动态公网 IP，如何配置 openwrt 防火墙，仅放行指定设备？

放行目的地 ip 地址::xxxx:xxxx:xxxx:xxxx/::ffff:ffff:ffff:ffff

1. 可以像一楼那样匹配后缀，但这需要该设备支持获取 dhcpv6 并禁用 slaac
2. 可以匹配该设备的 mac 地址，luci 界面上可以选

只是放行目标地址（也就是 NAS 设备）么？放行 NAS 端口不就好了，然后 NAS 做 AAAA 的 DDNS ，至于获取 IP ，本机获取 V6 地址的方法千千万。

iptables 可以放行范围吧，你家 IP 不可能不重复吧

感觉像是 V4 过度到 V6 还不太适应的样子，楼上怎么还有 DDNS 的....IPV6 的防火墙在你的群晖上

抱歉，楼上说 NAS 的 DDNS 并没有错，是我看叉劈了

@lcdtyph

是的，IPv6 防火墙有一个特性，可以后缀匹配！

但 “ ... 这需要该设备支持获取 dhcpv6 并禁用 slaac ... ” 这个说法应该不严谨，slaac 也可以做到让机器后缀固定，只是要在相应的操作系统上调整地址生成的参数，并且 slaac 是 ipv6 更推荐的地址分配方式，兼容性也高于 dhcpv6 （因为早期的安卓系统就不支持 dhcpv6 ）系统上再开启隐私扩展更安全。

看了一下 OpenWrt 默认防火墙配置确实是拒绝转发的。
1. 如果你给群晖配置的后缀固定(不管是 slaac 还是 dhcp6)的话可以针对后缀设置防火墙放行
2. 也可以针对所有 IPV6 放行，允许从 wan 区域转发到 lan 区域，让 IPV6 发挥最大价值，当然如果采用后者拥有 IPV6 的机器本身防火墙还是有必要开一开的，虽然理论上 IPV6 基本不可扫描。

@acbot 请问安卓可以调整*地址生成参数*来固定通过 slaac 获取的 ipv6 后缀吗？

@acbot 是的可以设置成 eui64 生成固定后缀

@gudako

我记得 android 默认就是开启隐私模式，slaac 模式下默认就是两个地址， 一个 eui64 后缀（固定） 一个随机后缀，至于能不能修改我没有研究过！

问题是，指定后缀放行了。 家里地址变更，你在外网，怎样知道家里的前缀呢。

openwrt 后缀匹配支持::a:b:c:d/-64 这种写法，建议少些几个字

（虽然最终生成到 nft 里还是/::ffff:ffff:ffff:ffff ）

@acbot 不是早期，现在也不支持，且以后也不会支持

@qianxu2001 我只知道老版本（大约：android 8 之前）是确定不支持， 新版本（大约：android 9 以后）是否支持，说法就是五花八门了（有说支持的，有说要特定厂家定制版本支持的，也有说不支持的），我也没办法去都去验证，所以我只能说老版本了！

匹配 MAC 地址

架设 vpn 组内网就好了