pctine wrote:
>> 一...(恕刪)
謝謝大大的回覆
TONYTC wrote:
HI各位..有數個問...(恕刪)
若設定IPv4防火牆的白名單規則,請先參考小弟整理:
firewall filter白名單
後續設定IPv6防火牆,Dual Stack有個伺服器您要開放,是fe80::開頭的,
所以您先將所有drop封鎖先解除,再新增一個rule擺在最前.
/ipv6 firewall filter
add action=add-src-to-address-list address-list=a.test chain=input \
in-interface=pppoe-out1
抓到fe80::開頭的伺服器ip後,將它設定為accept然後擺在rule的最前面,像我這樣...
後續您就可以設定ipv6防火牆白名單了.
ICMPv6建議您不要封鎖,因為對應到了PMD.
https://www.gsnv6.tw/docu/SOP/10.IPv6_SOP_Path_MTU.pdf
在IPv6網路裡為降低路由器的工作負擔,路由器不再負責封包分割,IPv6封包分割的工作只在起始端的電腦上執行。如果路由器(或其他網路設備)收到一個超過輸出埠MTU大小的封包,路由器會直接將該封包丟棄,再回送一個Packet Too Big (封包太大)的ICMPv6回應封包給起始端電腦,並透過這個回應告知路由器的MTU,起始端電腦就會依據收到的MTU進行封包分割及重新發送,這個協調告知傳輸路徑MTU的機制就稱為IPv6 PathMTU Discovery (PMD)。
TONYTC wrote:
例如允許區網那個...就算沒加那2段..區網都能通信啊..還有為什麼允許區網會要2條?
你的是INPUT FORWORD
我的ALL-LAN裡有含VPN-LAN ,除非您沒在用VPN,這樣懂了吧!
所以兩條的目的是:
chain=input 讓ALL區網電腦(含VPN網域)能自由連進RB450G
chain=forward 讓ALL區網電腦(含VPN網域)能自由連進 其它的區網電腦(含VPN網域)
另外關於ICMP ,
您可以drop input連入的ICMP,但相對您RB450G Ping的小工具也ping不出外網..
不信您可以試試!
若要RB450G既ping得出去,但外面的卻又ping不進來,以白名單而言要這麼修改:
add action=add-dst-to-address-list address-list=a.test address-list-timeout=3s \
chain=output comment="\\A4\\B9\\B3\\\\ICMP\\A6^\\C0\\B3" dst-address-list=!All-Lan protocol=icmp
add chain=input protocol=icmp src-address-list=a.test
add chain=forward protocol=icmp
內文搜尋
從 APP 打開
X