这是一个创建于 1553 天前的主题,其中的信息可能已经有所发展或是发生改变。
为了服务器的安全性我们很多时候会修改常用服务器端口,在 IPv4 中可以用 iptables -t nat -i prerouting -i pppoe-wan -p tcp --dport 10022 -j DNAT --to-destination 10.0.0.1:22 这样的规则进行端口转发 实现应用内外端口不一样那么在 PPPoE IPv6-PD SLAAC 模式环境中如何用 ip6tables 现实类似的功能
 | 1 HDman 2021-07-14 01:05:56 +08:00 via iPhone 不要用 IPV4 的思维去思考 IPV6 |
 | 2 datou 2021-07-14 09:24:40 +08:00 直接修改服务[::]的监听端口 |
 | 3 winmin 2021-07-14 09:41:53 +08:00 via Android 如果开通 ipv6 分配了,内网服务器应该是分配到的是公网 IPv6 了,可以直接访问,要知道特定端口则直接指定端口就好。如果内网的 ipv6 机器只能出站,不能被远程访问,那一般是路由限制了外网对内网 ipv6 的限制,openwrt 默认禁止了外网 ipv6 链接通过,修改防火墙就好 |
 | 4 ericww 2021-07-14 09:49:51 +08:00 ip6tables -t nat -I PREROUTING -p udp --dport 12345 -j DNAT --to [abcd::1234]:23456 ip6tables -I INPUT -p udp --dport 12345 -j ACCEPT |
 | 7 acbot OP @winmin 这里主要的问题不是如何开放端口的问题 而是为了防止常用端口扫描和暴力破解 所以想把对外的端口改一下 内外不同 |
| 8 acbot OP @ericww [abcd::1234]:23456 这个 abcd 也就是 IPv6-PD 变化的情况有没有办法解决 如果能解决就完美了 |
| 12 ericww 2021-07-14 16:54:17 +08:00 via iPhone @acbot 为什么端口扫描和暴力破解的问题需要用 NAT 解决?换个思路不要局限,在 ipv4 资源丰富的地区也没有 NAT 啊。 |
 | 13 qbqbqbqb 2021-07-14 18:19:08 +08:00 如果只是改端口的话,应该可以用 REDIRECT 规则来时间 |
| 14 qbqbqbqb 2021-07-14 18:32:04 +08:00 @qbqbqbqb 更正一下,REDIRECT 会将数据包重定向到本机,所以如果配置在路由器上就不管用了。 还是只能用 DNAT 。如果前缀不固定的话,可以给内网配置一个 ULA 前缀,重定向的时候用 ULA 作为目的地址。 |
 | 17 leoyzen 2021-07-16 00:36:39 +08:00 via Android 思路就错了。IPv6 按照防火墙暴露公网,只暴露对应端口不就没有端口扫描等问题了吗,也谈不上安全问题。防火墙也支持动态 prefix 的 prefix |
Select Language