V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
takeshima
V2EX  ›  Linux

ip6tables 怎么设置仅放行同一网络(同一前缀)的请求

  •  
  •   takeshima · 2021-07-03 23:38:04 +08:00 · 2537 次点击
    这是一个创建于 1239 天前的主题,其中的信息可能已经有所发展或是发生改变。
    以前 ipv4 的话,只需要放行指定的几个内网的 ip 段就行了,但是 ipv6 的话统统都是公网,有什么办法能仅放行同一局域网下的请求吗,每次重连前缀都会变的,不可能每次连接后都改一次 ip6tables 。
    12 条回复    2021-07-06 16:46:47 +08:00
    NSAgold
        1
    NSAgold  
       2021-07-03 23:58:24 +08:00
    ipv6 有局域网网段 fe80 开头的。内网可以通过这个 ip 来互相访问
    ihipop
        2
    ihipop  
       2021-07-04 08:09:16 +08:00 via Android
    同一局域网又不走防火墙

    ip6tables 支持后缀匹配
    billlee
        3
    billlee  
       2021-07-04 11:12:16 +08:00
    一般的路由器默认会拦截外部的流量吧
    liuxu
        4
    liuxu  
       2021-07-04 22:35:03 +08:00
    路由都是 nat 出去的,放心进不来,tcp/ip 原理没变朋友,ipv6 也有内网段
    qbqbqbqb
        5
    qbqbqbqb  
       2021-07-06 11:37:40 +08:00   ❤️ 1
    后缀匹配,写法是“IPv6 地址 /::ffff:ffff:ffff:ffff”
    qbqbqbqb
        6
    qbqbqbqb  
       2021-07-06 11:50:11 +08:00
    @liuxu "路由都是 nat 出去"不对吧。路由是网络层( IP 协议,这里还不涉及 TCP )的功能; NAT 涉及 TCP,UDP 的端口号,是传输层的功能,一般都和防火墙一起实现。显然是两种东西。只是说家用路由在 IPv4 上都固化了 NAT 功能(因为是目前的民用宽带 IPv4 接入给多台设备上网所必须的功能)而已。从原理上来看,早期 IP 充足的时候,TCP/IP 没有 NAT 也是能正常运作的。

    以目前的民用宽带 IPv6 部署情况来看,上公网一律用 2 开头的公网地址。fc 开头的“内网段”只能用于内网内部通信,相应的数据包永远不会进入公网,而且一般家用路由不会配置这个段。另外还有 fe80 开头的链路内地址,也是不可能上公网的。并不存在“NAT 出去”的情况。
    liuxu
        7
    liuxu  
       2021-07-06 12:08:00 +08:00
    @qbqbqbqb 明天早上睡醒了洗把脸,再重新看看我在说什么,你在说什么
    qbqbqbqb
        8
    qbqbqbqb  
       2021-07-06 12:26:53 +08:00
    @liuxu 我只是指出你说的“路由都是 nat 出去的,放心进不来”有事实错误。你上个 ipv6 测试站,再比对一下网站上显示的你的 IP 地址和本机 ipconfig 里的“临时 IPv6 地址”一不一样,就知道到底是不是“nat 出去的”了。路由器拦不拦截传入 IPv6 连接也是要看具体设备的,如果路由器或路由模式光猫碰巧不默认开启防火墙,客户端也没开防火墙,还真“进得来”
    liuxu
        9
    liuxu  
       2021-07-06 14:56:47 +08:00
    @qbqbqbqb

    v2ex 的人谁不知道路由是传输层,nat 是会话层的东西。你去买 10 个路由器,看看是不是都带 nat,是不是都默认都把防火墙打开了。事实错误,那你把统计数据发出来,没个测试数据支撑你能说你是事实正确么小兄弟。讲碰巧,你的巧碰的也太多了,整个 V2EX 谁不知道都没有防火墙就可以进的来。

    本来我是准备说 ip 层和 tcp 层的,我又改成传输层和会话层了,免得你再钻。逗号句号我也改标准了,免得你说我标点符号用的不对。
    qbqbqbqb
        10
    qbqbqbqb  
       2021-07-06 16:00:30 +08:00
    @liuxu

    搞清楚,本贴里讨论的是**IPv6**。你说都有 NAT,那是 IPv4,跑题了。

    你去买 10 个路由器,看看是不是都有 IPv6 NAT 。现在国内家用路由(不考虑刷机的),也就小米有 NAT6 (而且也是备用方案,仅推荐在 Native IPv6 不可用的时候使用),其它的 TP, ASUS, NETGEAR,对于 IPv6 都是只分配 2 开头的全球单播地址。
    qbqbqbqb
        11
    qbqbqbqb  
       2021-07-06 16:14:49 +08:00
    @liuxu IPv6 相比 IPv4 一大特点就是弃用 NAT 你不知道?楼主问 IPv6 防火墙怎么设,你上来就是一句“路由都是 nat 出去”,事实上同一个路由器只有 IPv4 流量才 NAT,IPv6 无 NAT,那你这个不是事实错误?
    liuxu
        12
    liuxu  
       2021-07-06 16:46:47 +08:00
    @qbqbqbqb 已 block
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   953 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:28 · PVG 04:28 · LAX 12:28 · JFK 15:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.