背景
- 众所周知,运营商给的光猫默认都是带 ipv6 的防火墙的,会导致所有默认的入站流量都被丢弃;
- 网上能找到的关闭 ipv6 防火墙的方法,主要有两种:
- 获取超级管理员权限,然后在光猫后台中关闭 ipv6 防火墙;
- 光猫改桥接,由路由器拨号,然后在路由器中关闭防火墙。
然而,这两种方法随着光猫硬件和固件的升级,都逐渐变得比较困难。网上能找到的所有相关的方法,在我的光猫上都失效了。
于是,经过一通折腾,我找到了一种不需要超级管理员权限,也不需要改桥接的方法,实现关闭 ipv6 防火墙的目的。
相关信息
以下是我的设备相关信息,我只测试了这个硬件和固件版本是没问题的,不过理论上烽火比较新的光猫应该都可以这么做。
| 类别 | 信息 |
|---|---|
| 运营商 | 联通 |
| 光猫厂家 | FiberHome |
| 光猫型号 | HG6145D2 |
| 硬件版本号 | WKE2.094.443 |
| 软件版本号 | RP0302 |
设置方法
如图所示:
- 在 安全 -> 端口过滤 -> 接入控制(WAN-LAN) 中,选择 “启用IP地址过滤”,并选择 “白名单模式”。
- 在添加的过滤器中,“启用” 选中,“协议” 选择 ALL,“目的端口(最小值)” 填 80,“目的端口(最大值)” 填 65535。然后点击添加。(端口范围可根据需要调整)
- 注意:白名单的防火墙是对 ipv4 也生效的。如果只针对 ipv6 设置了某些规则,那么也要加一些 ipv4 的规则,避免影响 ipv4 的相关流量。
原理分析
1. 为什么设置 “端口过滤” 能关闭 ipv6 防火墙呢?
多数光猫和路由器的防火墙,本质上应该都是基于 iptables 或者 nftables 实现的。iptables 或者 nftables 都是基于链的实现。因此,理论上,可以通过设置白名单,让匹配的流量能够通过防火墙,进而实现间接关闭防火墙的目的。
2. 为什么需要用 “白名单” 而不是 “黑名单”?
我测试了一下,由于光猫默认的策略是 ipv6 的入站流量 drop,因此再额外添加一个黑名单没有意义,反正都是 drop,匹配到的包是 drop,没有匹配到的包也是 drop。
3. 为什么使用端口范围而不是 ip 范围?
我试了一下,用 ip 也是 ok 的。事实上,安全起见,只设置指定 ip 的白名单会更加安全,可以只允许特定的设备的公网访问。
但由于 ipv6 是会经常变的,这样就会导致 ip 每变化一次,就需要在这里更新一下配置。所以用端口最简单。
另外,我的这个设备并不支持 ipv6 的前缀表达法和后缀表达法,所以如果用 ip 来设置的话,可能要设置一个非常大的范围。
4. 其他
在这个固件版本下,由于存在 bug,端口的设置并不需要一个完全正确的有效的范围,而是随便设一个范围,即可以全部生效。
