预计阅读时间: 5.8 分钟
830 字5 图250 字/分
本文有一定时效性·1个月前更新
最后更新: 2025年08月27日
众所周知,ipv6使用了128位的地址,这意味着会有无数多个ipv6地址,多到可以给每个沙子分配一个ipv6地址
这也说明,如果我们开启了ipv6,我们的每个设备都会得到一个专属于自己的ipv6公网
但由于现在的ipv6防火墙还不是很到位,就相当于每个设备都被暴露在了公网上,危险性极大(点名ikuai)
但在我一番必应谷歌,最终得到了一个比较好的解决方案,ACL访问控制列表
我们把整个网络比作一个小区,那ACL就是这个小区的门禁系统
因为ACL工作的最重要的原则是“拒绝优先”,也就是没有被录入这个门禁系统的,一概不让进入,无论你是谁
其次是“按需授权”,譬如允许快递员(源IP),进入小区,送货到1号楼1层1号(目标地址&端口)等等各种灵活的配置
所以为了保证我们的内网设备的安全,我们必须创建一个ACL表,下面是我使用的端口扫描工具
如果我们没有设置任何的ACL表,那么意味着我们的每个端口都是开放的
未免有些危险,所以我们需要禁止所有的从外访问内的流量,然后再按需允许特定的外进内流量
创建一个ACL配置,动作选择阻断,方向为转发,原始方向
然后选择自己的所有的配置ipv6的进接口的出接口,阻止外进内的话,进接口就是wan,阻止内访问外,进接口就是lan
点击保存
但是,如果我们全部阻断外界链接的话,光猫就无法给路由器下发IPv6前缀了
所以我们还需要额外允许IPv6前缀的下发,IPv6下发的端口一般是546,允许它进入即可
然后保存配置即可
如果需要开放某个端口,则创建一个新的允许即可
我这里的操作是只开放一个端口,后续使用lucky反向代理就能使用公网v6和v4了
评论