ACL MAC分组做IPv6策略无效！

rongwing

已经做了一个策略拒绝任何外部IPv6访问内部IPv6已经生效，然后设置MAC地址分组允许访问，结果无法生效，已经升级到了最新版还是一样？

xionghp

这个IPv6外网主动访问内网，无法做目的mac匹配。只能做后缀匹配也就是IPv6地址匹配。
因为 你是外网主动访问的，内网的此终端IPv6地址对应的mac地址，无法立马拿到。  （这个就涉及内核的发包细节了）

如果是内网主动向外访问， 源主机对应的mac地址 路由能第一时刻就能拿到。

Evine

rongwing 发表于 2024-7-25 15:34是的，感谢！也想过用别的常更新的项目自己整，就是有点麻烦，够用就行 ...

常更新的没有意义，我那个分组为啥没更新，因为只看前缀的话，分省数据没有变化！

rongwing

Evine 发表于 2024-1-17 11:05to 楼主，看得出来用的是我的分组，建议使用后缀匹配，mac匹配不太灵。

是的，感谢！也想过用别的常更新的项目自己整，就是有点麻烦，够用就行

rongwing

timfeng 发表于 2024-1-17 14:26我再测试了一下，mac分组允许后，临时ipv6地址不能允许，ipv6地址是可以的

我测试貌似依然不可行？

rongwing

Evine 发表于 2024-1-17 11:05to 楼主，看得出来用的是我的分组，建议使用后缀匹配，mac匹配不太灵。

后缀经常变，用后缀匹配貌似不太合适，好像IPv6 地址（非临时）后缀是不变的

rongwing

xionghp 发表于 2024-1-17 12:06这个IPv6外网主动访问内网，无法做目的mac匹配。只能做后缀匹配也就是IPv6地址匹配。
因为 你是外网主动访 ...

谢谢！按照您这个逻辑，确实如此，如果设置内网主动访问外网的ACL权限，就支持用MAC地址分组去做，爱快官方确实并未对此有说明！

timfeng

我再测试了一下，mac分组允许后，临时ipv6地址不能允许，ipv6地址是可以的

Evine

xionghp 发表于 2024-1-17 12:06这个IPv6外网主动访问内网，无法做目的mac匹配。只能做后缀匹配也就是IPv6地址匹配。
因为 你是外网主动访 ...

那可能需要在文档中或者在设置页面提示一下这个信息了，不然大家都只会认为是爱快的MAC地址ACL功能没做好。

Evine

to 楼主，看得出来用的是我的分组，建议使用后缀匹配，mac匹配不太灵。