如何在没有静态分配的情况下使用iptables设置IPv6 DMZ？

Question

我有几个网络是康卡斯特的住宅网络。我需要通过其中一个主机上的SSH代理从各种环境访问这些网络。

(碰巧我使用的是OpenWRT，所以有一个特定的解决方案会有帮助；但我通常也很好奇，如何使用任何Linux或基于BSD的边缘路由解决方案。)

对于IPv4，这是相对简单的:因为我的所有内部IP都是用DHCP分配的，所以我可以简单地设置一个转发规则，将外部接口上的端口22移动到特定IP上的端口22。

因为我的IPv6地址都是用all分配的，所以我没有一个静态地址可以在ip6table中使用-land来转发东西。

如何检测前缀分配的更改，以便建立新的iptable规则？或者，是否有一种方法可以根据从MAC地址发现其IP地址或诸如此类的方式来建立转发到特定主机的规则？(这些主机都位于一个单独的段上，因此多播和这样的主机应该可以工作。)

Answer 1

我认为在您的例子中您可以使用动态前缀转发，我在/etc/config/firewall中的规则示例：

config rule
    option name 'HTTP-SSH-IPv6-myserver01'
    option src 'wan'
    option proto 'tcp'
    option dest 'lan'
    option dest_ip '::2c18:81a2:3422:f690/-64'
    option dest_port '22 80 443'
    option family 'ipv6'
    option target 'ACCEPT'

它创建了这样的iptables规则(S)：

-A zone_wan_forward -d ::2c18:81a2:3422:f690/::ffff:ffff:ffff:ffff -p tcp -m tcp --dport 80 -m comment --comment "!fw3: HTTP-IPv6-myserver01" -j zone_lan_dest_ACCEPT

这里还描述了同样的情况：ip6tables &动态IPv6 6子网。

因此，它甚至比IPv4更简单--您不需要在DHCP服务器上配置静态IP地址。

P.S.：标题中的"DMZ“使我在一读问题时感到困惑。

Answer 2

只要前缀是静态的，并且路由器知道前缀，SLAAC分配的地址是静态的(临时地址除外)。

你有自己的选择：

• 您可以向所有地址打开端口22，然后就可以将ssh打开到所有主机。
• 将路由器上的DHCP客户端配置为调用更改ip6tables规则的脚本。
• 使用u32匹配来匹配部分IP地址。
• 如果路由器的内部接口是Linux软件桥接器，那么可以在TCP端口和以太网地址上进行匹配。