首页 > 其他分享 >OPNsense 防火墙系列四:固定 IPv6 后缀 + IPv6 端口转发

OPNsense 防火墙系列四:固定 IPv6 后缀 + IPv6 端口转发

时间:2022-09-02 00:34:13浏览次数:121  
标签:WAN LAN 后缀 配置 端口 DHCPv6 OPNsense IPv6

说明

在前文 OPNsense 防火墙系列一:安装、基础配置(PPPoE、IPv6、更换软件源) 中,配置了 IPv6 的追踪接口,使得所有设备都拥有公网 IPv6 地址。这使得我们在原理上可以通过公网访问内网任何一台终端的接口,但是由于安全性令人担忧,OPNsense 默认不放行任何 IPv4 和 IPv6 的 WAN 口入站访问 LAN 的请求。

接下来,就可以通过 IPv6 端口转发(或 WAN 反向代理,本文不记录),使得公网可以访问允许的服务。

固定 IPv6 后缀

但是由于网络运营商的限制,每隔一段时间会重新分配 WAN 口 IPv6 ,导致内网全部设备 IPv6 都要更换,对于 OPNsense 网络配置稳定性形成挑战。

为了更好的配置 OPNSense IPv6 端口转发,本文先记录如何配置内网 IPv6 64 后缀固定,再通过后缀配置防火墙规则。

WAN

接口 -> [WAN] 中,配置:

项目 子项目
DHCPv6客户端配置
配置模式 基本
仅请求IPv6前缀 勾选
前缀委派大小 60
发送IPv6前缀提示 不勾选
使用IPv4连接 勾选

保存,并应用更改。

LAN

接口 -> [LAN] 中,配置:

项目 子项目
跟踪IPv6接口
IPv6接口 WAN
IPv6前缀ID 0
允许手动调整DHCPv6和路由器通告 勾选

保存,并应用更改。

DHCPv6

服务 -> DHCPv6 -> [LAN] 中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告 后才启动),配置:

项目 说明
在LAN接口上启用DHCPv6服务 不勾选

保存,并应用更改。

服务 -> DHCPv6 -> 中继 中,配置:

项目 说明
启用DHCPv6中继 不勾选

保存,并应用更改。

路由器通告

服务 -> 路由器通告 -> [LAN] 中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告 后才启动),配置:

项目 说明
路由器通告 Assisted
路由器优先级 正常

其他默认即可。保存,并应用更改,重启主机。

表格 路由器通告 项目:

  • 选择要在此接口发送路由器通告要设置的标记。 使用“Router Only”禁用无状态地址自动配置(SLAAC)和DHCPv6,对于SLAAC为“Unmanaged”(A flag),对于有状态DHCPv6为“Managed”(M+O flags),对于状态DHCPv6和SLAAC(M+O+A flags)为“Assisted”,对于无状态DHCPv6和SLAAC(O+A flags)为“Stateless”。

参考: 跟大家分享下内网分发ipv6的设置方法,纯干货,折腾了3个月终于摸索出来了。 (opnsense.org)

开始使用

此时——

IPv6 端口转发

配置别名

防火墙 -> 别名 中的 别名 页面,添加:

项目 说明
启用 勾选
名称 自定义 示例为 test
类型 动态IPv^主机
内容 缺省的内网主机 IPv6 后 64 位后缀 实例为 ::1234:1234:1234:1234
接口 LAN

应用。

端口转发

防火墙 -> NAT -> 端口转发 中,添加:

项目 子项目 说明
编辑重定向条目
禁用该规则 不勾选
接口 WAN
TCP/IP版本 IPv6
协议 TCP
any 源 高级
源端口范围 anyany 源 高级
目标 WAN 地址
目标端口范围 从 -> 自定义 示例:从 (其他) 10001
到 -> 自定义 示例:到 (其他) 10001
定向目标IP 选择配置的别名 选择示例别名 test
重定向目标端口 自定义 示例 HTTPS
NAT回流 启用

保存,并应用更改。

防火墙高级设置

防火墙 -> 设置 -> 高级 中,配置:

项目 子项目 说明
IPv6选项
允许IPv6 勾选
NAT
端口转发回流设置 勾选
1:1NAT回流 不勾选
自动出站NAT回流 勾选

保存,并应用更改,重启主机。

浏览器清除缓存

用以清楚指定域名网站 HSTS 配置缓存:

  • Chrome :chrome://net-internals/#hsts

  • Edge : edge://net-internals/#hsts

参考: 关闭HSTS后清除Chrome/Edge带来的影响 - 憧憬点滴记忆 (licoy.cn)

开始使用

接下来就可以通过 OPNsense 设置的 WAN 目标端口访问内网服务器了。

这里还有其他配置可以参考,只不过没有验证: OPNsense配置使用IPv6地址 | 鐵血男兒的BLOG (pfschina.org)

标签:WAN,LAN,后缀,配置,端口,DHCPv6,OPNsense,IPv6
From: https://www.cnblogs.com/Yogile/p/16648328.html

相关文章

  • ipv6地址表示和简要认识(速通)
    ipv6一共128位比特,采用冒分16进制划分8部分的表示方式,例如:X:X:X:X:X:X:X:X::在ipv6地址只能显示一次,否则不合法。ipv6全球单播地址相当于ipv4的公网IPipv6链路本地地址fe80::......
  • OPNsense 防火墙系列三:阿里云 aliddns + 计划任务
    说明本系列前文中,我记录了WANIPv6的获取和HTTPS监听端口模式的更改,为了给后文——在IPv6防火墙的保护下——进行端口转发做铺垫,本文记录如何实现OPNsense下的阿......
  • OPNsense 防火墙系列二:SSL 证书和监听端口更改
    SSL证书默认OPNsense在初始化时,就默认监听80和443端口,强制SSL跳转,规定使用自签名的证书,有效期一年.我们只需要添加第三方证书并设置使用即可。申请证书需要拥......
  • OPNsense 防火墙系列一:安装、基础配置(PPPoE、IPv6、更换软件源)
    说明OPNsense其实是我第一次使用的路由防火墙系统,按照官方说法:“OPNsense®是一个开源的、易于使用和易于构建的基于FreeBSD的防火墙和路由平台。”这里OpenWrt不......
  • Python:将某个路径下后缀为**固定后缀的文件全部读进数据框并写入csv输出
     importosimportpandasaspdimportnumpyasnppath=r"/**/**/**"#填上文件所在的目录file_name=[]frames=[]forroot,dirs,filesinos.walk(path)......
  • C语言后缀表达式求值
    C语言后缀表达式求值从控制台输入一合法的后缀表达式,其中的运算符只包括+、一、*、/,运算数都是大于等于o的整数(除数不为零),按要求输出计算结果,或输出计算结和相对应的中缀......
  • Openwrt 纯ipv6环境管理和上网
    防火墙打开远程管理端口添加端口如22或者使用ipv6端口转发到ipv4使用socatopkginstallsocat图形化界面:drophair/luci-app-socatgwget-P/tmphttps://githu......
  • HCIA-datacom 7.1 实验 构建简单IPv6网络
    实验介绍IPv6(InternetProtocolVersion6)也被称为IPng(IPNextGeneration)。它是Internet工程任务组IETF(InternetEngineeringTaskForce)设计的一套规范,是IPv4(InternetP......
  • IPv6地址表示方法
    Ipv6:互联网协议第6版Ipv4:互联网协议第6版Ipv4地址表示方法:点分十进制,长度为32位例如:192.168.26.13Ipv6地址表示方法:点分十六进制,长度位128位Ipv4:8位一组,分为4组例如......
  • docker compose ipv6的处理
    简介:dockercompose是我常用的容器编排工具,至今没有升级到K8S,汗那么compose的yaml配置的容器如何互联呢?常见的恐怕就是上次折腾nginx的那一次了。一个nginx,反向代理a......