OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
› OpenWrt 官方网站
这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。
前提条件 Openwrt >= 22.03 + fw4
- 在/etc/nftables.d/下创建一个.nft 文件,比如/etc/nftables.d/20-ipv6-allowed-filter.nft , 输入以下内容:
#
chain allow_icmpv6_from_selected_macs {
type filter hook prerouting priority -300; policy accept;
# 允许获取 IPV6 的设备 MAC 地址, 多个设备逗号隔开
#iifname "br-lan" ether saddr { xx:xx:xx:xx:xx:xx, yy:xx:xx:xx:xx:xx } ip6 nexthdr icmpv6 accept
# 可以用 ipset 名称方便管理(Network->Firewall->IP Sets), 比如 devices_allow_ipv6
iifname "br-lan" ether saddr @devices_allow_ipv6 ip6 nexthdr icmpv6 accept
# 丢弃其他 icmp 请求
iifname "br-lan" ip6 nexthdr icmpv6 drop
}
- 重启 firewall 和 odhcpd 生效
 |
1
ysc3839 32 天前
为什么不直接用 OpenWrt 的防火墙规则来过滤?
|
 |
3
cxtrinityy 32 天前 via Android
这两条 rule 直接合一起,set 取反 drop 不就可以了
为啥只给指定设备 ipv6 ,感觉现在用 v6 基本没啥大毛病了吧,防火墙也默认 block 所有入站流量,没啥安全问题吧 |
Select Language