随着 IPv6 的普及,越来越多的设备开始支持 IPv6 公网地址。然而,当前市场上大多数路由器的防火墙设置并未提供针对单个设备 IPv6 地址 的放行功能。大多数路由器的 IPv6 防火墙策略 要么是“裸奔”模式(完全开放),要么是全面禁止外部 IPv6 地址 的访问。
一、在 iKuai 上放行单个设备的 IPv6 地址与全局策略配置
1.1 配置 iKuai IPv6 全局策略
除了针对单个设备的 IPv6 地址放行,iKuai 还提供了 IPv6 全局策略 的设置,允许你对整个网络的 IPv6 流量 进行控制。以下是 iKuai 中 IPv6 全局策略 的配置步骤:
登录 iKuai 后,进入 安全设置 > IPv6 防火墙 > 全局策略。
在 全局策略 中,你可以选择以下几种流量控制策略:
全局放行策略:允许所有 IPv6 流量 进出,适合开放的网络环境。
放行内网网访问外网规则
全局拦截策略:阻止所有 IPv6 流量 进出,适合限制 IPv6 访问的环境。
拦截外网访问内网规则
自定义规则:根据需求设置精细的规则,放行特定设备或端口的 IPv6 流量。
- 配置完成后,保存设置。这样,路由器就会按照配置的 IPv6 全局策略 管理整个网络的 IPv6 流量。
1.2 配置 iKuai 放行单个设备的 IPv6 地址
如果你只需要放行特定设备的 IPv6 地址,则可以按以下步骤进行配置:
登录 iKuai 后,进入 安全设置 > ACL 规则,点击 添加规则。
配置规则时,采用类似 IPv4 子网掩码 的方式进行设置。由于 IPv6 地址 是动态分配的,通常只有前半部分会定期变化,而后半部分(即路由器 WAN 口的 IPv6 地址后半段)一般保持不变。
因此,建议按照 IPv6 地址范围 配置。例如,如果目标设备的 IPv6 地址 为 ::aaa:bbbb:cccc:ddd,可以设置如下的地址范围:
::aaa:bbbb:cccc:ddd/::ffff:ffff:ffff:ffff
其中,aaa:bbbb:cccc:ddd 部分对应设备的 MAC 地址。你可以根据设备的 MAC 地址 查找对应的 IPv6 地址。
配置完成后,填写需要放行的 端口号(如果是针对特定端口放行),并设置 进出口规则。保存设置后,你的设备便能体验到 公网 IPv6 带来的流畅访问。
1.3 注意事项:
二、在 OpenWRT 上放行单个设备的 IPv6 地址
操作步骤:
登录 OpenWRT 后,进入 网络 > 防火墙 > 通信规则,点击 添加规则。
配置目标地址和端口时,可以参考 iKuai 上的设置方式,使用以下格式来配置目标地址:
::aaaa:bbbb:cccc:dddd/-64
其中,aaaa:bbbb:cccc:dddd 是设备的 IPv6 地址,-64 表示该地址所在的子网范围,允许该地址范围内的所有设备访问。
在 地址限制 中,建议选择 IPv6,虽然不选择也不会影响默认的 IPv4 和 IPv6 双栈 配置。但由于目前 IPv4 公网地址 极为稀缺,选择 IPv6 是更合适的做法。
配置完成后,保存设置即可。
注意事项:
- OpenWRT 支持使用简化格式
::aaaa:bbbb:cccc:dddd/-64 来配置目标地址,而 iKuai 当前版本(3.7.15)尚不支持此格式。你可以根据需要选择适合的格式。
转自:https://www.shuuokonet.ltd/archives/1697598245796
