V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
abc8678
V2EX  ›  OpenWrt

威联通 有时候需要外网访问,平时怎么屏蔽?路由器是 OpenWrt 的

  •  
  •   abc8678 · 2022-02-16 10:08:31 +08:00 · 2510 次点击
    这是一个创建于 1016 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前两天第一次通过 IPv6 访问 nas ,用 IP 加端口或域名加端口就可以使用了。在外面用起来比 zerotier 快多了。但 quFirewall 源源不断的提示,有人尝试登录。 一开始以为是 myqnapcloud 域名很容易被盯上,于是按照网上的教程,在阿里云买了个域名,如何在威联通里通过 docker 装上 aliyunddns ,再搞一个 SSL 证书。还是有人访问,他似乎是用 ipv6 地址访问的,而不是用域名访问的。 请问如何在路由器实现屏蔽?效果:内网随便访问,外网用 iptables 屏蔽。需要时通过 zerotier 访问路由器,加个#符号注释一下。 在路由器屏蔽期间,有没有必要关闭威联通里的 docker ? nas 里的"固件更新"等程序能联网吗?

    17 条回复    2022-07-10 00:41:08 +08:00
    lifanxi
        1
    lifanxi  
       2022-02-16 10:13:23 +08:00
    可以考虑更轻量的 Port knocking 方案
    SenLief
        2
    SenLief  
       2022-02-16 11:28:27 +08:00 via iPhone
    openwrt 不知道有没有不允许外网通过 ipv6 访问路由器的 web 功能。
    zxqkyle
        3
    zxqkyle  
       2022-02-16 11:55:54 +08:00
    开启 ipv6 防火墙,禁止所有 input 和 forward
    CKR
        4
    CKR  
       2022-02-16 12:22:55 +08:00 via Android
    不给 nas 分配 ipv6 ,然后 zerotier 或者 vpn 连回去再用内网地址连接
    abc8678
        5
    abc8678  
    OP
       2022-02-16 12:29:20 +08:00
    @CKR 我之前这样用很久了,又回头了……
    abc8678
        6
    abc8678  
    OP
       2022-02-16 12:42:17 +08:00 via Android
    @zxqkyle 我刚才把 wan6 接口给点击关闭了,外面用 ipv6 地址无法访问了。当然,ipv4 地址也不能访问了,因为家里的 ipv4 不是公网。可阿里云那个域名依然可以访问,而且在无 ipv6 的情况下也能访问 nas ,不知道他怎么实现的 小白表示很神奇
    abc8678
        7
    abc8678  
    OP
       2022-02-16 12:59:27 +08:00 via Android
    搞定了,把 wan 口的“获取 ipv6 地址”改为“已禁用”,把 lan 口的“ipv6 分配长度”改为“已禁用”,外面就无法访问了。然后失联了十秒钟,之后又可以继续远程回家里操作路由器了
    pxiphx891
        8
    pxiphx891  
       2022-02-16 13:00:35 +08:00
    wireguard
    abc8678
        9
    abc8678  
    OP
       2022-02-16 13:39:28 +08:00 via Android
    ipv6 关了,短时间内没警告了。没想到过了一段时间,又来了"the denied amount reach the set threshold : 300"难道我理解错这句英语的意思了?这不是别人登录被拒绝的意思吗?源源不断遇到这个提示
    RheatiN
        10
    RheatiN  
       2022-02-16 14:44:20 +08:00
    我是路由器开的代理,然后开着代理,局域网连回自家的 qnap ,而且 qnap 的 conrolPanel->security 里可以设置 ip 的黑白名单模式,也可设置连几次失败,自动 ban ip 的功能
    abc8678
        11
    abc8678  
    OP
       2022-02-16 15:37:56 +08:00 via Android
    @RheatiN 威联通里确实有失败后加入黑名单的选项,感觉别人手里一大堆肉鸡 IP
    abc8678
        12
    abc8678  
    OP
       2022-02-16 17:19:21 +08:00 via Android
    @RheatiN 我自己的设备也不是静态 IP 啊。想搞个类似于验证码的方法,连接前 手动通过 Skype 发送自己的 IP 给机器人,才允许访问。或者,不知道能不能实现证书识别,就是我手机里装个证书,我的手机才能访问 nas ,其他设备不装证书就无法访问 nas 。。之类的办法
    abc8678
        13
    abc8678  
    OP
       2022-02-16 18:06:28 +08:00 via Android
    看了一下记录,大多数是 ipv4 地址扫描的,可我的 ipv4 并不是公网啊。我想在 nas 上设置阻止 ipv4 访问,但这样做的话,我回到家里就无法局域网连接 nas 了
    RheatiN
        14
    RheatiN  
       2022-02-17 08:23:11 +08:00
    @abc8678 给你想个馊主意,ip 白名单模式下,找个支持 ipv6 的 vps 或者固定代理,只允许代理的 ip ,然后通过代理连回去,哈哈哈。
    abc8678
        15
    abc8678  
    OP
       2022-02-17 17:57:04 +08:00 via Android
    @RheatiN 源源不断的警报已经断了。我把 IP 白名单设置了一下,虽然我手中的设备的 IPv6 地址是不断变化的,但前半部分还能根据三大运营商找到一些共同点。弄完之后,从原来的几千次访问报警变成了几十次访问。剩下的难啃的骨头,是 ipv4 在访问我。我明明没有 ipv4 的公网 IP 。我想关掉 v4 访问,除了家里局域网
    abc8678
        16
    abc8678  
    OP
       2022-02-17 17:58:21 +08:00 via Android
    @RheatiN 白名单按照三大运营商前缀设置好之后,没有了大多数的国外访问了。之前大多数警报都是美国、荷兰等地方
    serafin
        17
    serafin  
       2022-07-10 00:41:08 +08:00
    nas 防火墙白名单设一个你移动运营商的 ip 段,被同城移动网络 ip 攻击的概率还是比较低的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5981 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:55 · PVG 10:55 · LAX 18:55 · JFK 21:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.