烽火光猫不要超密不改桥接的前提下关闭 ipv6 防火墙

背景

• 众所周知，运营商给的光猫默认都是带 ipv6 的防火墙的，会导致全部默认的入站流量都被丢弃；
  
• 网上能找到的关闭 ipv6 防火墙的方法，紧张有两种：
  
  
  • 获取超级管理员权限，然后在光猫后台中关闭 ipv6 防火墙；
    
  • 光猫改桥接，由路由器拨号，然后在路由器中关闭防火墙。
    
  
  

然而，这两种方法随着光猫硬件和固件的升级，都逐渐变得比较困难。网上能找到的全部相关的方法，在我的光猫上都失效了。
于是，经过一通折腾，我找到了一种不需要超级管理员权限，也不需要改桥接的方法，实现关闭 ipv6 防火墙的目标。
相关信息

以下是我的设备相关信息，我只测试了这个硬件和固件版本是没题目的，不外理论上烽火比较新的光猫应该都可以这么做。
种别信息运营商联通光猫厂家FiberHome光猫型号HG6145D2硬件版本号WKE2.094.443软件版本号RP0302设置方法

如图所示：

• 在 安全 -> 端口过滤 -> 接入控制（WAN-LAN) 中，选择 “启用IP地址过滤”，并选择 “白名单模式”。
  
• 在添加的过滤器中，“启用” 选中，“协议” 选择 ALL，“目标端口（最小值）” 填 80，“目标端口（最大值）” 填 65535。然后点击添加。（端口范围可根据需要调整）
  
• 留意：白名单的防火墙是对 ipv4 也生效的。假如只针对 ipv6 设置了某些规则，那么也要加一些 ipv4 的规则，制止影响 ipv4 的相关流量。
  

原理分析

1. 为什么设置 “端口过滤” 能关闭 ipv6 防火墙呢？

多数光猫和路由器的防火墙，本质上应该都是基于 iptables 或者 nftables 实现的。iptables 或者 nftables 都是基于链的实现。因此，理论上，可以通过设置白名单，让匹配的流量能够通过防火墙，进而实现间接关闭防火墙的目标。
2. 为什么需要用 “白名单” 而不是 “黑名单”？

我测试了一下，由于光猫默认的计谋是 ipv6 的入站流量 drop，因此再额外添加一个黑名单没有意义，反正都是 drop，匹配到的包是 drop，没有匹配到的包也是 drop。
3. 为什么利用端口范围而不是 ip 范围？

我试了一下，用 ip 也是 ok 的。事实上，安全起见，只设置指定 ip 的白名单会更加安全，可以只允许特定的设备的公网访问。
但由于 ipv6 是会常常变的，如许就会导致 ip 每变化一次，就需要在这里更新一下配置。以是用端口最简单。
另外，我的这个设备并不支持 ipv6 的前缀表达法和后缀表达法，以是假如用 ip 来设置的话，可能要设置一个非常大的范围。
4. 其他

在这个固件版本下，由于存在 bug，端口的设置并不需要一个完全精确的有效的范围，而是随便设一个范围，即可以全部生效。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。