），目标端口：想开放的端口（例如：50000-60000）

  禁用原有的Allow-ICMPv6-Input、Allow-ICMPv6-Forward规则


此后就应只有想暴露的端口可以访问了。
个人也是从先关闭ipv6的防火墙，后开放端口的思路进行操作的，可能有疏漏，希望不吝赐教。

budin***

你你你你你你，我i没有学会

wo***

也是怕不太安全 学习一下