飞社-令人惊奇的创意工作者社区-首页OpenWrt请教 openwrt 下 ipv6 的疑问
FSHEX=FIND+SHARE+EXPRESS
飞社-令人惊奇的创意工作者社区- 是一个关于发现分享表达的地方
现在登录
没有账号?  立即注册

请教 openwrt 下 ipv6 的疑问

yaocf · 6 小时前 · 414 次点击
目前的配置如下
接口配置
https://imgur.com/Y3ecuSe
<img src="https://imgur.com/Y3ecuSe.png">
防火墙-区域配置-常规
https://imgur.com/L2wIxke
<img src="https://imgur.com/L2wIxke.png">
防火墙-区域配置-区域
https://imgur.com/YRRIhhC
<img src="https://imgur.com/YRRIhhC.png">

目前的症状:
外部主机可以 ping 通`pppoe-wan`口的 ipv4 、ipv6 地址(双栈正常访问)以及 nmap 访问防火墙上的对应开发端口
外部主机可以 ping 通`lan`、`docker_app_*`的::/64 长度的 ipv6 公有网关地址,以及通过虚拟局域网( wireguard )访问::/64 长度的 ipv6 私有网关地址
外部主机无法 ping 通`lan`、`docker_app_*`下任何主机的公有 ipv6 地址,也无法 nmap 这些主机上暴露的服务端口。openwrt 主机自身是可以访问的,并且,`lan`下的主机也是可以 ping 和 nmap 访问`docker_app_*`接口下主机的公有 ipv6 地址的

搞不懂的问题:
- 由于`lan`和`docker_app_*`接口上的 ipv6 地址是从 wan 口的 ipv6 前缀委托而来,那么,它受防火墙的哪个区域的规则控制?比如,不接受 wan 区域入站,是否意味着,这些从 wan 区域委托得到的 ipv6 地址都是拒绝入站的?还是说由于他们的地址是分配到`lan`或`docker_app_*`的接口上的主机的,所以,适用于`lan`或`docker_app_*`区域的入站规则?
- OpenWrt 的防火墙控制(入站出站转发)没有区分 ipv4/6 ,但是,目前所有主机都是可以有公有和私有两种 ipv6 地址的(通过前缀过滤器,可以过滤掉私有 ipv6 地址),那么,怎么在防火墙上区分开来控制?
举报· 414 次点击
登录 注册 站外分享
显示全部 | 最新评论
3 条回复  
沙发
coolloves 初学 6 小时前
默认全局是出允许,入禁止 一般都是在通信规则里面单独添加例外,我看了下,我的路由器,里面是添加了 icmp 的允许,有需要暴露的端口我也是在这里添加的转发规则. https://i.imgur.com/jCCjJPN.png
板凳
yaocf 楼主 初学 6 小时前
@coolloves 我这边`docker_app_*`区域上的入站只要一关,ipv6 请求就会出问题:比如 qbittorrent 会出现:能获取到 ipv6 地址,但是连不上 ipv6 对端,也无法访问其他的 ipv6 公网服务。比如`api6.ipify.org`连 ping 都 ping 不通。
地板
coolloves 初学 5 小时前
只能不懂帮顶了,我刚用 op,而且是硬路由器刷的,基本就是开箱即用的,你这个是软路由吧,没搞过
手机版小黑屋飞社-令人惊奇的创意工作者社区
Powered by FSHEX ♥ GMT+8, 2024-11-26 15:44, Processed in 0.109209 second(s), 25 queries .
鲁ICP备2024064694号-2
返回顶部