firewall中区分IPv4与IPv6不同

最新推荐文章于 2024-08-17 22:14:12 发布
最新推荐文章于 2024-08-17 22:14:12 发布
阅读量398 收藏 10
点赞数 5
分类专栏: openwrt 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_27487431/article/details/140495317
版权

在 OpenWrt 系统中,IPv4 和 IPv6 的防火墙配置有一些相似之处,但也有一些关键的区别。这些区别主要体现在防火墙规则的应用、策略的设置以及特定协议的处理上。以下是有关 IPv4 和 IPv6 防火墙配置的总结:

1. 防火墙配置文件

OpenWrt 的防火墙配置文件位于 /etc/config/firewall

2. IPv4 防火墙配置

默认配置

通常,默认的防火墙配置会包含对 IPv4 网络的基本保护措施:

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
区域配置(Zones)
config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'
转发规则(Forwarding)
config forwarding
    option src 'lan'
    option dest 'wan'
自定义规则(Rules)
config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

3. IPv6 防火墙配置

IPv6 防火墙配置与 IPv4 相似,但需要特别注意 IPv6 特有的协议和规则。

默认配置

同样地,防火墙配置文件也会包含对 IPv6 网络的基本保护措施:

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
区域配置(Zones)

IPv6 的区域配置可以复用 IPv4 的配置,但需要确保包含 IPv6 网络接口:

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan wan6'
转发规则(Forwarding)
config forwarding
    option src 'lan'
    option dest 'wan'
自定义规则(Rules)
config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fe80::/10'
    option src_port '547'
    option dest_ip 'fe80::/10'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request echo-reply destination-unreachable packet-too-big time-exceeded bad-header unknown-header-type router-solicitation neighbour-solicitation'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    option icmp_type 'echo-request echo-reply destination-unreachable packet-too-big time-exceeded bad-header unknown-header-type router-solicitation neighbour-solicitation'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

4. 防火墙的关键变化和考虑

NAT(网络地址转换)
  • IPv4:通常需要 NAT 来将私有 IP 地址转换为公共 IP 地址。
  • IPv6:由于地址充裕,通常不需要 NAT,可以直接进行端到端连接。
ICMP 和 ICMPv6
  • IPv4:需要允许 ICMP(如 ping)来确保基本的网络诊断功能。
  • IPv6:ICMPv6 是必需的,用于网络发现、邻居发现等基本功能,因此需要更多的 ICMPv6 类型规则。
DHCP 和 DHCPv6
  • IPv4:需要允许 DHCP 流量。
  • IPv6:需要允许 DHCPv6 流量,通常还需要配置 SLAAC(无状态地址自动配置)。

总结

IPv4 和 IPv6 的防火墙配置在很多方面是相似的,但由于协议的不同,IPv6 需要特别注意 ICMPv6、地址分配和 NAT 的处理。通过上述配置,可以确保在 OpenWrt 系统中为 IPv4 和 IPv6 网络提供有效的防火墙保护。

PHP程序员的自我修养
关注
专栏目录
centos7firewall防火墙命令详解
09-15
本篇文章主要介绍了centos7firewall防火墙命令详解,具有一定的参考价值,有需要的可以了解一下。
浅谈linux系统firewalld防火墙常用策略(ipv6ipv4
Mr.Wang的博客
12-08 6174
本文以CentOS7系统为例来讲述firewalld防火墙常用命令以及基础策略,主要记录博主日常维护系统常用防火墙命令操作,网络安全需求日益增长,需要大家共同努力维护绿色安全。
【调试笔记-20240729-Linux-OpenWrt 23.05 安装 Docker 使用 fw4 和 nftables】
David唐辉的博客
07-29 902
本文记录在 Windows 的 QEMU 环境下运行 OpenWrt 安装调试 Docker 使用 fw4 和 nftables。实验使用的电脑如下:本文记录在 Windows 的 QEMU 环境下运行 OpenWrt 安装调试 Docker 使用 fw4 和 nftables。
ipv4ipv6通过防火墙互转-NAT 64技术
weixin_42574924的博客
12-05 619
《21天精通IPv4 to IPv6》第5天:IPv4IPv6共存策略——如何为不同的系统实现IPv4IPv6共存问题?
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
02-11 2万+
在《21天精通IPv4 to IPv6》系列的第五天,我,猫头虎博主,将深入讨论IPv4IPv6的共存策略。本文内容将涵盖双栈网络、转换技术如NAT64和隧道技术,以及在不同操作系统实现共存的方法。本文注重易读性和准确性,适合各级读者,涉及词条包括IPv4IPv6共存、网络转换技术、操作系统网络配置等。知识点描述双栈网络设备同时支持IPv4IPv6转换技术包括NAT64和隧道技术,实现协议间的转换系统配置在Windows、Linux、macOS和安卓上配置IPv4IPv6
OpenWrt-v22.03 通过安装 ZeroTier 插件实现异地组网
热门推荐
m0_60027682的博客
09-24 3万+
主要介绍OpenWrt-v22.03 通过安装 ZeroTier 插件实现异地组网,基于 nftables 的 Firewall4 防火墙,Firewall4 现已替代firewall3成为 OpenWrt 镜像的默认防火墙配置软件. Firewall4 使用了 nftables 代替 iptables 来配置 Linux 的网络过滤规则。
防火墙与IPv6
maxiaoqiang1的专栏
09-22 6554
cisco iossolarisaccesspix防火墙网络管理员  这份文件由IPv6的观点描述了为何防火墙的概念依然适用于IPv6以及有什幺可以做来让防火墙更适合IPv6所带来的挑战。对防火墙设备可能面临的挑战在这篇文章之被描述且提出了一些解决方法。 1 防
VLAN与IPv6:VLAN在IPv6网络的应用
# 1. 介绍 ## 1.1 VLAN的概念和作用 虚拟局域网(VLAN)是一种在物理网络基础上实现逻辑隔离的技术。...IPv6是下一代互联网协议,相比于IPv4具有以下特点: 1. **地址空间更大**:IPv6采用128位地址,地址
IPv6网络规划与实施
IPv6在设计之初就考虑了地址空间的扩展性和安全性,为解决IPv4存在的种种问题提供了有效的解决方案。 ## 1.2 IPv6IPv4的对比 IPv6IPv4在地址长度、地址类型、地址表示方式等方面有很多区别。 - 地址长度:...
linux 防火墙(firewall
DK_one的博客
03-16 6340
一 : 介绍1.1防⽕墙是保护机器不受来⾃外部的、不需要的⽹络数据的⼀种⽅式。它允许⽤⼾通过定义⼀组防⽕墙规则来控制主机上的⼊站⽹络流量。这些规则⽤于对进⼊的流量进⾏排序,并可以阻断或允许流量。1.2firewalld 是⼀个防⽕墙服务守护进程,其提供⼀个带有 D-Bus 接⼝的、动态可定制的、基于主机的防⽕墙。如果是动态的,它可在每次修改规则时启⽤、修改和删除规则,⽽不需要在每次修改规则时重启防⽕墙守护进程。。
100个网络技术英文术语,收藏收藏!
最新发布
网络技术联盟站
08-17 147
100个网络技术英文术语,收藏收藏!
Internet 协议版本 6 (IPv6) Internet 连接防火墙的组策略
03-04
在缺省设置下,网络连接的 IPv6 ICF 处于激活状态。如果你没有选择 禁止在 DNS 域网络上使用 Internet 连接防火墙,管理员就可以配置 IPv6 ICF 。如果你选择了 禁止在 DNS 域网络上使用 Internet 连接防火墙,那么防火墙就无法在你的网络上运行,连接到域网络的计算机的管理员也无法激活或者配置防火墙。
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2276
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程的常用实践,最后梳理成为安全最佳实践。
防火墙详解
这是一个爱吃火鸡味锅巴女孩的博客
07-05 6560
53 张图详解防火墙的 55 个知识点
Firewalld防火墙基础
m0_73464307的博客
11-07 2036
在Internet ,企业通过架设各种应用系统来为用户提供各种网络服务,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?就需要总所周知的防火墙,那什么是防火墙?本文将展示centos系统的防火墙--netfilter和iptables,与 firewalld。以及防火墙包含的表、 链结构 和数据包匹配的基本流程学会编写 iptables 规则firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
2024年最全IPV6大型网络配置实战_ipv6 组网 实战(1)
2401_84167086的博客
05-03 946
Y/N] y //这里为警告提示我们输入y(yes)即可.
华为防火墙配置ipv6
weixin_48041873的博客
11-28 1221
1、2、3、
linux防火墙
wdirdo的博客
10-23 218
linux防火墙 此处主要介绍linux内核带有的netfilter,仅能保护单台主机 netfilter:firewalling、NAT、packet mangling for linux 防火墙的概念 网络安全技术 IDS:入侵检测与管理系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监...
linux开机启动端口转发,Linux下使用 Firewall 进行端口转发;IPv6端口转发
weixin_36183464的博客
05-01 1725
直接SSH下操作即可。一、Firewall IPv4端口转发开启IPV4转发echo 1 > /proc/sys/net/ipv4/ip_forward开启firewalld防火墙systemctl start firewalld.servicesystemctl enable firewalld.service端口转发,下面是开启1234端口,目标IP是1.1.1.1,端口也是1234fi...
FATAL ERROR: No IPv4 and IPv6 firewall.
05-15
这个错误通常表示您的计算机上没有配置防火墙,或者正在使用的防火墙已被关闭。您需要启用防火墙以保护您的计算机免受网络攻击。如果您正在使用 Windows 操作系统,可以按照以下步骤启用防火墙: 1. 点击“开始”菜单,打开“控制面板”。 2. 在控制面板,选择“系统和安全”。 3. 在“系统和安全”页面,选择“Windows 防火墙”。 4. 在 Windows 防火墙页面,选择“打开或关闭 Windows 防火墙”。 5. 在弹出的窗口,选择“打开 (推荐) ”,然后单击“确定”按钮。 如果您使用的是其他操作系统或防火墙软件,请参考相关文档了解如何启用防火墙。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PHP程序员的自我修养

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值