【网络】家庭IPV6网络详解之爱快IPV6防火墙（二）

前言

前面通过第一期IPV6的讲解，和大家一起了解了IPV6的基本知识，如果还不太熟悉的小伙伴可以翻回去看下 【网络】家庭IPV6网络详解之外网访问（一），今天就来实战下爱快IPV6防火墙的设置。

应用场景

可能有小伙伴会有疑问，即使没有IPV6防火墙安全应该也没太大问题，在这浩瀚如烟的IPV6地址中，别人根本无法找到我的设备地址，也不可能像IPV4一样直接扫描网段，因为根本扫不完。

确实，大部分场景下别人无法知道你的设备地址（也不会闲的扫ip段），但少数场景还是会泄露的，例如​下载软件qbittorrent/transmission开启了IPV6​，公共wifi/代理场景下通过域名直连家庭IPV6服务等，都有可能泄露设备的IPV6地址，因此开始IPV6防火墙是必不可少的。

以qbittorrent举例​，​直接必应搜索关键字“退出 qBittorrent 编辑 继续 暂停 重新开始所有任务 ”，翻到第二页，一堆通过域名或IP直连访问的，有的甚至还没有密码，直接登录（​小伙伴们赶紧自检下​），大家作为学习案例即可，不要滥用，都是从小白一步一步学习来的。

从上面的案例可以看出，如果域名是直接指向IPV6地址，直接扫描一把端口就可以把web服务都扫描出来；或者下载软件的用户连接可以看到IPV6地址，都有被侵入的风险。

爱快IPV6防火墙设置

1、查看爱快ACL设置文档：https://www.ikuai8.com/index.php?option=com_content&view=article&id=192&Itemid=312

2、【协议栈】：支持选择IPV4或IPV6，在爱快路由3.7.0及以上版本支持。

【协议】：这条ACL规则所走的协议的类型。

【动作】：允许或阻断；

【方向】： 进或转发；

[进]：内网或外网进路由。

[转发]：路由接收到内网或外网数据然后把数据进行转发动作。

【原始方向】：匹配主动发起方发起访问时的报文。

【应答方向】：匹配被访问方应答时的报文。

【源地址】：转发与进动作的起始地址，支持选择IPv6 MAC分组（3.7.7版本及以上支持）。地址填写IPV6地址的MAC时，阻断访问可以生效，允许访问暂不生效。

【目的地址】：转发与进动作的结束地址，支持选择IPv6 MAC分组（3.7.7版本及以上支持）。地址填写IPV6地址的MAC时，阻断访问可以生效，允许访问暂不生效。

【IPv6后缀匹配】：针对IPV6地址，填写固定后缀防止设备在重新获取IPv6地址后ACL规则失效。

3、允许本地设备访问IPV6网络，那么就是从lan口到wan口的IPV6转发数据要被允许，访问外网都是从wan口出去；阻止外网访问家庭IPV6设备，那么就是从wan口到lan口的IPV6转发数据要被阻止，外网访问都是从wan口进入。

4、设备既然开启了IPV6，那么就是要能够通过外网访问或者说qb/tr等设备需要通过ipv6进行数据传输，那么就需要开放部分端口，理解了第3点后应该就能单独配置出来

5、不过这里涉及到一个目的地址的问题，由于IPV6地址前缀是变化的，那么通过后缀匹配模式可以避免IPV6地址重新获取后转发失效的问题

6、举例下，公网地址：2400:a1:b1:c1:aaaa:bbbb:cccc:dddd，而我们IPV6的后缀为：aaaa:bbbb:cccc:dddd，那么目的地址为：::aaaa:bbbb:cccc:dddd/::ffff:ffff:ffff:ffff，保持段数一致

7、一般对外的端口开启tcp和udp转发即可，其余协议可以不用开，还能防止ping，简单的IPV6防火墙就设置完成。大家可以深入读下爱快文档，解锁更多玩法，本文作为一个简单引导。

8、ipv6端口测试地址：https://port.tools/port-checker-ipv6/，可以通过这个测试IPV6防火墙的有效性，或者说通过具体的web服务测试

实用小技巧

针对上述qBittorrent场景，需要新增的安全措施

• web-ui验证建议不要勾选

• 不要使用默认账号和密码，同时提高密码复杂度
• IP地址这块可以设置远程访问限制，例如只允许内网地址远程访问（自建隧道回家），或者只允许IPV4访问：0.0.0.0/0，只允许IPV6访问：::/0

后记

安全一直是家庭网络一个不可忽视的点，大家在享受便捷的同时一定注意网络安全，学习相关的网络知识，防止家庭信息被不法分子利用。