IPV6公网暴露下的OPENWRT防火墙安全设置(只允许访问局域网中指定服务器指定端口其余拒绝)

首先是防火墙的常规配置和区域配置

标的有点乱但是选项含义都做了解释,看不懂可以直接按图抄作业。

其次是对需要访问的端口做访问放通

情况1 DDNS位于openwrt网关上,外网访问openwrt,通过端口转发访问内部服务器。此情况需要设置端口转发。

外部端口与内部端口无需对应,外部端口为你网址访问后跟的端口,内部端口为服务器上提供服务的端口。

情况2 DDNS做在服务器上,IPV6直接访问服务器,此情况需要设置通信规则。

由于是直接外网通过IPV6进行访问服务器,所以这里目标地址不能和情况1一样填写内网v4地址,必须填写IPV6地址。

但是由于IPV6的变化性,所以需要做一些地址匹配,使其忽略不断变化的网络号,只匹配不变动的主机号。

复制代码
目标地址

::51a2:696c:1dd5:5701/::ffff:ffff:ffff:ffff
前面为IPV6后4段(由于EUI64生成方法会生成4段不变主机号。若手动设置了较短的静态地址主机号也行但需要根据自己情况修改地址和掩码长度,如主机号只有 ::1 则只需要匹配最后一段)
斜杠后为掩码,表明后四段为主机号,含义为匹配完整IPV6地址的后四段

如何查询主机号后缀? ifconfig然后选取最后四段(四段只对于EUI64后缀生成情况,若手动设置了较短的静态地址主机号则按自己情况修改,如主机号只有 ::1则只需要匹配最后一段)

**如何选择主机号后缀?**在查询出的多个地址中必须选择你DDNS做同步的那个ipv6地址的后缀。

注意!你的IPV6必须为EUI64生成这样主机位不会变动。

如果是stable-privacy生成则会每次生成不同的后缀,虽然有利于安全性,但是并不适用于防火墙规则编写。

可以按照以下教程修改。如果你不想修改,每次的地址都完全随机难以匹配,因此目的地址栏只能空着,仅依靠目标端口实现限制。(指定主机:端口 变为 所有主机:端口)

Linux_ipv6_无状态_设置为_eui64_有状态ipv6更改后缀 - osnosn - 博客园 (cnblogs.com)

通过这些设置我们可以在openwrt防火墙上对进出局域网流量进行控制。但是服务的安全性还需要依赖https tls 证书 等方法保证在公网的传输安全。

相关推荐
爆浇牛肉面1 小时前
Linux进阶命令:测开必学的curl和jq
linux
Sinclair2 小时前
安企CMS的安装-宝塔面板部署
服务器·后端
希望奇迹很安静2 小时前
数通基本实验
运维·服务器·网络
minglie12 小时前
zynq的linux驱动版终端AtShellDrv
linux
ITxiaobing20233 小时前
如何构建IP维度的假量排查流程:以AppsFlyer Protect360判假后的实战为例
网络·数据库
Eloudy3 小时前
基于 RDMA-CM(librdmacm)的聊天程序
网络·人工智能
(Charon)4 小时前
【C/C++】手写内存池(三):大块内存的申请、记录与单独释放
网络
欧神附体1235 小时前
在虚拟机搭建本地仓库和网络仓库
linux·运维·服务器
是个西兰花5 小时前
Linux:深入解析Linux线程原理与实现
linux·运维·c++·线程·互斥锁
运维大师5 小时前
【Linux运维极简教程】07-磁盘管理与LVM
linux·运维·服务器