V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
acbot
V2EX  ›  宽带症候群

PPPoE IPv6-PD SLAAC 模式下如何实现服务端口转发?

  •  
  •   acbot · 2021-07-13 16:13:43 +08:00 · 2117 次点击
    这是一个创建于 1265 天前的主题,其中的信息可能已经有所发展或是发生改变。
    为了服务器的安全性我们很多时候会修改常用服务器端口,在 IPv4 中可以用 iptables -t nat -i prerouting -i pppoe-wan -p tcp --dport 10022 -j DNAT --to-destination 10.0.0.1:22 这样的规则进行端口转发 实现应用内外端口不一样那么在 PPPoE IPv6-PD SLAAC 模式环境中如何用 ip6tables 现实类似的功能
    19 条回复    2021-07-17 13:38:04 +08:00
    HDman
        1
    HDman  
       2021-07-14 01:05:56 +08:00 via iPhone
    不要用 IPV4 的思维去思考 IPV6
    datou
        2
    datou  
       2021-07-14 09:24:40 +08:00
    直接修改服务[::]的监听端口
    winmin
        3
    winmin  
       2021-07-14 09:41:53 +08:00 via Android
    如果开通 ipv6 分配了,内网服务器应该是分配到的是公网 IPv6 了,可以直接访问,要知道特定端口则直接指定端口就好。如果内网的 ipv6 机器只能出站,不能被远程访问,那一般是路由限制了外网对内网 ipv6 的限制,openwrt 默认禁止了外网 ipv6 链接通过,修改防火墙就好
    ericww
        4
    ericww  
       2021-07-14 09:49:51 +08:00
    ip6tables -t nat -I PREROUTING -p udp --dport 12345 -j DNAT --to [abcd::1234]:23456
    ip6tables -I INPUT -p udp --dport 12345 -j ACCEPT
    acbot
        5
    acbot  
    OP
       2021-07-14 13:20:46 +08:00
    @HDman 主要是为了防止常用端口扫描和暴力破解 v4 v6 都有这个问题
    acbot
        6
    acbot  
    OP
       2021-07-14 13:21:41 +08:00
    @datou 这个方法应该是 没有其他办法情况下的无奈之举
    acbot
        7
    acbot  
    OP
       2021-07-14 13:22:41 +08:00
    @winmin 这里主要的问题不是如何开放端口的问题 而是为了防止常用端口扫描和暴力破解 所以想把对外的端口改一下 内外不同
    acbot
        8
    acbot  
    OP
       2021-07-14 13:24:12 +08:00
    @ericww [abcd::1234]:23456 这个 abcd 也就是 IPv6-PD 变化的情况有没有办法解决 如果能解决就完美了
    winmin
        9
    winmin  
       2021-07-14 14:15:10 +08:00
    @acbot 既然你都利用路由转发了,为啥要转公网的 v6 地址呢,转固定的 ipv6 link 地址就好了
    acbot
        10
    acbot  
    OP
       2021-07-14 15:07:46 +08:00
    @winmin 重点是内外端口不同 地址前缀是其次的问题
    ericww
        11
    ericww  
       2021-07-14 16:48:44 +08:00 via iPhone
    @acbot 不是有 ULA 吗?
    ericww
        12
    ericww  
       2021-07-14 16:54:17 +08:00 via iPhone
    @acbot 为什么端口扫描和暴力破解的问题需要用 NAT 解决?换个思路不要局限,在 ipv4 资源丰富的地区也没有 NAT 啊。
    qbqbqbqb
        13
    qbqbqbqb  
       2021-07-14 18:19:08 +08:00
    如果只是改端口的话,应该可以用 REDIRECT 规则来时间
    qbqbqbqb
        14
    qbqbqbqb  
       2021-07-14 18:32:04 +08:00
    @qbqbqbqb 更正一下,REDIRECT 会将数据包重定向到本机,所以如果配置在路由器上就不管用了。

    还是只能用 DNAT 。如果前缀不固定的话,可以给内网配置一个 ULA 前缀,重定向的时候用 ULA 作为目的地址。
    acbot
        15
    acbot  
    OP
       2021-07-15 09:16:49 +08:00
    @ericww 思路是有,直接指在 v4 下用更简单,其实这里更多的是想研究 v6 下有没有类似的实现。
    acbot
        16
    acbot  
    OP
       2021-07-15 09:19:09 +08:00
    @qbqbqbqb “重定向到本机” 服务和路由在一台机器接口上 为什么不行呢?
    leoyzen
        17
    leoyzen  
       2021-07-16 00:36:39 +08:00 via Android
    思路就错了。IPv6 按照防火墙暴露公网,只暴露对应端口不就没有端口扫描等问题了吗,也谈不上安全问题。防火墙也支持动态 prefix 的 prefix
    acbot
        18
    acbot  
    OP
       2021-07-16 06:37:14 +08:00
    @leoyzen zheli 可能是我描述得不够清楚,端口扫描是次要的,修改常用端口号防止非必要的访问或者暴力攻击和破解才是需求!
    leoyzen
        19
    leoyzen  
       2021-07-17 13:38:04 +08:00 via Android
    @acbot 如果一定要这么搞,那就 4 楼的 ip6table 转发到内网 link_local 地址,避免动态前缀的问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2706 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:23 · PVG 16:23 · LAX 00:23 · JFK 03:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.