IPV6公网暴露下的OPENWRT防火墙安全设置（只允许访问局域网中指定服务器指定端口其余拒绝）

 首先是防火墙的常规配置和区域配置

标的有点乱但是选项含义都做了解释，看不懂可以直接按图抄作业。

其次是对需要访问的端口做访问放通

情况1 DDNS位于openwrt网关上，外网访问openwrt，通过端口转发访问内部服务器。此情况需要设置端口转发。

外部端口与内部端口无需对应，外部端口为你网址访问后跟的端口，内部端口为服务器上提供服务的端口。 

情况2 DDNS做在服务器上，IPV6直接访问服务器，此情况需要设置通信规则。

 

由于是直接外网通过IPV6进行访问服务器，所以这里目标地址不能和情况1一样填写内网v4地址，必须填写IPV6地址。

但是由于IPV6的变化性，所以需要做一些地址匹配，使其忽略不断变化的网络号，只匹配不变动的主机号。

目标地址::51a2:696c:1dd5:5701/::ffff:ffff:ffff:ffff
前面为IPV6后4段（由于EUI64生成方法会生成4段不变主机号。若手动设置了较短的静态地址主机号也行但需要根据自己情况修改地址和掩码长度，如主机号只有 ::1 则只需要匹配最后一段）
斜杠后为掩码，表明后四段为主机号，含义为匹配完整IPV6地址的后四段

如何查询主机号后缀？ifconfig然后选取最后四段（四段只对于EUI64后缀生成情况，若手动设置了较短的静态地址主机号则按自己情况修改，如主机号只有 ::1 则只需要匹配最后一段）

如何选择主机号后缀？在查询出的多个地址中必须选择你DDNS做同步的那个ipv6地址的后缀。

注意！你的IPV6必须为EUI64生成这样主机位不会变动。

如果是stable-privacy生成则会每次生成不同的后缀，虽然有利于安全性，但是并不适用于防火墙规则编写。

可以按照以下教程修改。如果你不想修改，每次的地址都完全随机难以匹配，因此目的地址栏只能空着，仅依靠目标端口实现限制。（指定主机：端口 变为 所有主机：端口）

Linux_ipv6_无状态_设置为_eui64_有状态ipv6更改后缀 - osnosn - 博客园 (cnblogs.com)

 

 

通过这些设置我们可以在openwrt防火墙上对进出局域网流量进行控制。但是服务的安全性还需要依赖https tls 证书 等方法保证在公网的传输安全。