關於Hurricane Electric(HE) IPv6 tunnel broker服務的設定請見網路相關文章。
本文的重點在於WAN端非固定IP位址、且防火牆設置阻擋ICMP時、一旦WAN端IP位址改變更新IPv6 Tunnel Endpoint紀錄後、如何正確回應HE IPv6 tunnel broker服務的用戶查詢,而不須為此關閉防火牆阻擋ICMP設置。
HE進行用戶查詢的主機為 arc.he.net(66.220.2.74) 而非Tunnel Remote Endpoint主機,因此預設的規則無效。
以Tomato為例、可在Administration內的Scripts -> Firewall分頁建立以下iptables規則於開機時執行、接受並回應來自 arc.he.net 的ICMP echo
iptables -I INPUT -s arc.he.net -p icmp -m icmp --icmp-type 8 -j ACCEPT
若不願重啟Tomato使規則生效、也可至Tools的Execute System Commands或以Telnet方式執行,並透過以下指令重啟iptables服務使設定生效
service iptables restart
順道一提、Tomato在設置HTTPS存取後、若以IE連線後卻顯示「無法顯示網頁」,可至IE的「網際網路選項」、「進階」分頁、「安全性」項目,取消勾選「使用SSL 2.0」,便能以IE通過HTTPS進入Tomato。
關於使用SSL 2.0的設置、Firefox與Chrome早已不提供支援、IE基於相容性予以保留。但SSL 2.0因存在漏洞早已於1997由SSL 3.0取代,近年應當不可能有網站仍使用SSL 2.0,可放心關閉。
沒有留言:
張貼留言