请教：关于IPV6环境下的防火墙设置

project_box

家里的宽带已经有v6的地址了，LAN下的设备也都分配到v6地址了，但是v4的时候有NAT保护，v6直接就是公网地址，外网能直接ping通LAN下的设备，感觉很不安全啊
防火墙该怎么配才能达到保护LAN下设备的效果？
网上找到的都是关于怎么打开v6的，根本找不到怎么配置v6防火墙的

请不要胡乱输入以及粘贴、复制等方式灌水

请尊重作者、并共同维护网站的正常阅读，否则账户将会被限制发帖、回帖，站内短信以及阅读权限等都会受到影响，谢谢。 具体限制方式：https://www.right.com.cn/forum/thread-8307840-1-1.html

lcsuper

1、没有ipv6需求，直接关了ipv6拨号，简单粗暴
2、LAN不分配ipv6地址给内网设备，只给ipv4
3、路由器上装个lucky，LAN不给内网ipv6地址只分配ipv4，通过lucky转发ipv6公网请求到内网ipv4设备，通过端口映射出去，自己定义进出规则

TalentMo

lcsuper 发表于 2023-2-23 22:37
1、没有ipv6需求，直接关了ipv6拨号，简单粗暴
2、LAN不分配ipv6地址给内网设备，只给ipv4
3、路由器上装 ...

请教一下，桥接之后正常用的话，路由器的IPV6需要开启吗？IPV6的防火墙主要是干什么的？

avin4

如果你用的光猫拨号，或者国产硬路由拨号，基本不要想V6防火墙的事儿，现状就2种：

1. 和你的一样在网关层面完全没V6防火墙，LAN设备要靠各客户端自己做防火墙安全，如果没有就等同纯裸奔
2.可以开启V6防火墙，但是默认除了访问外网的路由之外，ICMP和PING之类全阻断也没法设置转发

这里是op的讨论区，如果你光猫桥接，用op路由拨号，V6防火墙是运行正常且完全可配置的，至少官方源码是这样。

99010

openwrt官方固件默认允许外部ping内网ipv6公网IP，但是拒绝外部连接内网ipv6公网IP。如果打算也禁止ping，直接去掉允许ping的选项。

project_box

感谢各路大神的指点，思考了

project_box

avin4 发表于 2023-2-24 12:44
如果你用的光猫拨号，或者国产硬路由拨号，基本不要想V6防火墙的事儿，现状就2种：

1. 和你的一样在网关 ...

原生openwrt默认开了v6防火墙吗？不太会看openwrt的防火墙

project_box

99010 发表于 2023-2-24 13:08
openwrt官方固件默认允许外部ping内网ipv6公网IP，但是拒绝外部连接内网ipv6公网IP。如果打算也禁止ping， ...

入站是不是管路由器的X:X:X::1的？
转发是不是管LAN下的其他设备的？

99010

project_box 发表于 2023-2-24 21:08
入站是不是管路由器的X:X:X::1的？
转发是不是管LAN下的其他设备的？

我发的截图就是openwrt默认防火墙设置。

avin4

project_box 发表于 2023-2-24 21:03
原生openwrt默认开了v6防火墙吗？不太会看openwrt的防火墙

op当网关模式肯定开了，我用了几年可以确定，也很好检查，旁路由模式就不知道是否有效了
你要确定是不是官方源码，因为有些lean/lienol的源码某些版本防火墙正常，有些又有问题，不好说，官方源码正式版是好的
另外原厂固件，即使是基于openwrt也不算官方源码，因为譬如小米TP这样的厂家肯定在里面加了自己的东西也改了很多地方

project_box

avin4 发表于 2023-2-25 09:48
op当网关模式肯定开了，我用了几年可以确定，也很好检查，旁路由模式就不知道是否有效了
你要确定是不是 ...

我是直接在openwrt官网上下载的bin文件，应该是原生的

avin4

官方固件默认配置没有V6防火墙？你怎么判断的？可以在外网PING6 LAN某个客户端？我这边ping6能行但是端口无法访问，默认V6防火墙有一条

1. allow-icmp6-forward

复制代码

project_box

avin4 发表于 2023-2-25 20:43
官方固件默认配置没有V6防火墙？你怎么判断的？可以在外网PING6 LAN某个客户端？我这边ping6能行但是端口无 ...

思考了，多谢前辈指点