|
|
本帖最后由 mcgram 于 2025-4-28 00:56 编辑
虽然ipv6多到可以给每粒沙子赋予一个地址,但粗暴的关闭防火墙把家里所有设备都暴露给公网总归有隐患。
我的环境是移动公网动态ipv6,这两天各种搜索,b站各种找教程,恩山都翻烂了。。。。。。试过socat,lucky,防火墙指令,最后还是在openwrt自带的图形界面设置成功的。
首页-网络-防火墙:
【常规设置】不用动。这页管着全局,优先性低于后面的端口转发和通信规则。
【端口转发】不用动。我试用只对ipv4起作用,可我这个版本的固件设置里面明明有ipv6选项,我猜是公网ipv6直达设备所以不存在转发?
【通信规则】拉到下面点添加,名字自定义,协议按照自己需求选择,
源地址可留空或填运营商ipv6前缀比如移动是2409::/16,填上之后就只放行移动流量进入(这里指的是外网你用的运营商而非你家宽带的运营商),可填多个,
源端口我试过填端口却不能访问不知道怎么回事所以留空,
目标地址ipv6写法就是本帖发帖目的:
设备的公网ipv6地址由八组字符组成,前四组由运营商决定经常变动即所谓动态ip,后四组是根据设备mac地址计算得出固定不变,规则就是复制你设备的ipv6地址后四组,在其前面加上两个冒号::,在其后面加上/::ffff:ffff:ffff:ffff,
最后效果就是::1234:1234:1234:1234/::ffff:ffff:ffff:ffff。 有时会遇到设备固定ip部分不足四组,或者你觉得四组太长懒得打,只写最后一组也是可以,::1234/::ffff。只写后两组就这样 ::1234:1234/::ffff:ffff。自己变通。
目标端口填你想访问的端口,多个端口号之间用空格分隔,想开放nas全部端口就留空,操作选接受,其他设置部分默认或按需设置。
最后保存,勾选,保存并应用,如果没起作用尝试启动项里重启firewall。
这样就实现了只暴露特定设备给外网并且无论该设备的动态ipv6如何变化都有效。
(补充一点,我遇到过后四组ipv6每次重启都变的情况,是n1盒子刷了armbian,不清楚是刷机后mac丢失还是armbian的隐私策略,需要固定mac,这里提醒一下诸位如遇到自行研究)
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724
本站不良内容举报信箱:68610888@qq.com
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
发表于 2023-11-2 12:14
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
