V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
yaocf
V2EX  ›  OpenWrt

请教 openwrt 下 ipv6 的疑问

  •  
  •   yaocf · 29 天前 · 1083 次点击
    目前的配置如下
    接口配置
    https://imgur.com/Y3ecuSe
    <img src="https://imgur.com/Y3ecuSe.png">
    防火墙-区域配置-常规
    https://imgur.com/L2wIxke
    <img src="https://imgur.com/L2wIxke.png">
    防火墙-区域配置-区域
    https://imgur.com/YRRIhhC
    <img src="https://imgur.com/YRRIhhC.png">

    目前的症状:
    外部主机可以 ping 通`pppoe-wan`口的 ipv4 、ipv6 地址(双栈正常访问)以及 nmap 访问防火墙上的对应开发端口
    外部主机可以 ping 通`lan`、`docker_app_*`的::/64 长度的 ipv6 公有网关地址,以及通过虚拟局域网( wireguard )访问::/64 长度的 ipv6 私有网关地址
    外部主机无法 ping 通`lan`、`docker_app_*`下任何主机的公有 ipv6 地址,也无法 nmap 这些主机上暴露的服务端口。openwrt 主机自身是可以访问的,并且,`lan`下的主机也是可以 ping 和 nmap 访问`docker_app_*`接口下主机的公有 ipv6 地址的

    搞不懂的问题:
    - 由于`lan`和`docker_app_*`接口上的 ipv6 地址是从 wan 口的 ipv6 前缀委托而来,那么,它受防火墙的哪个区域的规则控制?比如,不接受 wan 区域入站,是否意味着,这些从 wan 区域委托得到的 ipv6 地址都是拒绝入站的?还是说由于他们的地址是分配到`lan`或`docker_app_*`的接口上的主机的,所以,适用于`lan`或`docker_app_*`区域的入站规则?
    - OpenWrt 的防火墙控制(入站出站转发)没有区分 ipv4/6 ,但是,目前所有主机都是可以有公有和私有两种 ipv6 地址的(通过前缀过滤器,可以过滤掉私有 ipv6 地址),那么,怎么在防火墙上区分开来控制?
    3 条回复
    coolloves
        1
    coolloves  
       29 天前
    默认全局是出允许,入禁止
    一般都是在通信规则里面单独添加例外,我看了下,我的路由器,里面是添加了 icmp 的允许,有需要暴露的端口我也是在这里添加的转发规则.
    yaocf
        2
    yaocf  
    OP
       29 天前
    @coolloves 我这边`docker_app_*`区域上的入站只要一关,ipv6 请求就会出问题:比如 qbittorrent 会出现:能获取到 ipv6 地址,但是连不上 ipv6 对端,也无法访问其他的 ipv6 公网服务。比如`api6.ipify.org`连 ping 都 ping 不通。
    coolloves
        3
    coolloves  
       29 天前
    只能不懂帮顶了,我刚用 op,而且是硬路由器刷的,基本就是开箱即用的,你这个是软路由吧,没搞过
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1512 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 17:06 · PVG 01:06 · LAX 09:06 · JFK 12:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.