openwrt利用nftables在校园网环境下开启nat6 (ipv6 nat)

年初写过一篇openwrt在校园网环境下开启ipv6 nat的文章,利用ip6tables控制ipv6的流量。然而从OpenWrt22版本开始,系统内置的防火墙变为nftables,因此配置方法有所改变。本文主要参考了OpenWRT使用nftables实现IPv6 NAT这篇文章。

友情提示

如果你的学校分配64的后缀,可以先试试把lan口的dhcp改为中继模式,因为lan口设备能获得global地址是最理想的情况。如果像我一样获得了global地址却无法上网,或者学校只分配128后缀地址的话,可以继续按照本文方法配置NAT6。

准备工作

  1. 软路由一个
  2. OpenWrt-22.xx或以上版本镜像
  3. 让WAN口获得ipv6地址(大多数固件默认能够获得ipv6地址,如果你有特殊情况请自行解决一下)

ps. 我用的路由器是redmi ax3000 (RA81),固件是从openwrt.ai编译得到的。如果你的型号和我一样,欢迎在这里下载固件直接使用。

详细步骤

1. 编辑 /etc/config/dhcp 文件,配置lan口dhcp6服务

config dhcp 'lan' 下修改/添加以下配置:

config 复制代码
option ra 'server'
option dhcpv6 'server'
option ra_management '1'
option ra_default '1'
2. 编辑 /etc/config/firewall 文件,设定ipv6地址转换
config 复制代码
config nat
	option name 'IPv6 Masquerade'
	option family 'ipv6'
	option src 'wan'
	option target 'MASQUERADE'
	list proto 'all'
3. 编辑 /etc/nftables.d/10-custom-filter-chains.nft 文件,降低防火墙匹配延迟
config 复制代码
chain user_post_forward {
    ct state established,related accept
    iifname br-lan accept
}
4. 手动指定网关

(1) 终端执行ip -6 route | grep default获取默认网关

输出结果示例:

default from 2001:da8:1111:2222::333 via fe80::5616:51ff:fe56:8fb9 dev wan proto static metric 512 pref medium

(2) 利用默认网关和设备构造命令

将上一步获取到的网关及设备粘贴到route -A inet6 add default gw后面,构造出一条命令

构造的命令示例:

route -A inet6 add default gw fe80::5616:51ff:fe56:8fb9 dev wan

(3) 把构造好的命令添加进系统启动项

编辑/etc/rc.local文件,将构造的命令添加到最后一行 exit 0的上方

5. 重启路由

备注

  • 测试结果:

  • OpenWrt默认分配前缀为fd00::/8的地址作为内网地址,可能会让某些应用更倾向于不使用ipv6(从其他地方看的,我不确定到底有哪些?)。因此可以把这个前缀改为dd00::/8,因为dd前缀的网址作为保留地址没有明确的用途,可以避免应用识别内网ipv6。这个可以通过修改 /etc/config/network 文件中的 globals 配置实现,也可以在 luci界面 -> 网络 -> 接口 -> 全局网络选项 修改。

相关推荐
_丿丨丨_4 小时前
XSS(跨站脚本攻击)
前端·网络·xss
一只栖枝5 小时前
HCIA-Security 认证精讲!网络安全理论与实战全掌握
网络·web安全·网络安全·智能路由器·hcia·it·hcia-security
FileLink跨网文件交换5 小时前
文件摆渡系统十大软件|文件摆渡系统如何构建网络安全呢?
网络
晨欣8 小时前
大型语言模型(LLM)在网络安全中最具商业价值的应用场景(Grok3 回答 DeepSearch模式)
网络·web安全·语言模型
有书Show9 小时前
个人IP的塑造方向有哪些?
网络·网络协议·tcp/ip
HHRL-yx9 小时前
C++网络编程 5.TCP套接字(socket)通信进阶-基于多线程的TCP多客户端通信
网络·c++·tcp/ip
迈威通信9 小时前
接口黑洞?破!安全堡垒?筑!冰火炼狱?战!MES7114W终极掌控
网络·安全
baynk10 小时前
wireshark的常用用法
网络·测试工具·wireshark·ctf
莫到空离11 小时前
LVS三种模式实战
linux·服务器·网络
云计算运维-小白白11 小时前
基于阿里云云服务器-局域网组网软件
运维·服务器·网络