V2EX › a90405 的所有回复 › 第 3 页 / 共 5 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5

❮

❯

2023-11-07 15:39:47 +08:00

回复了 mikususu33 创建的主题 › OpenWrt › openwrt 如何只让内网中指定的设备才能获取到 slaac ipv6

@mikususu33
ipset create ipv6macs hash:mac
ipset add ipv6macs mac1
ipset add ipv6macs mac2
ipset add ipv6macs mac3

ip6tables -t mangle -I PREROUTING -i br-lan -p ipv6-icmp -m set ! --match-set ipv6macs src -j DROP
ip6tables -t mangle -I PREROUTING -i br-lan -p udp --dport 547 -m set ! --match-set ipv6macs src -j DROP

刚特地下了个 lean 版本的测试了，上面的防火墙规则，确保可行，把上面的代码，复制到自定义防火墙规则里面，mac 1 mac2 mac3 替换成需要获取 ipv6 的机器。

2023-11-07 01:22:43 +08:00

回复了 mikususu33 创建的主题 › OpenWrt › openwrt 如何只让内网中指定的设备才能获取到 slaac ipv6

@mikususu33

ipset create ipv6macs hash:mac
ipset add ipv6macs mac1
ipset add ipv6macs mac2
ipset add ipv6macs mac3

ip6tables -I input_lan_rule -p ipv6-icmp -m set ! --match-set ipv6macs src -j DROP
ip6tables -I input_lan_rule -p udp --dport 547 -m set ! --match-set ipv6macs src -j DROP

没有环境，没测试过，你试试

2023-11-06 22:26:49 +08:00

回复了 mikususu33 创建的主题 › OpenWrt › openwrt 如何只让内网中指定的设备才能获取到 slaac ipv6

# 下面的代码中 mac1 mac2 mac3 是你想获得 ipv6 地址的客户端的 mac 地址，自己换上就行了，想更多加个,号继续填就行了

nft insert rule inet fw4 mangle_prerouting meta nfproto ipv6 udp dport 547 ether saddr !={ mac1, mac2, mac3 } counter drop comment \" 阻止 dhcpv6 \"

nft insert rule inet fw4 mangle_prerouting icmpv6 type { 133-143 } ether saddr !={ mac1, mac2, mac3 } counter drop comment \" 阻止 slaac \"

2023-11-03 16:29:10 +08:00

回复了 blueboyggh 创建的主题 › OpenWrt › 新版的 OP 如何禁用制定设备的 ipv6?

@blueboyggh
nft insert rule inet fw4 forward_lan meta nfproto ipv6 meta oifname pppoe-wan ether saddr 阻止的 MAC counter drop

这是新的语法，你可以试试，这句命令的意思是阻止了，该 mac 发起的所有 ipv6 请求，如果有多个 mac ，可以复制添加多条。

其实更好的办法可以新建一个 LAN ，然后把你不用 v6 的客户端放在这个 lan 里面，然后关掉这个 lan 的 ipv6 。

2023-10-28 17:28:33 +08:00

回复了 znsb 创建的主题 › 宽带症候群 › 怎么设置 ipv6 mtu

流量过滤链 "mangle_forward"
钩子：forward(捕获发送到其他主机的传入数据包)，优先级：-150
策略：accept (继续处理不匹配的数据包)
规则匹配规则操作
#规则评论：Zone wan IPv4/IPv6 ingress MTU fixing 入口设备名于集合 { eth1, pppoe-wan }eth1
pppoe-wan 中 TCP 标记是 syn 将标头字段 TCP 最大报文段长度设为有效的路由 MTU
#规则评论：Zone wan IPv4/IPv6 egress MTU fixing 出口设备的名称于集合 { eth1, pppoe-wan }eth1
pppoe-wan 中 TCP 标记是 syn 将标头字段 TCP 最大报文段长度设为有效的路由 MTU

openwrt 23.05 有 mss 钳制啊

2023-10-23 14:19:55 +08:00

回复了 microka 创建的主题 › 宽带症候群 › OpenWrt 拨号 IPv6 测速比光猫拨号慢

23.05 没发现问题。

2023-10-21 01:06:29 +08:00

回复了 szdosar 创建的主题 › OpenWrt › 为 openwrt 放行特定下游机器 IPv6 端口的方法

你这防火墙规则就错哪去了，
按你的说法，src 起码要填 wan ，还有 wan 进来的数据，是获取不到目标的 mac 地址的，你这填了也白填。

2023-10-19 18:01:31 +08:00

回复了 LongLights 创建的主题 › OpenWrt › ikuai+openwrt，如何使用 passwall 的 ipv6 透明代理

旁路没法接管 ipv6 网关的，Ipv6 的网关是通过主路由 RA 下发的。
所有 IPV6 流量直接走主路由出去了。你的旁路由，在 Ipv6 看来是个空气。

2023-10-18 17:41:26 +08:00

回复了 peasant 创建的主题 › 宽带症候群 › 问下各位 v 友所在地区的宽带多久会强制重拨

@jizni 我这里电信，路由器 3 天重播日志。。。。