Heggi

Нужно запретить доступ из домашней сети на некоторые ipv6 адреса. На хабре советуют прописать что-то типа ip6tables -I FORWARD -d 20xx:xxxx:xxxx::/32 -j REJECT Попробовал это сделать из под entware и оно сработало (браузер переключается на ipv4 для этого сайта) Теперь вопрос как это сделать через настройки самого роутера (web или telnet), т.к. вмешиваться напрямую в iptables через entware мне не кажется такой уж и хорошей идеей.

Я так понимаю, что поддержка пакета умерла? Актуальная версия - 0.5.1, а в репозитории лежит версия 0.4.7-1

Интересен тогда механизм выбора адреса ipv6 клиентом. Я тут уже погрузился в RFC разные и понял, то что хочу я, не решается без NAT на стороне роутера.

https://blog.ipspace.net/2011/12/ipv6-multihoming-without-nat-problem.html Нашел статью, похоже то что я хочу реализовать невозможно на одном роутере. Для нормального ipv6 multihoming требуется 2 роутера (каждый со своим интернет-каналом)

Ок, на уровне роутера маршруты я настроил. Как теперь это объяснить девайсам в сети? Потому что вот так: На сети яндекса маршрут через Ip4market, а все остальное через he.net. И если для остальных (любых других) ресурсов используется IP адрес ip4market, то нифига не работает.

Имею обычный ipv4 интернет и 2 ipv6 через разных брокеров (he.net и ip4market). Оба брокера дают delegated сетку для выдачи адресов устройствам в локальной сети. Дальше начинаются фокусы, связанные (как я думаю) с тем, что брокеры не пропускают не "свой" трафик. Компьютер в локалке получает 2 IPv6 адреса, на самом кинетике дефолтный роут указывает только на один из брокеров (что логично). Фокусы начинаются, когда компьютер для подключения использует адрес от одного брокера, в то время как дефолтный роут смотрит на другого - соединение не происходит. Пример. Адрес 2a03:xxx:123 от ip4market, 2001:xxx:321 от he.net. Дефолтный роут повернут в he.net. Если компьютер решил подключиться с адреса 2a03:xxx:123, то соединение не пройдет, если с 2001:xxx:321, то пройдет. Что же я хочу получить - вход на ресурсы РФ через брокера ip4market, а на зарубежные через he.net. Можно на самом роутере добавить статические маршруты на нужные подсети (можно ведь? через вебморду нельзя, но через консоль, надеюсь можно?), но как объяснить компу и всяким смартфоно-телевизорам какой из адресов использовать для каких ресурсов?

Возник вопрос по работе netfilter в "дефолтном" исполнении для ipv6 Настроил ipv6 через брокера: interface TunnelSixInFour1 description "he.net FF" ip remote 216.66.80.30 ipv6 address 2001:******::2 ipv6 prefix 2001:******::/64 ipv6 force-default up ipv6 subnet Default bind Home number 0 mode slaac ! ipv6 firewall Пингую адреса как роутера, так и компов в локальной сети с внешнего сервера (тоже ipv6 от брокера) - пинг проходит, но nmap говорит, что все порты (1000) filtered. Хотя для ipv4 по дефолту режим "глухая оборона", т.е. снаружи не проходит ничего (даже пинги). За сим вопрос: как посмотреть где еще дыры в обороне? show netfilter показывает правила только ipv4. Версия NDMS 2.09.C.1.0-0