gfx wrote:
可以試有條件SNPT...(恕刪)
RAW NOTRACK 沒拿來用,目前 既有的 ipv6 防火牆下
以前 用 Masquerade
先前 用 Netmap (須關閉 Masquerade ,不關小機率會卡)
現在 用 SNPT/DNPT (須關閉 Masquerade,Netmap 不關小機率會卡)
/ipv6 firewall mangle
add chain=postrouting action=accept src-address=fe80::/10 comment="NPTv6 Bypass: Protect outbound Link-Local traffic (DHCPv6/NDP) \\n# M04-1"
add chain=prerouting action=accept dst-address=fe80::/10 comment="NPTv6 Bypass: Protect inbound Link-Local traffic (DHCPv6/NDP) \\n# M04-2"
這一段是為了順利取得 ipv6,沒有這兩段 ipv6 時間到了真的就沒了
/ipv6 firewall mangle
add action=dnpt chain=prerouting comment="NPTv6 DNPT: Stateless translation fr\\
om Public Prefix (GUA) back to ULA (fd00)\\
\\n# M04-3 NPTv6 \\E5\\85\\A5\\E5\\90\\91\\EF\\BC\\9A\\E5\\B0\\87\\E5\\85\\AC\\E7\\B6\\B2 Pre\\
fix \\E6\\B5\\81\\E9\\87\\8F\\E9\\82\\84\\E5\\8E\\9F\\E5\\9B\\9E\\E5\\85\\A7\\E7\\B6\\B2 ULA \\
\\E5\\89\\8D\\E7\\B6\\B4 (fd00) NPTv6_RAW_IN" dst-prefix=fd00::/64 \
in-interface-list=WAN src-prefix=2001:b019:9c01:1399::/64
add action=snpt chain=postrouting comment="NPTv6 SNPT: Stateless translation f\\
rom ULA (fd00) to Public Prefix (GUA)\\
\\n# M04-4 NPTv6 \\E5\\87\\BA\\E5\\90\\91\\EF\\BC\\9A\\E5\\B0\\87\\E5\\85\\A7\\E7\\B6\\B2 ULA\\
\\_\\E5\\89\\8D\\E7\\B6\\B4 (fd00) \\E8\\BD\\89\\E6\\8F\\9B\\E7\\82\\BA\\E5\\85\\AC\\E7\\B6\\B2 \\
Prefix NPTv6_RAW_OUT" dst-prefix=2001:b019:9c01:1399::/64 \
out-interface-list=WAN src-prefix=fd00::/64
/ipv6 firewall filter
add action=accept chain=forward comment="12-02-01 NPTv6: LAN to WAN: Allow int\\
ernal initiated traffic\\
\\n# \\E6\\94\\BE\\E8\\A1\\8C\\E5\\85\\A7\\E7\\B6\\B2\\E4\\B8\\BB\\E5\\8B\\95\\E7\\99\\BC\\E8\\B5\\
\\B7\\E6\\B5\\81\\E9\\87\\8F" in-interface-list=LAN src-address=fd00::/64
add action=accept chain=forward comment="12-02-02 NPTv6: WAN to LAN: Allow TCP\\
\\_ACK only (Return traffic))\\
\\n# \\E5\\83\\85\\E6\\94\\BE\\E8\\A1\\8C TCP ACK \\E5\\9B\\9E\\E7\\A8\\8B\\E5\\B0\\81\\E5\\8C\\
\\85" dst-address=fd00::/64 in-interface-list=WAN protocol=tcp tcp-flags=\
ack
add action=accept chain=forward comment="12-02-03 NPTv6: WAN to LAN: Allow UDP\\
\\_return traffic)\\
\\n# \\E6\\94\\BE\\E8\\A1\\8C UDP \\E5\\9B\\9E\\E7\\A8\\8B\\E6\\B5\\81\\E9\\87\\8F" \
dst-address=fd00::/64 in-interface-list=WAN protocol=udp
add action=accept chain=forward comment="23 Permit WAN to LAN HTTPS\\
\\n# \\E5\\85\\81\\E8\\A8\\B1 WAN TCP 443\\EF\\BC\\88HTTPS\\EF\\BC\\89" disabled=yes \
dst-address=fd00::399c:f700:3309:7670/128 dst-port=443 in-interface-list=\
WAN protocol=tcp
add action=drop chain=forward comment="24 Drop new connections from WAN\\
\\n# \\E9\\98\\BB\\E6\\AD\\A2\\E5\\A4\\96\\E7\\B6\\B2\\E4\\B8\\BB\\E5\\8B\\95\\E6\\8E\\83\\E6\\8F\\
\\8F" connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="25 defconf: drop everything else not co\\
ming from LAN\\
\\n# \\E4\\B8\\9F\\E6\\A3\\84\\E9\\99\\A4\\E4\\BA\\86 LAN \\E6\\B8\\85\\E5\\96\\AE\\E4\\B8\\AD I\\
P \\E7\\9A\\84\\E4\\B9\\8B\\E5\\A4\\96\\E7\\9A\\84\\E5\\B0\\81\\E5\\8C\\85 (\\E4\\BB\\8B\\E9\\9D\\
\\A2\\E6\\B8\\85\\E5\\96\\AE\\E4\\BD\\8D\\E6\\96\\BC /interface/list/member)" \
in-interface-list=!LAN
以前感覺這條有點多餘,反正放著不影響
........
..
使用上正常,相當順暢。
缺點 SNPT/DNPT 不管有沒有使用 raw no track 其 ipv6 大封包有點問題,會卡。
http://test-ipv6.com/
Masquerade , Netmap 沒有這問題。
補:
/ipv6 address
add address=::1 advertise=no comment="defconf: Local LAN GUA IPv6 Address" \
from-pool=ipv6-pool interface=bridge-lan
多了這段,似乎... ipv6 正常了
http://test-ipv6.com/
測試 IPv6 大型封包 成功 (0.256s) 使用 ipv6
只不過掃到 8/10 會卡一下,比起之前好很多,之前可是
測試 IPv6 大型封包 成功 (4.5s) 使用 ipv6 4.5s-4.9s
目前跑 SNPT/DNPT (不使用 raw no track)
先用幾天看看。
不喜歡開 raw no track,開了 ipv6 就跟早期一樣沒做防火牆,
雖然ipv6也真的不太需要防火牆。
