这是一个创建于 1212 天前的主题,其中的信息可能已经有所发展或是发生改变。
为了服务器的安全性我们很多时候会修改常用服务器端口,在 IPv4 中可以用 iptables -t nat -i prerouting -i pppoe-wan -p tcp --dport 10022 -j DNAT --to-destination 10.0.0.1:22 这样的规则进行端口转发 实现应用内外端口不一样那么在 PPPoE IPv6-PD SLAAC 模式环境中如何用 ip6tables 现实类似的功能
 |
1
HDman 2021-07-14 01:05:56 +08:00 via iPhone
不要用 IPV4 的思维去思考 IPV6
|
 |
2
datou 2021-07-14 09:24:40 +08:00
直接修改服务[::]的监听端口
|
 |
3
winmin 2021-07-14 09:41:53 +08:00 via Android
如果开通 ipv6 分配了,内网服务器应该是分配到的是公网 IPv6 了,可以直接访问,要知道特定端口则直接指定端口就好。如果内网的 ipv6 机器只能出站,不能被远程访问,那一般是路由限制了外网对内网 ipv6 的限制,openwrt 默认禁止了外网 ipv6 链接通过,修改防火墙就好
|
 |
4
ericww 2021-07-14 09:49:51 +08:00
ip6tables -t nat -I PREROUTING -p udp --dport 12345 -j DNAT --to [abcd::1234]:23456
ip6tables -I INPUT -p udp --dport 12345 -j ACCEPT |
 |
7
acbot OP @winmin 这里主要的问题不是如何开放端口的问题 而是为了防止常用端口扫描和暴力破解 所以想把对外的端口改一下 内外不同
|
|
8
acbot OP @ericww [abcd::1234]:23456 这个 abcd 也就是 IPv6-PD 变化的情况有没有办法解决 如果能解决就完美了
|
|
12
ericww 2021-07-14 16:54:17 +08:00 via iPhone
@acbot 为什么端口扫描和暴力破解的问题需要用 NAT 解决?换个思路不要局限,在 ipv4 资源丰富的地区也没有 NAT 啊。
|
 |
13
qbqbqbqb 2021-07-14 18:19:08 +08:00
如果只是改端口的话,应该可以用 REDIRECT 规则来时间
|
|
14
qbqbqbqb 2021-07-14 18:32:04 +08:00
@qbqbqbqb 更正一下,REDIRECT 会将数据包重定向到本机,所以如果配置在路由器上就不管用了。
还是只能用 DNAT 。如果前缀不固定的话,可以给内网配置一个 ULA 前缀,重定向的时候用 ULA 作为目的地址。 |
 |
17
leoyzen 2021-07-16 00:36:39 +08:00 via Android
思路就错了。IPv6 按照防火墙暴露公网,只暴露对应端口不就没有端口扫描等问题了吗,也谈不上安全问题。防火墙也支持动态 prefix 的 prefix
|
Select Language