网络无限 篇二：爱快IPv6的使用及ACL配置

运营商都提供IPv6了，直接打开就能用，在网络-IPv6设置里打开，如图

IPv6资源充足，不仅路由wan口是公网Ip，里面支持IPv6的设备直接给分的也是公网Ip，和wan口前缀一样，打开ipv6-test.com，测试结果说明现在我电脑支持与IPV6网络直接通信

既然是公网IP那就来试一下，手机浏览器访问https://[nas的 IPv6地址]:端口号，能直接访问

我路由没做端口映射怎么直接就通了？！，这就是ipv6的好处，但也是坏处，想想你的nas 就这么暴露给全世界，多不安全啊。

怎么来加强防护？之前有写过群晖防火墙和IP封锁设置，群晖设置好了起码上面大量数据安全有所保障了，详见https://post.smzdm.com/p/awzgwkg2/

但其他设备还是要想办法，保不准哪天爆出什么高危漏洞，而自己的设备又获取到了公网IPV6地址就容易成为目标，我这里用爱快的ACL功能来防一防。

ACL设置是在 安全设置-ACL规则

在爱快路由3.7.0及以上版本支持IPv4和v6两个协议栈，v4由于有Nat所以不用设置，v6我就设了三条策略，两条用于允许transmission peer连接进来，最后一条禁止从外部访问内部其他所有服务，三条规则见上面ACL规则界面。

配置规则时注意选择方向，方向有原始方向、应答方向、关闭，怎么理解呢？ACL规则配置里有源地址、目的地址、目的端口，如果想要控制从源访问目的那就是选择原始方向，如果想要控制从目的访问源的那就选择应答方向，关闭就是两个方向都生效，这有什么关系呢？通常我们只想禁止外网访问家里但家里设备总还是要上网的，那么配置时设源地址为外网某个范围或留空（any）目的为内网某些IP或端口，到这还是对的，但如果设置方向为关闭那家里访问外网（从目地到源）也不通了。

爱快的ACL默认是全通的（废话），所以默认情况内部通过IPV6或IPV4访问外部都是正常转发数据，但是经过测试，访问了国内阿里、腾讯、百度、新浪几个门户，发现也是只有一部份能访问，看来IPV6的普及有很漫长的路要走，不过测试transmission是可以连接上IPv6的peer了，所以相应的下载速度也有所提升，这样说来IPv6也是有一定实际用处

还有如上文我的操作，我把IPv6的外部访问内部给禁止了，也就是不能用IPv6来远程家里NAS之类了，其实是因为我的两条宽带都长期获取到公网IP，远程访问内网资源都稳定，相比ipv6的直通还是ipv4的NAT结合vpn比较安全，就不用IPv6来远程访问了

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～