X86 j4125 4网口小主机折腾笔记五:PVE安装ROS RouterOS
X86 RouterOS 7.18 设置笔记一:基础设置
X86 RouterOS 7.18 设置笔记二:网络基础设置(IPV4)
X86 RouterOS 7.18 设置笔记三:防火墙设置(IPV4)
X86 RouterOS 7.18 设置笔记四:网络设置(IPV6)
X86 RouterOS 7.18 设置笔记五:防火墙设置(IPV6)
X86 RouterOS 7.18 设置笔记六:端口映射(IPv4、IPv6)及回流问题
X86 RouterOS 7.18 设置笔记七:不使用Upnp的映射方法
X86 RouterOS 7.18 设置笔记八:策略路由及DNS劫持
X86 RouterOS 7.18 设置笔记九:上海电信单线复用IPTV设置
X86 RouterOS 7.18 设置笔记十:上海电信IPTV使用msd_lite实现组播转单拨
目录标题
- 实现的目标
- IPv4 手动开启端口映射
- IPv6 手动放行指定端口到指定设备的流量
- 防火墙添加地址列表
实现的目标
IPv4 手动开启端口映射
/ip firewall nat add action=dst-nat chain=dstnat comment=web_dstnet_qb dst-port=12345 in-interface-list=WAN protocol=tcp to-addresses=192.168.0.99 to-ports=12345
/ip firewall nat add action=dst-nat chain=dstnat comment=web_dstnet_qb dst-port=12345 in-interface-list=WAN protocol=udp to-addresses=192.168.0.99 to-ports=12345
IPv6 手动放行指定端口到指定设备的流量
- 因为IPv6地址每个设备都是独立,且会跟随pppoe拨号获得的前缀不同而动态变化的。所以这里要用动态域名来解决。当然你也可以不用,这样只要涉及这个放行的端口所有目标地址都会放行了,只是相对不安全罢了。因为这样防火墙的放行规则就会变得宽松很多。
- 所以这个V6域名要正确的解析到你放行的设备的V6地址上(最好是单V6解析)
防火墙添加地址列表
- 解析内网V6服务的域名地址("v6域名"替换成实际域名, 包括双引号)
/ipv6 firewall address-list add address="v6域名" comment=""v6域名"" list="v6域名"
- 允许特定端口的流量(用于访问内网的ipv6服务)
- 这条规则要放在防火墙最前面,放在最后面是没用的。
/ipv6 firewall filter add action=accept chain=forward comment="Allow qB TCP access to nas" dst-address-list="v6域名" dst-port=12345 protocol=tcp in-interface-list=WAN /ipv6 firewall filter add action=accept chain=forward comment="Allow qB UDP access to nas" dst-address-list="v6域名" dst-port=12345 protocol=upd in-interface-list=WAN