V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
szdosar
V2EX  ›  OpenWrt

为 openwrt 放行特定下游机器 IPv6 端口的方法

  •  
  •   szdosar · 2023-10-20 13:59:46 +08:00 · 916 次点击
    这是一个创建于 398 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有时我只允许从外部访问具有 MAC 地址11:22:33:44:55:66的设备的 HTTPS 端口(端口 443 ),我按照以下步骤设置 OpenWRT 的防火墙规则:

    创建一个新的防火墙规则,该规则允许到达特定 MAC 地址的流量通过,并仅限于 HTTPS 端口。

    编辑防火墙配置文件 : vi /etc/config/firewall 在文件头部,添加以下内容:

    config rule
    	option name 'Allow-ipv6-HTTPS-in'
    	option dest_port '443'
    	option dest_mac '11:22:33:44:55:66' # 请替换为实际的下游机器的网卡 mac 地址
    	option target 'ACCEPT'
    	option family 'ipv6'
    	option src '*'
    	option dest '*'
    	option proto 'all'
    

    确保这条规则位于防火墙规则列表的顶部,或至少在任何可能拒绝此类流量的规则之前。

    保存并重新加载防火墙配置。

    /etc/init.d/firewall restart
    

    这样, 允许所有来源的 IPv6 流量进入端口 443 ,但仅限于 MAC 地址为11:22:33:44:55:66 的设备可以接收这些流量,而其他设备则不行。咋样? hy2 跑起来?

    2 条回复    2023-10-21 05:39:26 +08:00
    a90405
        1
    a90405  
       2023-10-21 01:06:29 +08:00
    你这防火墙规则就错哪去了,
    按你的说法,src 起码要填 wan ,还有 wan 进来的数据,是获取不到目标的 mac 地址的,你这填了也白填。
    szdosar
        2
    szdosar  
    OP
       2023-10-21 05:39:26 +08:00 via Android
    @a90405 你是对的,luci 界面没有,后来才知道原来因,这么放行是对所有下游都有效了。抱歉
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   989 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 20:17 · PVG 04:17 · LAX 12:17 · JFK 15:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.