创新|开发|定制
专注于软路由|网络技术领域
        找回密码
当前位置:Ros资源网 > 软路由相关 > ROS教程 > RouterOS IPv6内网主机侧防火墙策略

RouterOS IPv6内网主机侧防火墙策略

2020-09-09 21:37:51 分类:ROS教程 / ROS脚本 / 软路由相关 阅读(3178) 评论(0)

从运营商分配到IPv6地址后,并通过路由器分配到内网主机IPv6地址,内网的主机将获取公网IPv6地址,这样带来一个安全问题,即全球互联网都可以访问到你的主机,而不是像IPv4通过路由器的nat转换后到互联网,nat可以隐藏私网IPv4地址,通过配置相应的防火墙保护路由器后的主机非常重要,大致配置方式如下:

  1. 接受established/related 数据包;
  2. 丢弃非法数据包,并记录到日志中;
  3. 接受除了WAN(外网接口)ICMPv6数据包;
  4. 接受从客户端到互联网的连接;
  5. 丢弃其他所有数据。

首先定义地址列表,这些地址包括本地链路地址、组播地址和你获取的IPv6地址

/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=your_ipv6 address  list=allowed
add address=ff02::/16 comment=multicast list=allowed

防火墙1,4,5规则策略组合非常重要,允许从内网到外网的访问,但外网向内网访问被拒绝,保证网络内部IPv6网络的安全性,避免别外部恶意访问,配置如下:

/ipv6 firewall filter
add action=accept chain=forward comment=established,related connection-state=established,related
add action=drop chain=forward comment=invalid connection-state=invalid log=yes log-prefix=ipv6,invalid
add action=accept chain=forward comment=icmpv6 in-interface=! WAN protocol=icmpv6
add action=accept chain=forward comment=”local network” in-interface=!WAN src-address-list=allowed
add action=drop chain=forward log-prefix=IPV6

这个配置是一组IPv6防火墙访问策略,对于内网主机来说是单向策略,只能从内到外,不能从外到内,如果你理解到了,也可以应用于IPv4的防火墙的单向访问策略
如果需要指定外部IPv6地址访问,需在最后一条规则drop所有数据前面加上目标IPv6地址段2001:db8:1::/64

[admin@MikroTik] /ipv6 firewall filter> print
Flags: X – disabled, I – invalid, D – dynamic
0    ;;; allow established and related
chain=input action=accept connection-state=established,related log=no log-prefix=””
1    ;;; accept ICMPv6
chain=input action=accept protocol=icmpv6 log=no log-prefix=””
2    ;;; defconf: accept UDP traceroute
chain=input action=accept protocol=udp port=33434-33534 log=no log-prefix=””
3    ;;; accept DHCPv6-Client prefix delegation.
chain=input action=accept protocol=udp src-address=fe80::/16 dst-port=546 log=no log-prefix=””
4    chain=input action=drop src-address=fe80::/16 in-interface=pppoe-out2 log=yes log-prefix=”dropLL_from_public”
5    ;;; allow allowed addresses
chain=input action=accept src-address-list=allowed log=no log-prefix=””
6    chain=input action=drop log=no log-prefix=””
7    ;;; established,related
chain=forward action=accept connection-state=established,related log=no log-prefix=””
8    ;;; invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix=”ipv6,invalid”
9    ;;; icmpv6
chain=forward action=accept protocol=icmpv6 in-interface=!WAN log=no log-prefix=””
10    ;;; local network
chain=forward action=accept in-interface=!WAN src-address-list=allowed log=no log-prefix=””
11    chain=forward action=drop log=no log-prefix=”IPV6″
[admin@MikroTik] /ipv6 firewall filter> add action=accept chain=forward dst-address=2001:db8:1::1/64
[admin@MikroTik] /ipv6 firewall filter> move 12 11

赞(1) 打赏
转载请注明出处:Ros资源网 » RouterOS IPv6内网主机侧防火墙策略
标签:

管理员

挨踢牛一枚,16年网络维护经验,专注网络出租运营,游戏工作室,企业网吧,小区宽带,出租房及各种网络环境的搭建与维护,如您有任何涉及到ROS的需求都可联系我们,我们将竭诚为您服务!

相关推荐

评论 抢沙发

评论前必须登录!

 

联系我们

TEL:155-5854-9093 QQ:962000293 WX:ok0734

E3E5物理机出租运营机房/游戏工作室/小区宽带/企业单位/网咖网吧/连锁酒店/无线覆盖/出租房/各类型矿场等网络环境搭建与设备安装调试,整套网络方案提供,定制编写ROS高端脚本/策略,ROS故障应急处理,包年包月托管代维,软路由/网络搭建维护相关的咨询建议,网络优化,技术支持等。>>>了解更多

吐血推荐

ROS资源网-入门教程

Router OS是目前功能最强、应用最广的软路由系统,适用于中小企事业单位、网吧、宾馆和运营商。通过该软件可以将标准的PC电脑变成专业路由器,在软件的开发和应用上可以不断地更新和发展,使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比,受到许多网络人士的青睐。

热门标签

ROS教程 (123)ROS脚本 (69)基础教程 (65)交换机 (32)游戏工作室 (21)PPTP (19)L2TP (18)小区宽带 (16)DDNS (16)防火墙 (15)H3C (13)无线覆盖 (12)VLAN (10)SSTP (9)一线多拨 (9)ROS安装 (9)远程访问 (9)EXSI (8)华为 (7)无线配置 (7)VRRP (7)域名解析 (7)用户管理 (7)企业网吧 (7)ROS配置 (7)无线组网 (7)DHCP (6)配置 (6)NAT (6)hotspot (6)

文章分类

网站统计

  • 日志总数:266
  • 评论总数:5
  • 标签总数:300
  • 页面总数:9
  • 分类总数:19
  • 链接总数:16
  • 最后更新:2022-09-14

友情链接

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏