网络无限 篇二:爱快IPv6的使用及ACL配置
运营商都提供IPv6了,直接打开就能用,在网络-IPv6设置里打开,如图
IPv6资源充足,不仅路由wan口是公网Ip,里面支持IPv6的设备直接给分的也是公网Ip,和wan口前缀一样,打开ipv6-test.com,测试结果说明现在我电脑支持与IPV6网络直接通信
既然是公网IP那就来试一下,手机浏览器访问https://[nas的 IPv6地址]:端口号,能直接访问
我路由没做端口映射怎么直接就通了?!,这就是ipv6的好处,但也是坏处,想想你的nas 就这么暴露给全世界,多不安全啊。
怎么来加强防护?之前有写过群晖防火墙和IP封锁设置,群晖设置好了起码上面大量数据安全有所保障了,详见https://post.smzdm.com/p/awzgwkg2/
但其他设备还是要想办法,保不准哪天爆出什么高危漏洞,而自己的设备又获取到了公网IPV6地址就容易成为目标,我这里用爱快的ACL功能来防一防。
ACL设置是在 安全设置-ACL规则
在爱快路由3.7.0及以上版本支持IPv4和v6两个协议栈,v4由于有Nat所以不用设置,v6我就设了三条策略,两条用于允许transmission peer连接进来,最后一条禁止从外部访问内部其他所有服务,三条规则见上面ACL规则界面。
配置规则时注意选择方向,方向有原始方向、应答方向、关闭,怎么理解呢?ACL规则配置里有源地址、目的地址、目的端口,如果想要控制从源访问目的那就是选择原始方向,如果想要控制从目的访问源的那就选择应答方向,关闭就是两个方向都生效,这有什么关系呢?通常我们只想禁止外网访问家里但家里设备总还是要上网的,那么配置时设源地址为外网某个范围或留空(any)目的为内网某些IP或端口,到这还是对的,但如果设置方向为关闭那家里访问外网(从目地到源)也不通了。
爱快的ACL默认是全通的(废话),所以默认情况内部通过IPV6或IPV4访问外部都是正常转发数据,但是经过测试,访问了国内阿里、腾讯、百度、新浪几个门户,发现也是只有一部份能访问,看来IPV6的普及有很漫长的路要走,不过测试transmission是可以连接上IPv6的peer了,所以相应的下载速度也有所提升,这样说来IPv6也是有一定实际用处
还有如上文我的操作,我把IPv6的外部访问内部给禁止了,也就是不能用IPv6来远程家里NAS之类了,其实是因为我的两条宽带都长期获取到公网IP,远程访问内网资源都稳定,相比ipv6的直通还是ipv4的NAT结合vpn比较安全,就不用IPv6来远程访问了
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
值友4152100064
校验提示文案
上古长白山
校验提示文案
mrzhou
校验提示文案
唐长老下江南
校验提示文案
我要当黄牛
校验提示文案
神奇萝卜
校验提示文案
我秦始皇打钱
校验提示文案
无双御龙
校验提示文案
手撕蘑菇丶4869
校验提示文案
唐长老下江南
校验提示文案
mrzhou
校验提示文案
手撕蘑菇丶4869
校验提示文案
上古长白山
校验提示文案
无双御龙
校验提示文案
我秦始皇打钱
校验提示文案
值友4152100064
校验提示文案
神奇萝卜
校验提示文案
我要当黄牛
校验提示文案