- A+
所属分类:网络设备
iKuai 路由器默认并没有开启防火墙,内网的 IPv6 设备裸奔在互联网上,内网很多设备可能都是弱口令,增加被攻击的风险。
一、开启 ipv6 服务
1.外网配置
2.内网配置
3. 查看获取情况
Ikuai 查看邻居列表
电脑浏览器输入 ip138.com ,查看 ipv6 获取情况
二、禁止 ipv6 裸奔
先加入两条规则,不允许公网通过 IPv6 访问本地,但允许本地通过 IPv6 访问公网(禁入准出)。
1. 禁入:
-
【协议栈】:IPv6
-
【协议】:任意
-
【动作】:阻断
-
【方向】: 转发。 (路由器本身可以单独设置是否开启远程管理(默认关闭),不必再设置 ACL)
-
进:内网或外网进路由。
-
转发:路由接收到内网或外网数据然后把数据进行转发动作。
-
-
【连接方向匹配】:原始方向。哪方发起连接哪方便为为原始方向,彼方为应答方向。
-
【进接口】和【出接口】:一般为 WAN 和 LAN
2. 准出:
- 【协议栈】:IPv6
- 【协议】:任意
- 【动作】:允许
- 【方向】: 转发
- 【连接方向匹配】:关闭
- 【进接口】和【出接口】:一般为 LAN 和 WAN,根据实际情况选择。
3. 准入特定端口
以允许外网访问某台服务器的 5666(TCP) 端口为例:
- 【协议栈】:IPv6
- 【协议】:tcp
- 【动作】:允许
- 【方向】: 转发
- 【连接方向匹配】:关闭
- 【目的地址】:2408:8206:7830:16c8:a291:ea68:7b22:4576/128"
/128 表示子网掩码覆盖全部 128 位,即只匹配这一个具体的 IPv6 地址(类似 IPv4 中的 /32)。
若子网掩码为 /64,则匹配前 64 位(整个子网),后 64 位为主机地址(自动生成)。
以允许外网访问某台服务器的 5666 (TCP) 端口为例:
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
