ACL规则匹配固定后缀的IPv6地址问题

午夜杀鸡

在之前的版本里ACL规则没有支持IPv6分组的时候可以直接填写::abbb:c1f:fea5:6c4c/::ffff:ffff:ffff:ffff这种地址来允许固定后缀是::abbb:c1f:fea5:6c4c的地址访问路由器以及内网的IPv6地址。


比如设置了源地址为::abbb:c1f:fea5:6c4c/::ffff:ffff:ffff:ffff的IP可以访问路由器的443端口，那么下面的地址就都能够访问。

2408:8201:7511:a75c:abbb:c1f:fea5:6c4c
2409:8201:7511:a75c:abbb:c1f:fea5:6c4c
2410:8201:7511:a75c:abbb:c1f:fea5:6c4c


这样就不需要频繁的去修改规则，极大的方便了IPv6前缀会动态变化的用户，而且现在国内家宽分配的IPv6前缀基本都是动态变化的。


3.7.7更新了ACL规则，支持了IPv6分组和MAC地址分组，这是好的，但是放弃了原来的这种写法就会导致没办法很方便的把内部设备只暴露给特定的地址访问了，就比如我两台iKuai都是动态分配IPv6前缀的家宽，我经常在两台设备的网络内访问对方网络，用这种方法设置ACL规则后我根本不需要关心前缀的变化，配合DDNS我可以随意的访问。


现在我只能在降级固件和频繁的更新ACL规则修改前缀中二选一才能保证我可以正常访问另一个网络内的设备，希望iKuai方面能够考虑将对这种写法的支持添加回去，十分感谢！

moonset

同样问题，更新完就发现不能用了

xionghp

可以改用ACL IPv6 mac分组就可以。

午夜杀鸡

xionghp 发表于 2023-11-9 13:57可以改用ACL IPv6 mac分组就可以。

MAC分组只能用于把内部设备的地址开放给外部访问，并不能依靠MAC分组来限制外部的设备地址，限制外部设备只能靠固定前缀或者固定后缀，3.7.7把最简单好用的固定后缀去掉不支持了。

午夜杀鸡

就比如这个，MAC分组只能用于目的地址，但是不能用在源地址里。

xibanya

午夜杀鸡 发表于 2023-11-9 14:27就比如这个，MAC分组只能用于目的地址，但是不能用在源地址里。

isp一侧发向你路由器的，你要匹配源mac做啥？反正同一条外线来的数据包，源mac全都是你当前线路网关那一侧的mac地址 即isp路由器的mac地址

午夜杀鸡

xibanya 发表于 2023-11-9 16:25isp一侧发向你路由器的，你要匹配源mac做啥？反正同一条外线来的数据包，源mac全都是你当前线路网关那一侧 ...

我发帖的目的就是希望iKuai把wan口来的流量匹配后缀的功能加回去，不知道是不是我表达的有问题，官方人员都在说让我改用MAC分组，所以我说源地址里并不能使用MAC地址来实现这个需求。

13816321463

确实需要后缀匹配功能，mac分组会开放机器的所有ipv6，但我只需要开放其中一个ipv6地址
而且mac分组无法过滤源地址，比如我只允许::abcd/::ffff:ffff:ffff:ffff这个后缀的源地址访问，mac分组就做不到

dgchang

我是降级解决了，匹配固定后缀对我来说更重要

rongwing

你们的后缀是不变的吗？？我使用有状态还是无状态获取IPv6地址后缀都是会变的呀，除非关掉临时IPv6