V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yzc27
V2EX  ›  宽带症候群

关于 Openwrt 获取 ipv6 的安全疑问

  •  
  •   yzc27 · 2022-04-20 11:43:59 +08:00 · 3265 次点击
    这是一个创建于 948 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自用 Openwrt ( LEDE )作为“旁路由”,主路由不动,openwrt 的 LAN 口网关和 dns 都指向主路由( Linksys ),有需要的设备手动改网关和 dns 指向旁路由。

    之前发现 isp 已经有公网 ipv6 了,所以根据网上的一些教程,新建了个 LAN6 口获得了公网 ipv6 。

    后来看了下防火墙发现基本设置那里的“出站”、“入站”、“转发”都是“接受”(类似下图),也没看到有特别的规则对 ipv6 进行拦截,之前看网上说 ipv6 是直接把设备暴露在公网上。

    对此想请教大家,我这么设置获得 ipv6 的话,对于这个旁路由安不安全?如果不安全的话,openwrt 里的防火墙要怎样设置比较好?

    12 条回复    2022-04-22 22:19:43 +08:00
    yinxiangbiji
        1
    yinxiangbiji  
       2022-04-20 12:37:11 +08:00
    想用 ipv6 就不要用 openwrt ,想用 openwrt 就不要用它的 ipv6
    yzc27
        2
    yzc27  
    OP
       2022-04-20 12:51:50 +08:00 via iPhone
    @yinxiangbiji 为啥呢?
    qbqbqbqb
        3
    qbqbqbqb  
       2022-04-20 13:39:13 +08:00   ❤️ 2
    默认设置是允许 LAN=>WAN ,不允许 WAN=>LAN ,是有限制的。

    这里是你理解错了。防火墙基本设置里面入站 /出站 /转发是对路由器本身来说的,入站是外网或者内网到路由器本身的流量(比如说自己访问路由器控制面板就属于这一类),出站是路由器本身到外网或者内网的流量(比如说路由器里面在线安装 OpenWRT 插件就属于这一类),转发是不同网络之间不涉及路由器本身的流量(正常上网的流量都属于这一类)。第一行源区域是 LAN ,“出站”“入站”“转发”都是接受,指的是从 LAN 到路由器,路由器到 LAN ,LAN 到其它区域(目前只有一个 WAN ),这三个肯定默认是不限制。第二行源区域 WAN ,“入站”“转发”是拒绝,这个才是默认阻止外网访问内网的设置。

    你理解的外网内网之间的入站 /出站,实际上对应的是这里“转发”这一列,第一行 LAN=>WAN 的“转发”就相当于内网设备的出站,第二行 WAN=>REJECT(因为后面转发设置为拒绝了,不然这里是 LAN)的“转发”相当于内网设备的入站,这个默认是拒绝,所以其实是有限制的,不会直接把内网设备暴露在公网。
    qbqbqbqb
        4
    qbqbqbqb  
       2022-04-20 13:47:37 +08:00
    @qbqbqbqb #3 是针对 OpenWRT 做主路由来说的。对于旁路由的话相当于路由器本身只有一个 LAN 区域。这样的话 IPv6 是否直接暴露是要看你的主路由有没有防火墙。

    如果主路由没有防火墙的话是可能有一定风险。但是因为只有一个 LAN 区域,你这里把入站设为拒绝的话旁路由也没法正常工作了。建议还是优先确认主路由上的防火墙。想配置旁路由防火墙的话得用规则匹配前缀,但家宽的前缀又是动态的,比较麻烦。
    qbqbqbqb
        5
    qbqbqbqb  
       2022-04-20 13:50:26 +08:00
    如果旁路由只做 IPv4 网关的话(本来 IPv6 也不方便用旁路由代理),可以考虑直接在防火墙的自定义规则里加一条只阻止 IPv6 协议入站的规则。
    yzc27
        6
    yzc27  
    OP
       2022-04-20 13:55:20 +08:00
    @qbqbqbqb #5 对,我就只用来做旁路由。

    我设 ipv6 主要是想在外面通过 ipv6 连 openvpn 回家里内网。

    如果按你所说,为了安全,可不可以防火墙的自定义规则里,针对 ipv6 协议的,只接受某个端口入站,而其他入站全拒绝掉的规则?
    qbqbqbqb
        7
    qbqbqbqb  
       2022-04-20 13:59:00 +08:00
    @yzc27 可以的,最简单就是加两条规则,一条阻止所有 IPv6 端口入站,一条允许 openvpn 端口,然后注意一下顺序就行(如果顺序错了就都阻止了)。
    yzc27
        8
    yzc27  
    OP
       2022-04-20 14:01:22 +08:00
    @qbqbqbqb #7 可否请教这两条规则(同时支持 tcp 和 udp )怎么写?对 ipv6 不熟。
    yzc27
        9
    yzc27  
    OP
       2022-04-20 14:02:14 +08:00
    @qbqbqbqb #4 我主路由是 Linksys 的,里面有个默认开着的 IPv6 SPI Firewall Protection ,不确定是不是就是 ipv6 的防火墙。
    !()[https://www.linksys.com/support/images/KB24991-002_EN_v1.png]
    huangya
        10
    huangya  
       2022-04-21 10:50:56 +08:00
    @yzc27 理论上,你主路由的防火墙会阻止 internet 那边主动发来的请求,是不能主动连接到你内网的 IPv6 机器上开放的服务的,比如你现在的 OpenVPN.如果你主路由上不添加规则放行也能通,说明你主路由的防火墙有安全漏洞.
    cwbsw
        11
    cwbsw  
       2022-04-21 13:48:46 +08:00   ❤️ 2
    一楼什么鬼? OpenWrt 是目前对 IPv6 支持非常好的选择,吊打很多人吹捧的 RouterOS 。
    fengchen0vr
        12
    fengchen0vr  
       2022-04-22 22:19:43 +08:00
    防火墙应该设置在你的出口网关上,而不是旁路由
    而且你的旁路由是 lan-lan 吧,这是走的网桥,你得用 ebtables 加规则
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1586 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 17:07 · PVG 01:07 · LAX 09:07 · JFK 12:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.