背景
- 众所周知,运营商给的光猫默认都是带 ipv6 的防火墙的,会导致所有默认的入站流量都被丢弃;
- 网上能找到的关闭 ipv6 防火墙的方法,主要有两种:
- 获取超级管理员权限,然后在光猫后台中关闭 ipv6 防火墙;
- 光猫改桥接,由路由器拨号,然后在路由器中关闭防火墙。
然而,这两种方法随着光猫硬件和固件的升级,都逐渐变得比较困难。网上能找到的所有相关的方法,在我的光猫上都失效了。
于是,经过一通折腾,我找到了一种不需要超级管理员权限,也不需要改桥接的方法,实现关闭 ipv6 防火墙的目的。
相关信息
以下是我的设备相关信息,我只测试了这个硬件和固件版本是没问题的,不过理论上烽火比较新的光猫应该都可以这么做。
| 类别 | 信息 |
|---|---|
| 运营商 | 联通 |
| 光猫厂家 | FiberHome |
| 光猫型号 | HG6145D2 |
| 硬件版本号 | WKE2.094.443 |
| 软件版本号 | RP0302 |
设置方法
如图所示:
- 在 安全 -> 端口过滤 -> 接入控制(WAN-LAN) 中,选择 “启用IP地址过滤”,并选择 “白名单模式”。
- 在添加的过滤器中,“启用” 选中,“协议” 选择 ALL,“目的端口(最小值)” 填 80,“目的端口(最大值)” 填 65535。然后点击添加。(端口范围可根据需要调整)
- 注意:白名单的防火墙是对 ipv4 也生效的。如果只针对 ipv6 设置了某些规则,那么也要加一些 ipv4 的规则,避免影响 ipv4 的相关流量。
原理分析
1. 为什么设置 “端口过滤” 能关闭 ipv6 防火墙呢?
多数光猫和路由器的防火墙,本质上应该都是基于 iptables 或者 nftables 实现的。iptables 或者 nftables 都是基于链的实现。因此,理论上,可以通过设置白名单,让匹配的流量能够通过防火墙,进而实现间接关闭防火墙的目的。
2. 为什么需要用 “白名单” 而不是 “黑名单”?
我测试了一下,由于光猫默认的策略是 ipv6 的入站流量 drop,因此再额外添加一个黑名单没有意义,反正都是 drop,匹配到的包是 drop,没有匹配到的包也是 drop。
3. 为什么使用端口范围而不是 ip 范围?
我试了一下,用 ip 也是 ok 的。事实上,安全起见,只设置指定 ip 的白名单会更加安全,可以只允许特定的设备的公网访问。
但由于 ipv6 是会经常变的,这样就会导致 ip 每变化一次,就需要在这里更新一下配置。所以用端口最简单。
另外,我的这个设备并不支持 ipv6 的前缀表达法和后缀表达法,所以如果用 ip 来设置的话,可能要设置一个非常大的范围。
4. 其他
在这个固件版本下,由于存在 bug,端口的设置并不需要一个完全正确的有效的范围,而是随便设一个范围,即可以全部生效。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容