默认设置恐有安全隐患

[daiaji]

ip a | grep "240e"
    inet6 240e:c0:8d22:9d00::*/128 scope global dynamic noprefixroute 
    inet6 240e:c0:8d22:9d00:2d5c:c1cb:dc80:33b7/64 scope global temporary dynamic 
    inet6 240e:c0:8d22:9d00:1235:5678:9abc:def0/64 scope global dynamic mngtmpaddr noprefixroute
ddns
*.*.*(AAAA) ==> 240e:c0:8d22:9d00:2d5c:c1cb:dc80:33b7 [via DIRECT]

用scope global temporary dynamic 地址意味着……
你的防火墙可能要允许所有的源IP访问所有的目标IP
这意味着你要暴露所有的LAN IP地址
虽然扫完你的LAN所拥有的所有ipv6地址会很蠢
但实际他们似乎会只扫一个段
效率听说很高
等于完全暴露内网
你也可以只允许一部分的端口……
但毕竟是几乎完全暴露内网了
这时用scope global dynamic mngtmpaddr noprefixroute这种用MAC生成的地址可能更好
因为至少可以用防火墙只允许访问“ : :1235:5678:9abc:def0/-64”
约等于只允许访问一台内网主机……
感觉卖mac比卖整个内网要安全一点……
如果能同步更新防火墙又是另外一码事了
用ssh连接openwrt再命令行luci指令兴许可以同步修改防火墙……
这个功能可以做一下？
但似乎这样搞效率和ROM读写寿命会堪忧……

补充
我搞了一个静态的IPV6地址
inet6 240e:c0:8d22:9d00::233/128 scope global dynamic noprefixroute
但DDNS还是用scope global temporary dynamic地址
老实说这样确实很危险了
临时地址不方便设置防火墙

[NewFuture]

默认取的是第一个ipv6地址，
可以指定正则匹配regex:.*:9abc:def0 匹配选定的ip地址

https://github.com/NewFuture/DDNS#index4-%E5%92%8C-index6-%E5%8F%82%E6%95%B0%E8%AF%B4%E6%98%8E

[daiaji]

默认取的是第一个ipv6地址，
可以指定正则匹配regex:.*:9abc:def0 匹配选定的ip地址

https://github.com/NewFuture/DDNS#index4-%E5%92%8C-index6-%E5%8F%82%E6%95%B0%E8%AF%B4%E6%98%8E

我现在就是在用正则
不过最好写进文档
“不管是用临时地址还是用EUI64地址都不安全”
建议默认值选择scope global dynamic noprefixroute地址
这个可以用让路由器静态分配

[mem0rz]

ip a | grep "240e"
    inet6 240e:c0:8d22:9d00::*/128 scope global dynamic noprefixroute 
    inet6 240e:c0:8d22:9d00:2d5c:c1cb:dc80:33b7/64 scope global temporary dynamic 
    inet6 240e:c0:8d22:9d00:1235:5678:9abc:def0/64 scope global dynamic mngtmpaddr noprefixroute
ddns
*.*.*(AAAA) ==> 240e:c0:8d22:9d00:2d5c:c1cb:dc80:33b7 [via DIRECT]

用scope global temporary dynamic 地址意味着……
你的防火墙可能要允许所有的源IP访问所有的目标IP
这意味着你要暴露所有的LAN IP地址
虽然扫完你的LAN所拥有的所有ipv6地址会很蠢
但实际他们似乎会只扫一个段
效率听说很高
等于完全暴露内网
你也可以只允许一部分的端口……
但毕竟是几乎完全暴露内网了
这时用scope global dynamic mngtmpaddr noprefixroute这种用MAC生成的地址可能更好
因为至少可以用防火墙只允许访问“ : :1235:5678:9abc:def0/-64”
约等于只允许访问一台内网主机……
感觉卖mac比卖整个内网要安全一点……
如果能同步更新防火墙又是另外一码事了
用ssh连接openwrt再命令行luci指令兴许可以同步修改防火墙……
这个功能可以做一下？
但似乎这样搞效率和ROM读写寿命会堪忧……

补充
我搞了一个静态的IPV6地址
inet6 240e:c0:8d22:9d00::233/128 scope global dynamic noprefixroute
但DDNS还是用scope global temporary dynamic地址
老实说这样确实很危险了
临时地址不方便设置防火墙

可以让LINUX指定用EUI64生成IP
nmcli connection modify "网络连接的名字" ipv6.addr-gen-mode eui64

[daiaji]

ip a | grep "240e"
    inet6 240e:c0:8d22:9d00::*/128 scope global dynamic noprefixroute 
    inet6 240e:c0:8d22:9d00:2d5c:c1cb:dc80:33b7/64 scope global temporary dynamic 
    inet6 240e:c0:8d22:9d00:1235:5678:9abc:def0/64 scope global dynamic mngtmpaddr noprefixroute
ddns
*.*.*(AAAA) ==> 240e:c0:8d22:9d00:2d5c:c1cb:dc80:33b7 [via DIRECT]

用scope global temporary dynamic 地址意味着……
你的防火墙可能要允许所有的源IP访问所有的目标IP
这意味着你要暴露所有的LAN IP地址
虽然扫完你的LAN所拥有的所有ipv6地址会很蠢
但实际他们似乎会只扫一个段
效率听说很高
等于完全暴露内网
你也可以只允许一部分的端口……
但毕竟是几乎完全暴露内网了
这时用scope global dynamic mngtmpaddr noprefixroute这种用MAC生成的地址可能更好
因为至少可以用防火墙只允许访问“ : :1235:5678:9abc:def0/-64”
约等于只允许访问一台内网主机……
感觉卖mac比卖整个内网要安全一点……
如果能同步更新防火墙又是另外一码事了
用ssh连接openwrt再命令行luci指令兴许可以同步修改防火墙……
这个功能可以做一下？
但似乎这样搞效率和ROM读写寿命会堪忧……
补充
我搞了一个静态的IPV6地址
inet6 240e:c0:8d22:9d00::233/128 scope global dynamic noprefixroute
但DDNS还是用scope global temporary dynamic地址
老实说这样确实很危险了
临时地址不方便设置防火墙

可以让LINUX指定用EUI64生成IP
nmcli connection modify "网络连接的名字" ipv6.addr-gen-mode eui64

eui64是直接暴露mac了…
RFC7217不暴露地址但如何修改RF7217的生成种子就不清楚了。
EUI64别用就完事了。

[mem0rz]

MAC地址你可以随便改啊，要不你就把DHCP整好让DHCP服务器指定分发IP，我感觉这个内容不是DDNS要做的。

[daiaji]

MAC地址你可以随便改啊，要不你就把DHCP整好让DHCP服务器指定分发IP，我感觉这个内容不是DDNS要做的。

没必要，RF7217已经是要默认实施的东西了，只是有些客户端还没有实施而已，文档里提一句比较好，毕竟默认设置很容易拿到EUI64地址。
危险的事情多提几次，总没错。

[mem0rz]

MAC地址你可以随便改啊，要不你就把DHCP整好让DHCP服务器指定分发IP，我感觉这个内容不是DDNS要做的。

没必要，RF7217已经是要默认实施的东西了，只是有些客户端还没有实施而已，文档里提一句比较好，毕竟默认设置很容易拿到EUI64地址。
危险的事情多提几次，总没错。

nmcli connection modify "连接名字" ipv6.addr-gen-mode stable-privacy
。。。。都可以设置成指定第一的呀

[daiaji]

MAC地址你可以随便改啊，要不你就把DHCP整好让DHCP服务器指定分发IP，我感觉这个内容不是DDNS要做的。

没必要，RF7217已经是要默认实施的东西了，只是有些客户端还没有实施而已，文档里提一句比较好，毕竟默认设置很容易拿到EUI64地址。
危险的事情多提几次，总没错。

nmcli connection modify "连接名字" ipv6.addr-gen-mode stable-privacy
。。。。都可以设置成指定第一的呀

我知道NetworkManager实施了RFC7217。
这当然好
但第一个ipv6也不是stable-privacy地址……
当然这可以改
实际上实施了RFC7217的网络客户端也就dhcpcd和NetworkManager。
而且NetworkManager默认用的似乎是RFC4941
我重启路由器的网络服务，前缀一变，后缀就全变了
当然这可以改
确定妥妥的默认实施了RFC7217的似乎只有dhcpcd。
我在用的systemd-networkd，现在只是做了前置准备（RFC7217的生成函数）功能似乎还没实裝……

所以文档稍微提一下“默认状态下这些东西问题还挺大条的，去去改一下防火墙和软件设置表比较好”
这不挺好的吗？

[mem0rz]

MAC地址你可以随便改啊，要不你就把DHCP整好让DHCP服务器指定分发IP，我感觉这个内容不是DDNS要做的。

没必要，RF7217已经是要默认实施的东西了，只是有些客户端还没有实施而已，文档里提一句比较好，毕竟默认设置很容易拿到EUI64地址。
危险的事情多提几次，总没错。

nmcli connection modify "连接名字" ipv6.addr-gen-mode stable-privacy
。。。。都可以设置成指定第一的呀

我知道NetworkManager实施了RFC7217。
这当然好
但第一个ipv6也不是stable-privacy地址……
当然这可以改
实际上实施了RFC7217的网络客户端也就dhcpcd和NetworkManager。
而且NetworkManager默认用的似乎是RFC4941
我重启路由器的网络服务，前缀一变，后缀就全变了
当然这可以改
确定妥妥的默认实施了RFC7217的似乎只有dhcpcd。
我在用的systemd-networkd，现在只是做了前置准备（RFC7217的生成函数）功能似乎还没实裝……

所以文档稍微提一下“默认状态下这些东西问题还挺大条的，去去改一下防火墙和软件设置表比较好”
这不挺好的吗？

https://manpages.debian.org/stretch/network-manager/nm-settings.5.en.html
Table 14. ipv6 setting
debian这边是RFC7217的
其实你也可以用gui，nm-connection-editor 这个里面有几种方式会显示出来比较方便。

[mem0rz]

你可以在ip.py包里导入netifaces去拿一下物理网卡的IP，python本身拿IP的功能比较弱。

[daiaji]

MAC地址你可以随便改啊，要不你就把DHCP整好让DHCP服务器指定分发IP，我感觉这个内容不是DDNS要做的。

没必要，RF7217已经是要默认实施的东西了，只是有些客户端还没有实施而已，文档里提一句比较好，毕竟默认设置很容易拿到EUI64地址。
危险的事情多提几次，总没错。

nmcli connection modify "连接名字" ipv6.addr-gen-mode stable-privacy
。。。。都可以设置成指定第一的呀

我知道NetworkManager实施了RFC7217。
这当然好
但第一个ipv6也不是stable-privacy地址……
当然这可以改
实际上实施了RFC7217的网络客户端也就dhcpcd和NetworkManager。
而且NetworkManager默认用的似乎是RFC4941
我重启路由器的网络服务，前缀一变，后缀就全变了
当然这可以改
确定妥妥的默认实施了RFC7217的似乎只有dhcpcd。
我在用的systemd-networkd，现在只是做了前置准备（RFC7217的生成函数）功能似乎还没实裝……
所以文档稍微提一下“默认状态下这些东西问题还挺大条的，去去改一下防火墙和软件设置表比较好”
这不挺好的吗？

https://manpages.debian.org/stretch/network-manager/nm-settings.5.en.html
Table 14. ipv6 setting
debian这边是RFC7217的
其实你也可以用gui，nm-connection-editor 这个里面有几种方式会显示出来比较方便。

也许是manjaro的策略，也不请示很清楚打包