IPv6公网全开太裸奔？教你用绿联防火墙+Lucky打造安全门

KC3gxG · 发表于昨天 17:57

您需要登录才可以下载或查看，没有账号？立即注册

×

本帖最后由 KC3gxG 于 2026-6-23 18:04 编辑

玩 IPv6 直连的老哥估计都纠结过一个问题：光猫的 IPv6 防火墙关了，Lucky 反代确实是顺畅了，但全家设备（电脑、智能摄像头、电视盒子）等于直接裸奔在公网上。天天担心被黑客用脚本盲扫，不关吧外网又废了。

折腾了几天，摸索出一套用绿联自带防火墙做“堡垒机”的配置，只给 Lucky 留个正门，其他端口对公网全部墙死。外网能稳稳榨干内网 144M 的上传极限（客户端实测跑 14.6MB/s），局域网和 Docker 内部通信也完全不耽误。下面直接上干货，老哥们参考下：

🛠️ 一、开搞前的准备

先搞清楚自己 Lucky 用的端口，我这里是以 Host 模式运行的 Lucky 为例：

🧱 二、防火墙规则配置（顺序千万别弄错）

去 【控制面板 > 安全性 > 防火墙】，点击“新增规则”。绿联防火墙的逻辑是“自上而下匹配，匹配到就通过，碰不到就继续往下走”。所以下面这 4 条规则排好后，可以用鼠标拖动调整顺序，越往上优先级越高。

直接按这个顺序来抄作业：

1. 局域网 IPv6 放行（Link-Local 地址）

2. 局域网 IPv4 放行（防失联白名单）

端口：所有端口
来源 IP：特定 IP 地址 ➡️ 选择 “子网”
- IP 地址填：192.168.1.0 （根据你家路由器的实际网段改，比如 31.0 或 0.0）
- 前缀长度填：24
作用：防止开了防火墙后连内网把自己给锁在外面。

3. Docker 容器网络放行

4. Lucky 外网专属通道

⚠️ 大结局关键操作（把门焊死）：这 4 条规则建好、排好顺序后，看规则列表最下方的【当没有匹配到现有规则时：】，果断改成【拒绝访问】！

🧪 三、实测效果验证

保存生效后，把电脑或者手机断开家里 Wi-Fi，连上手机 5G 热点（模拟外网环境）：

测试 1（测阻断）：浏览器直接输入你绿联 NAS 的公网 IPv6 地址 + 原生直连端口（如 https://[你的IPv6]:9443）。
- 结果：无限转圈，最终连接超时报错。说明外网已经摸不到 NAS 肉身了，黑客盲扫直接吃闭门羹。
测试 2（测放行）：浏览器输入你配好的 Lucky 反代域名（如 https://nas.xxxx.com:8574）。
- 结果：秒进。Lucky 正常接单转发，安全感和速度直接并存。其他应用同理，直接访问 https://qb.xxxx.com:8574 即可。

🎁 附赠：全家老小智能家居的“物理隐身”绝招

如果关了光猫防火墙，你还是嫌家里一些小厂的智能摄像头、扫地机器人、电视盒子有系统漏洞，推荐一招我自己在用的分流策略：

原理：这些智能家居设备会降级到纯 IPv4 局域网。由于家用宽带没有公网 IPv4 且都是大内网，外网黑客在公网上连看都看不见它们，直接物理隐身；但它们自己联网看电视、回传数据一点不耽误。

这套方案差不多就是目前兼顾速度和安全的终极解法了，老哥们有什么想法欢迎在评论区讨论。

绿联NAS私有云 · 发表于昨天 18:28

😍

Ww178H · 发表于昨天 20:19

第一个测试为什么不通过啊 ipv6不是都放开了么？

Ww178H · 发表于昨天 20:53

Ww178H 发表于 2026-6-23 20:19
第一个测试为什么不通过啊 ipv6不是都放开了么？

刚刚没注意现在发现问题了第一条规则是只允许ipv6的内网访问

[玩法教程] IPv6公网全开太裸奔？教你用绿联防火墙+Lucky打造安全门