前两天第一次通过 IPv6 访问 nas ,用 IP 加端口或域名加端口就可以使用了。在外面用起来比 zerotier 快多了。但 quFirewall 源源不断的提示,有人尝试登录。 一开始以为是 myqnapcloud 域名很容易被盯上,于是按照网上的教程,在阿里云买了个域名,如何在威联通里通过 docker 装上 aliyunddns ,再搞一个 SSL 证书。还是有人访问,他似乎是用 ipv6 地址访问的,而不是用域名访问的。 请问如何在路由器实现屏蔽?效果:内网随便访问,外网用 iptables 屏蔽。需要时通过 zerotier 访问路由器,加个#符号注释一下。 在路由器屏蔽期间,有没有必要关闭威联通里的 docker ? nas 里的"固件更新"等程序能联网吗?
1
lifanxi 2022-02-16 10:13:23 +08:00
可以考虑更轻量的 Port knocking 方案
|
2
SenLief 2022-02-16 11:28:27 +08:00 via iPhone
openwrt 不知道有没有不允许外网通过 ipv6 访问路由器的 web 功能。
|
3
zxqkyle 2022-02-16 11:55:54 +08:00
开启 ipv6 防火墙,禁止所有 input 和 forward
|
4
CKR 2022-02-16 12:22:55 +08:00 via Android
不给 nas 分配 ipv6 ,然后 zerotier 或者 vpn 连回去再用内网地址连接
|
6
abc8678 OP @zxqkyle 我刚才把 wan6 接口给点击关闭了,外面用 ipv6 地址无法访问了。当然,ipv4 地址也不能访问了,因为家里的 ipv4 不是公网。可阿里云那个域名依然可以访问,而且在无 ipv6 的情况下也能访问 nas ,不知道他怎么实现的 小白表示很神奇
|
7
abc8678 OP 搞定了,把 wan 口的“获取 ipv6 地址”改为“已禁用”,把 lan 口的“ipv6 分配长度”改为“已禁用”,外面就无法访问了。然后失联了十秒钟,之后又可以继续远程回家里操作路由器了
|
8
pxiphx891 2022-02-16 13:00:35 +08:00
wireguard
|
9
abc8678 OP ipv6 关了,短时间内没警告了。没想到过了一段时间,又来了"the denied amount reach the set threshold : 300"难道我理解错这句英语的意思了?这不是别人登录被拒绝的意思吗?源源不断遇到这个提示
|
10
RheatiN 2022-02-16 14:44:20 +08:00
我是路由器开的代理,然后开着代理,局域网连回自家的 qnap ,而且 qnap 的 conrolPanel->security 里可以设置 ip 的黑白名单模式,也可设置连几次失败,自动 ban ip 的功能
|
12
abc8678 OP @RheatiN 我自己的设备也不是静态 IP 啊。想搞个类似于验证码的方法,连接前 手动通过 Skype 发送自己的 IP 给机器人,才允许访问。或者,不知道能不能实现证书识别,就是我手机里装个证书,我的手机才能访问 nas ,其他设备不装证书就无法访问 nas 。。之类的办法
|
13
abc8678 OP 看了一下记录,大多数是 ipv4 地址扫描的,可我的 ipv4 并不是公网啊。我想在 nas 上设置阻止 ipv4 访问,但这样做的话,我回到家里就无法局域网连接 nas 了
|
14
RheatiN 2022-02-17 08:23:11 +08:00
@abc8678 给你想个馊主意,ip 白名单模式下,找个支持 ipv6 的 vps 或者固定代理,只允许代理的 ip ,然后通过代理连回去,哈哈哈。
|
15
abc8678 OP @RheatiN 源源不断的警报已经断了。我把 IP 白名单设置了一下,虽然我手中的设备的 IPv6 地址是不断变化的,但前半部分还能根据三大运营商找到一些共同点。弄完之后,从原来的几千次访问报警变成了几十次访问。剩下的难啃的骨头,是 ipv4 在访问我。我明明没有 ipv4 的公网 IP 。我想关掉 v4 访问,除了家里局域网
|
16
abc8678 OP @RheatiN 白名单按照三大运营商前缀设置好之后,没有了大多数的国外访问了。之前大多数警报都是美国、荷兰等地方
|
17
serafin 2022-07-10 00:41:08 +08:00
nas 防火墙白名单设一个你移动运营商的 ip 段,被同城移动网络 ip 攻击的概率还是比较低的
|