routerOS 7.x的IPV6防火墙端口转发

hhjlo · 发表于 2023-1-10 13:02

如题，请大佬指点如何配置IPV6的防火墙端口转发，因为家庭网关对ipv6的端口为全部开放，在使用ddns进行域名解析后有很大的安全问题，五哦一请大佬指点迷津。
最重要的是无法确定ipv6地址，因为前缀一段时间就会变动，打开EUI64，使用前缀缺省，后缀固定的方式打开对应端口还是不行。

Shiloh · 发表于 2023-1-10 17:06

ipv6好像不用端口转发

hhjlo · 发表于 2023-1-10 18:03

Shiloh 发表于 2023-1-10 17:06
ipv6好像不用端口转发

因为在防火墙里要配置一条“丢弃所有数据包”的规则保证安全，所以想让单个ipv6地址开启指定端口，然后那个目的地址使用缺省前缀配置不了。

nco771520 · 发表于 2023-1-10 18:03

IPV6防火墙到油管里面搜 Sagit 他发了很多视频可以去看看

mantouboji · 发表于 2023-1-11 19:40

IPv6设置没必要搞得很复杂。前缀反正每3天就会被更换。LAN内也没必要每个机器都ddns

hhjlo · 发表于 2023-1-14 15:34

mantouboji 发表于 2023-1-11 19:40
IPv6设置没必要搞得很复杂。前缀反正每3天就会被更换。LAN内也没必要每个机器都ddns

我把危险端口的drop了保证安全，这个对ipv6的支持很不好，折中就只能这样了

zhenbushi · 发表于 2024-4-26 13:27

要是能按目标MAC就可以了，但是只有源MAC

依风听雨 · 发表于 2024-8-13 23:04

IPV6我知道前缀+本地私网可以映射，但是前缀是会变的，试了以MAC也不行啊。

fak7758521 · 发表于 2024-8-21 18:05

依风听雨发表于 2024-8-13 23:04
IPV6我知道前缀+本地私网可以映射，但是前缀是会变的，试了以MAC也不行啊。 ...

可以对域名捆绑做ipv6地址解析吗?

依风听雨 · 发表于 2024-8-22 10:37

fak7758521 发表于 2024-8-21 18:05
可以对域名捆绑做ipv6地址解析吗?

没明白你的意思

falltree · 发表于 2025-4-22 15:52

在openwrt里可以用::5678:5678:5678:5678/::FFFF:FFFF:FFFF:FFFF或者0:0:0:0:5678:5678:5678:5678/0:0:0:0:FFFF:FFFF:FFFF:FFFF
来替代某个ipv6地址为aaa:bbb:ccc:ddd:5678:5678:5678:5678局域网设备；

但在ROS这样的格式无法工作，此时可以用自行分配 IPv6 ULA 地址来实现，也就是给本地局域网分配一个类似fdac:xxxx:xxxx这样的局域网ipv6地址。
例如在ipv6---address里设置ROS的 local ipv6 ULA为 fdac::1/64，interface选自己命名的网桥，通常是bridge1，
然后每个局域网地址都会分配到一个fdac前缀的本地ipv6地址，比如局域网的win设备，本地ipv6除了公网ipv6外，还被分配了一个fdac::111:222:333:444
以上设置可参考教程：https://gitee.com/callmer/routeros_toss_notes/blob/master/08.%E8%AE%BE%E7%BD%AEIPv6.md

之后，就可以在ipv6-firewall中添加防火墙规则，
比如为上述局域网的win设备打开3389的远程桌面端口，
chain选择forward
Dst. addr为fdac::111:222:333:444
Protocol：6 tcp
Dst. Port: 3389
in interface: pppoe1 (或者用in interface list - WAN替代)
Action选择accept
这样就在ros里打开了3389的ipv6 防火墙端口。
注意：这条规则要移到规则列表的最上方，或者尽量前的位置，保证其优先被执行。

光端口还不够，还需要NAT转换
在NAT添加规则
chain: dstnat
Protocol: 6 tcp

Dst. Port: 3389
in interface: pppoe1 (或者用in interface list - WAN替代)

Action: dst nat，
To Address: fdac::111:222:333:444
To Ports: 3389

这样，就可以了。
远程用ddns域名就可以访问这台局域网win设备了（前提是这台win设置了ddns域名）。
其他linux，nas等设备也是类似的处理方式。

Shinglee · 发表于 2025-4-24 14:24

你直接说你的需求就行了，你想通过ipv6实现什么样的需求？

阿吆 · 发表于 2025-4-24 16:42

只给 bridge1 分配 IPv6 , 内网映射

jikky · 发表于 2025-4-25 14:24

你这个估计就是跟IPV4一样的需求，公网IPV6,内容搞个DHCP IPV6。然后一样的配置就行了。

daisuki · 发表于 2025-5-23 21:19

falltree 发表于 2025-4-22 15:52
在openwrt里可以用::5678:5678:5678:5678/::FFFF:FFFF:FFFF:FFFF或者0:0:0:0:5678:5678:5678:5678/0:0:0:0: ...

大佬厉害，困扰我多天的问题终于在这里找到了答案，感谢分享！

账号		自动登录	找回密码
密码			立即注册

[Router OS] routerOS 7.x的IPV6防火墙端口转发

相关帖子

点评

本帖子中包含更多资源

点评

点评

点评

点评

欢迎大家光临恩山无线论坛 1/1