NAS 篇五:【网络】家庭IPV6网络详解之爱快IPV6防火墙(二)
前言
前面通过第一期IPV6的讲解,和大家一起了解了IPV6的基本知识,如果还不太熟悉的小伙伴可以翻回去看下 【网络】家庭IPV6网络详解之外网访问(一),今天就来实战下爱快IPV6防火墙的设置。
应用场景
可能有小伙伴会有疑问,即使没有IPV6防火墙安全应该也没太大问题,在这浩瀚如烟的IPV6地址中,别人根本无法找到我的设备地址,也不可能像IPV4一样直接扫描网段,因为根本扫不完。
确实,大部分场景下别人无法知道你的设备地址(也不会闲的扫ip段),但少数场景还是会泄露的,例如下载软件qbittorrent/transmission开启了IPV6,公共wifi/代理场景下通过域名直连家庭IPV6服务等,都有可能泄露设备的IPV6地址,因此开始IPV6防火墙是必不可少的。
以qbittorrent举例,直接必应搜索关键字“退出 qBittorrent 编辑 继续 暂停 重新开始所有任务 ”,翻到第二页,一堆通过域名或IP直连访问的,有的甚至还没有密码,直接登录(小伙伴们赶紧自检下),大家作为学习案例即可,不要滥用,都是从小白一步一步学习来的。
从上面的案例可以看出,如果域名是直接指向IPV6地址,直接扫描一把端口就可以把web服务都扫描出来;或者下载软件的用户连接可以看到IPV6地址,都有被侵入的风险。
爱快IPV6防火墙设置
1、查看爱快ACL设置文档:https://www.ikuai8.com/index.php?option=com_content&view=article&id=192&Itemid=312
2、【协议栈】:支持选择IPV4或IPV6,在爱快路由3.7.0及以上版本支持。
【协议】:这条ACL规则所走的协议的类型。
【动作】:允许或阻断;
【方向】: 进或转发;
[进]:内网或外网进路由。
[转发]:路由接收到内网或外网数据然后把数据进行转发动作。
【原始方向】:匹配主动发起方发起访问时的报文。
【应答方向】:匹配被访问方应答时的报文。
【源地址】:转发与进动作的起始地址,支持选择IPv6 MAC分组(3.7.7版本及以上支持)。地址填写IPV6地址的MAC时,阻断访问可以生效,允许访问暂不生效。
【目的地址】:转发与进动作的结束地址,支持选择IPv6 MAC分组(3.7.7版本及以上支持)。地址填写IPV6地址的MAC时,阻断访问可以生效,允许访问暂不生效。
【IPv6后缀匹配】:针对IPV6地址,填写固定后缀防止设备在重新获取IPv6地址后ACL规则失效。
3、允许本地设备访问IPV6网络,那么就是从lan口到wan口的IPV6转发数据要被允许,访问外网都是从wan口出去;阻止外网访问家庭IPV6设备,那么就是从wan口到lan口的IPV6转发数据要被阻止,外网访问都是从wan口进入。
4、设备既然开启了IPV6,那么就是要能够通过外网访问或者说qb/tr等设备需要通过ipv6进行数据传输,那么就需要开放部分端口,理解了第3点后应该就能单独配置出来
5、不过这里涉及到一个目的地址的问题,由于IPV6地址前缀是变化的,那么通过后缀匹配模式可以避免IPV6地址重新获取后转发失效的问题
6、举例下,公网地址:2400:a1:b1:c1:aaaa:bbbb:cccc:dddd,而我们IPV6的后缀为:aaaa:bbbb:cccc:dddd,那么目的地址为:::aaaa:bbbb:cccc:dddd/::ffff:ffff:ffff:ffff,保持段数一致
7、一般对外的端口开启tcp和udp转发即可,其余协议可以不用开,还能防止ping,简单的IPV6防火墙就设置完成。大家可以深入读下爱快文档,解锁更多玩法,本文作为一个简单引导。
8、ipv6端口测试地址:https://port.tools/port-checker-ipv6/,可以通过这个测试IPV6防火墙的有效性,或者说通过具体的web服务测试
实用小技巧
针对上述qBittorrent场景,需要新增的安全措施
web-ui验证建议不要勾选
不要使用默认账号和密码,同时提高密码复杂度
IP地址这块可以设置远程访问限制,例如只允许内网地址远程访问(自建隧道回家),或者只允许IPV4访问:0.0.0.0/0,只允许IPV6访问:::/0
后记
安全一直是家庭网络一个不可忽视的点,大家在享受便捷的同时一定注意网络安全,学习相关的网络知识,防止家庭信息被不法分子利用。大家记得点赞关注加收藏,后续分享更多安全相关的内容。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~