红米AX3000如何设置ipv6防火墙开放单设备到外网？

sayxw

如题，目前有公网ipv6，我想把他放行到外网，远程控制设备，但是ipv6和ipv4的防火墙完全不一样，毕竟ipv4的话，直接设置个DMZ主机就好，这样外网只能访问这个主机，不会暴露其他内网设备。

但是ipv6就不行了，再加上米家的路由器防火墙只有一个开，关，没法自定义。

目前我开ssh了，用的方法是开放指定端口，如下

ip6tables -I forwarding_rule -p tcp --dport 1234 -j ACCEPT

这样外网能访问内网设备的1234端口，但是这样并不完美，因为这条命令不仅仅是放行我要访问的这个设备，而是放行了路由器下级所有内网设备的1234端口……
因为内网设备每个设备获取到单独的ipv6地址了。

所以目前问问大神们，谁能有个方法解决这个问题？

为了开放指定内网ipv6地址，并不开放所有内网设备。

Easong

楼主执行ip6tables -I forwarding_rule -p tcp --dport 1234 -j ACCEPT后，是否可以执行service iptables save来永久保存规则？


这2个帖子的方式折腾了机会都不成功，求小白教程
https://www.right.com.cn/FORUM/f ... ead&tid=8250606

https://www.right.com.cn/FORUM/f ... ead&tid=8277987

ryanlee88

Socat 了解一下

Easong

同求方法

啊啊想啊

mac_address="应该是全部小写的mac地址"
#获取指定mac的ipv6地址
ipv6_address=$(ip -6 neighbor show | grep "$mac_address" |grep -v fe80| awk '{print $1}' | head )
#开放指定设备的ipv6的443端口
if [[ -n $ipv6_address ]]; then
    ip6tables -I FORWARD -p tcp -d "$ipv6_address" --dport 443 -j ACCEPT
fi

啊啊想啊

啊啊想啊 发表于 2023-6-6 22:44
mac_address="应该是全部小写的mac地址"
#获取指定mac的ipv6地址
ipv6_address=$(ip -6 neighbor show | g ...

我这是padavan上用的，openwrt没有测试过，可以自己改一改

sayxw

Easong 发表于 2023-6-6 22:31
楼主执行ip6tables -I forwarding_rule -p tcp --dport 1234 -j ACCEPT后，是否可以执行service iptables s ...

这条命令是即时生效的，重启失效，当然也可以永久保存规则，我时长变动所以没有永久保存。，这种方法只能临时用，并不好用，毕竟是直接把所有内网设备的1234端口开放到外网了…

sayxw

Easong 发表于 2023-6-6 22:31
楼主执行ip6tables -I forwarding_rule -p tcp --dport 1234 -j ACCEPT后，是否可以执行service iptables s ...

我按照第一个帖子的方法，成功了

先备份一个/etc/config/firewall，再改！防止翻车

直接在/etc/config/firewall里添加

config rule
        option target 'ACCEPT'
        option name 'NAS'
        option dest_port '38000'
        list proto 'tcp'
        option dest 'lan'
        option src 'wan'
        list dest_ip '::内网设备ipv6后缀/::ffff:ffff:ffff:ffff'

重启一下firewall即可。


只需要改第四行的38000，这个是端口，开放哪个就写哪个，然后最后一行的内网设备ipv6的后缀。

Easong

这个方设法尝试改了好多次就是不成功，可能是固件问题。

sayxw

Easong 发表于 2023-6-8 01:17
这个方设法尝试改了好多次就是不成功，可能是固件问题。

我是红米AX3000的官方固件，只开启ssh来改的，上面方法测试通过，
注意添加到/etc/config/firewall里后，要执行重启防火墙才能生效。
/etc/init.d/firewall restart
你添加好参数后，可以输入
ip6tables -L -n --line-numbers |grep 88
来看看防火墙规则里是否有你添加的，88是你填的端口。

在/etc/config/firewall里添加的规则，重启不会丢失，但是需要开机后手动再重启一下firewall才能生效，具体原因未知。

Easong

sayxw 发表于 2023-6-8 12:35
我是红米AX3000的官方固件，只开启ssh来改的，上面方法测试通过，
注意添加到/etc/config/firewall里后， ...

我之前用一连设了好几个端口，再试一下单端口设置看看吧。

Easong

MD果然是一组命令只能设置一个端口，第一个帖子明明说可以一组命令可以写多个端口啊
害我折腾这么久

sayxw

Easong 发表于 2023-6-8 21:52
MD果然是一组命令只能设置一个端口，第一个帖子明明说可以一组命令可以写多个端口啊
害我折腾这么久 ...

想省事没省成，还弄出事儿来了❛‿˂̵✧

andyjiao

咋开SSH啊，我开不了

caco12138

sayxw 发表于 2023-6-7 18:47
我按照第一个帖子的方法，成功了

先备份一个/etc/config/firewall，再改！防止翻车

请问能不能直接放行域名，公网ipv6每过几天都会变，每次都要重新进ssh改ip真的很烦，像ddns那种就很方便。不知道还有没有什么其他更好方法