随着互联网的飞速发展,IPv4地址已经无法满足日益增长的网络设备需求,因此IPv6逐渐成为了新的网络通信标准。然而,尽管IPv6提供了更多的地址空间和改进的功能,但是它也带来了新的安全挑战。因此,了解如何通过路由器访问控制列表(ACL)规则来保护家庭IPv6网络是非常重要的。
IPv6的安全挑战
IPv6的设计确实考虑了一些安全性问题,例如,它在协议级别包含了IPsec支持。然而,它也存在一些新的安全挑战。例如,IPv6的地址空间非常大,这使得传统的IPv4网络扫描技术在IPv6网络上变得不再有效。此外,IPv6还引入了新的协议和功能,例如邻居发现协议(NDP),这可能会被攻击者利用。
路由器ACL规则设置(爱快/ikuai)
访问控制列表(ACL)是一种在路由器上实现网络安全的有效工具。通过ACL,我们可以控制哪些设备可以访问网络,以及它们可以访问哪些资源。 以下是ikuai路由针对ipv6防火墙的一些配置说明,点击爱快路由界面的安全设置—->ACL规则—–>添加,就会出现如下图所示界面。
协议栈: 固定选择ipv6
协议: TCP\UDP\任意,如果选择任意就不能针对端口做限制,所以需要tcp和udp分别配置。
动作:允许\阻断,就是字面意思,一般情况下先配置一条总的阻断规则,然后再配一条特定的允许规则。
方向:转发\进 (转发是路由器接收到内网或外网的数据把数据进行转发发动作,进指内网或外网进路由),这里一般都是配置转发即可。
连接方向匹配:原始方向\应答方向\关闭 (原始方向:请求发起方。应答方向:请求响应方。 关闭:不匹配方向)
源地址、目的地址:(源地址:请求发起方地址,目的地址:请求响应方地址)在ipv6中这两项我个人认为不用配置,因为ipv6地址实在太多,针对地址配置规则在家庭宽带中意义不大,就算我们知道很清晰的前缀,作为程序员的我来说,家庭宽带性能也很重要,个人认为从数据包中解析出ipv6地址并且做匹配这件事本身相对于接口和端口来说,时间复杂度虽然一致,但是单次匹配的算力是比较大的,这是理论上来说的,实际损耗可能微乎其微,如果确实有这方面需要那就也配上好了。
源端口、目的端口:(源端口:请求发起方端口。应答方:请求响应方端口)。
进接口、出接口: ( wan 外部接口还是lan 内部接口) : 这两个非常实用,使用这个可以很好的让外部网络无法访问我们内部的设备。
需求一:禁止外部网络通过ipv6访问所有内部设备
一条规则ACL规则: 协议栈: ipv6 ,协议:任意,动作:阻断,方向:转发,连接方向匹配:原始方向,源地址、目的地址都不配,源端口、目的端口都不配,进接口选择wan,有几个wan就勾几个,出接口:任意。 有小伙伴会疑惑这条规则会不会影响内部访问外面的ipv6,答案是不影响,因为你从家里连接外部,你家庭设备处于lan中,进接口就是lan,不匹配这条规则,你该得到的响应数据还是会响应给你。除非你把链接方向匹配改成了关闭,此时你收不到回来的数据。
Tips
爱快放行的优先级规则高于阻断, ipv6放行目的地址的不会生效, 如果禁止访问所有内部设备, 如果有pcdn是无法放行pcdn所有端口的, 这里需要手动设置为阻断非pcdn设备的mac组到目的地址.
需求二:放行pt、bt 端口
一条TCP-ACL规则: 协议栈: ipv6 ,协议:tcp,动作:允许,方向:转发,连接方向匹配:原始方向,源地址、目的地址都不配,源端口不配,目的端口填入你PT\BT端口,进接口选择wan,有几个wan就勾几个,出接口:任意。
一条UDP-ACL规则: 协议栈: ipv6 ,协议:udp,动作:允许,方向:转发,连接方向匹配:原始方向,源地址、目的地址都不配,源端口不配,目的端口填入你PT\BT端口,进接口选择wan,有几个wan就勾几个,出接口:任意。
上面的配置规则就是让外部的网络允许访问内部网络的某个端口,无论你内部哪台机器开了bt、pt都适用,因为是根据端口匹配,所以其他端口全都不会放行,相对安全。
需求三:放行家庭服务器端口
和放行PT\BT端口一致,只要改下端口号。
配置图
结论
IPv6带来了许多新的安全挑截,但通过正确的配置和管理,可以有效地保护家庭网络。路由器的ACL规则设置是实现这一目标的关键工具之一。通过ACL,可以精确地控制哪些设备可以访问网络,以及它们可以访问哪些资源,从而提高网络的安全性。
转载:https://www.lpdswing.top/nas/note/ikuai-ipv6-firewall.html
