手把手教你用「后缀匹配」锁死IPv6流量，防黑客+防断连双赢方案

一、为什么你的IPv6地址可能被「盯上」？

公网IPv6地址和家庭住址一样——暴露在互联网上，谁都能“敲门”。尤其是家里的NAS、摄像头等设备，一旦开放了端口（比如5000、6866），黑客会像小偷一样疯狂扫描这些入口。IPv6地址数量庞大，但风险并不比IPv4低，如果防火墙规则没写对，等于给陌生人留了后门。

二、真实踩坑经历：IP一变，规则全废！

我在华硕路由器（梅林固件）上开启了IPv6，为了保护NAS，用ip6tables写了一条防火墙规则，只允许访问NAS的固定IPv6地址（类似2001:dead:cafe:0011:22ff:feaa:bbcc）。

ip6tables -I FORWARD -i ppp0 -o br0 -d 2001:dead:cafe:0011:22ff:feaa:bbcc -p tcp --dport 5000 -j ACCEPT

结果第二天，运营商突然更换了IPv6地址前缀（变成2001:abcd:cafe::/64），规则直接失效，NAS无法访问！ 为了解决断连问题，我索性删掉IP匹配规则，改成直接放行端口：
ip6tables -I FORWARD -i ppp0 -o br0 -p tcp --dport 5000 -j ACCEPT
结果几天后，其他设备上发现大量针对5000端口的攻击日志……端口开放了，但IP没锁死，谁都能进来！

三、终极方案：用「固定后缀」锁死设备IP

1. 你的设备有个「终身不变」的身份证号

IPv6地址的后半段（比如::22ff:feaa:bbcc）是根据网卡MAC地址生成的，叫EUI-64后缀。即使运营商换了地址前缀（前半段），这个后缀也永远不会变！
👉 我们只需在防火墙规则里匹配这个固定后缀，就能精准锁定设备！

2. 一条规则搞定安全+防断连

假设我的NAS后缀是::22ff:feaa:bbcc（根据MAC计算），在路由器终端上输入：
ip6tables -I FORWARD -i ppp0 -o br0 -d ::bbcc/::ffff -p tcp --dport 5000 -j ACCEPT
重点解释：
• ::bbcc/::ffff：匹配后缀为::bbcc的所有IPv6地址（这里偷懒，只匹配了16位，其实最大可以匹配到64位）

• --dport 5000：只允许访问5000端口

四、防规则丢失：加个「自动续命」脚本

华硕路由器重启后，ip6tables规则可能失效。我们需要让系统每分钟自动检查规则是否存在。

1. 设置定时任务，创建/jffs/crontab.cfg配置文件，内容如下

/*/1 * * * * /jffs/check_ip6tables.sh

2. 创建脚本文件/jffs/check_ip6tables.sh，内容如下：

#!/bin/sh date +"%Y-%m-%d %H:%M:%S" if test -z "$(crontab -l | grep check_ip6tables.sh)"; then echo " 添加定时任务！" crontab /jffs/crontab.cfg else echo " 定时任务已经有了！" fi if test -z "$(ip6tables-save | grep '::bbcc/::ffff')"; then echo "规则丢了，马上补！" ip6tables -I FORWARD -i ppp0 -o br0 -d ::bbcc/::ffff -p tcp --dport 5000 -j ACCEPT else echo "规则还在，放心！" fi

3. 执行脚本/jffs/check_ip6tables.sh

chmod +x /jffs/check_ip6tables.sh /jffs/check_ip6tables.sh

五、操作总结：3步永久生效

1. 查设备后缀：进入设备网络设置，找到IPv6地址的后缀（最后4组数字，如::bbcc）。

2. 写防火墙规则：替换脚本中的::bbcc和端口号5000为你的实际值。

3. 部署自动检查：按第四步上传脚本并设置定时任务。

小白避坑指南

• 端口号别照抄！换成你实际用的（比如NAS的5000、WireGuard的51820）。
• 后缀匹配的/::ffff是固定写法，别删！
• 梅林固件需开启JFFS分区和SSH登录，具体方法请自行百度。

用这个方法，既不怕运营商换IP，也不怕黑客扫端口！安全性和便利性终于能兼得了！