IPV6公网暴露下的OPENWRT防火墙安全设置(只允许访问局域网中指定服务器指定端口其余拒绝)

首先是防火墙的常规配置和区域配置

标的有点乱但是选项含义都做了解释,看不懂可以直接按图抄作业。

其次是对需要访问的端口做访问放通

情况1 DDNS位于openwrt网关上,外网访问openwrt,通过端口转发访问内部服务器。此情况需要设置端口转发。

外部端口与内部端口无需对应,外部端口为你网址访问后跟的端口,内部端口为服务器上提供服务的端口。

情况2 DDNS做在服务器上,IPV6直接访问服务器,此情况需要设置通信规则。

由于是直接外网通过IPV6进行访问服务器,所以这里目标地址不能和情况1一样填写内网v4地址,必须填写IPV6地址。

但是由于IPV6的变化性,所以需要做一些地址匹配,使其忽略不断变化的网络号,只匹配不变动的主机号。

复制代码
目标地址

::51a2:696c:1dd5:5701/::ffff:ffff:ffff:ffff
前面为IPV6后4段(由于EUI64生成方法会生成4段不变主机号。若手动设置了较短的静态地址主机号也行但需要根据自己情况修改地址和掩码长度,如主机号只有 ::1 则只需要匹配最后一段)
斜杠后为掩码,表明后四段为主机号,含义为匹配完整IPV6地址的后四段

如何查询主机号后缀? ifconfig然后选取最后四段(四段只对于EUI64后缀生成情况,若手动设置了较短的静态地址主机号则按自己情况修改,如主机号只有 ::1则只需要匹配最后一段)

**如何选择主机号后缀?**在查询出的多个地址中必须选择你DDNS做同步的那个ipv6地址的后缀。

注意!你的IPV6必须为EUI64生成这样主机位不会变动。

如果是stable-privacy生成则会每次生成不同的后缀,虽然有利于安全性,但是并不适用于防火墙规则编写。

可以按照以下教程修改。如果你不想修改,每次的地址都完全随机难以匹配,因此目的地址栏只能空着,仅依靠目标端口实现限制。(指定主机:端口 变为 所有主机:端口)

Linux_ipv6_无状态_设置为_eui64_有状态ipv6更改后缀 - osnosn - 博客园 (cnblogs.com)

通过这些设置我们可以在openwrt防火墙上对进出局域网流量进行控制。但是服务的安全性还需要依赖https tls 证书 等方法保证在公网的传输安全。

相关推荐
wuk9986 分钟前
基于MATLAB编制的锂离子电池伪二维模型
linux·windows·github
snoopyfly~3 小时前
Ubuntu 24.04 LTS 服务器配置:安装 JDK、Nginx、Redis。
java·服务器·ubuntu
独行soc3 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
BD_Marathon3 小时前
Ubuntu下Tomcat的配置
linux·ubuntu·tomcat
饥饿的半导体3 小时前
Linux快速入门
linux·运维
BD_Marathon4 小时前
Ubuntu:Tomcat里面的catalina.sh
linux·ubuntu·tomcat
BD_Marathon4 小时前
设置LInux环境变量的方法和区别_Ubuntu/Centos
linux·ubuntu·centos
Me4神秘4 小时前
Linux国产与国外进度对垒
linux·服务器·安全
zhaowangji4 小时前
ubuntu 20.04 安装中文输入法 (sougou pin yin)
linux·ubuntu
Me4神秘4 小时前
电信、移动、联通、广电跨运营商网速慢原因
网络