前言

爱快尽然默认没有开启IPv6对内网设备的阻断，我发现的时候十分震惊，而且已经在公网上暴露有一天以上了，最糟糕的事情，内网设备的密码全部是弱密码，吓得我先立刻断掉IPv6接入，仔细排查了一下内网设备还好没有人扫到并且进行爆破。

正文

请确保你的ikuai 系统是最新版本并且登录ikuai Web后台，安全设置 –>ACL规则

阻断所有IPv6链接

此操作不会阻断响应IPv6的流量

由于 ikuai 在 3.7.11 版本还不支持放行或阻断 ICMP 协议，如果您想外网设备能ping通内网的话，需要需要创建两个配置，一个是阻断TCP还有一个阻断UDP，不想ping通的话，只需要创建一个配置选择任意协议即可。

ipv6防护墙介绍.webp

ipv6阻断.webp

进接口一定是wan口由于笔者只有一个wan口，如果您有多个话请务必全部勾选，出接口是lan同样如果您有多个lan接口请全部勾上，这样我们内网设备就不会暴露外网了。

打开指定IPv6的连接

再说指定放行IPv6地址，如果您是静态IPv6，那你自己放行那个ip 即可，但是身为家庭宽带的话都是动态IPv6地址根本不可能知道ip会变成什么样子，还是说每次变化ip 的地址重新改吗？这里需要了解一下ipv6 的后缀生成是受MAC 地址影响的，通过EUI-64 编码进行处理，详情访问: 【转】通过EUI-64自动生成IPv6地址和IPv6链路本地地址（Link-Local Address）

对于windows 获取ipv6地址使用 EUI-64 编码得到的理论值和实际值可能不一样

可以使用 EUI-64 计算器

例如 bc:34:11:c6:8a:19 通过计算可以得到 BE34:11FF:FEC6:8A19 理论情况的ipv6，据我测试后四位基本上都是一样的，前面受到IPv6前缀影响。