没有超级密码怎么改桥接

家里的光猫是 PT924G,之前尝试过用网上的超级密码进后台,没有成功,后来发现普通用户(useradmin)登录 http://192.168.1.1:8080/cgi-bin/index2.asp 也可以正常使用部分后台功能,但是不够完整,但是登陆后直接进入 http://192.168.1.1:8080/cgi-bin/net-wanset.asp 已经是能够实现改桥接等功能了。

这是之前的方法,但是有下发配置这种模式的存在,改掉的桥接过段时间会被上面下发的配置覆盖,据说可以删掉 TR09 vlan 解决,但是此光猫无法删除此 VLAN。

怎么获得超级密码

直接访问 http://192.168.1.1:8080/romfile.cfg 就可以下载一个名为 romfile.cfg 的配置文件,包含有超级用户及其密码,此外还有 Telnet 密码以及其他一些配置。ww
拿到这个密码登录后台即可。

ip6tables 问题

尝试了一下,此 ROM 的 ip6tables 似乎有点问题,目前还没有找到解决方法。

~ # ip6tables -L
ip6tables v1.4.10: can't initialize ip6tables table `filter': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

关于 IPV6 和防火墙(转载)

转载自:https://boypt.github.io/2018/10/24/match-ipv6/
家用宽带目前很多都部署了IPv6,家用路由器目前Padavan/Openwrt等系统都能较好地支持了IPv6。不过要充分利用IPv6链接设备,有些坑。

动态变化的IPv6地址

首先是IPv6地址,不同设备(操作系统)获取的IPv6地址有区别,较为通用的是【无状态EUI-64地址】,操作系统通过网卡的mac地址生成一个64位固定后缀,以及路由器下发的64位前缀,合成一个固定的IPv6地址。

作为服务端,【无状态EUI-64地址】是较为适合的,Linux发行版很多组件(systemd-netword,dhcpcd等)默认都采用EUI-64地址。

另外还有通过DHCPv6下发的地址,可以通过设置静态分发,对应设备(DUID)下发特定地址。作为服务器地址最适合的方式。

此外,家用宽带ISP提供的IPv6前缀是不定期变化的。可见要访问家庭宽带内网的设备,光是地址就存在了蛮多的变化因素。

IPv6的【隐私扩展地址】

终端设备,比如手机、工作站版本Windows等设备,则使用【隐私扩展】的方式随机生成64位后缀,这样终端的地址每次链接时候都会随机改变,访问外部资源时候可避免被追踪。 如果要连接Windows远程桌面,安装的是工作站版本,系统默认已经启用【隐私扩展】,主机地址就是随机变化的,想要连接3389就很麻烦了,不过这个特性可以关闭。服务器版本的Windows默认不启用隐私扩展,而家庭版Windows不支持远程桌面[doge]。 管理员权限的CMD下执行

1 netsh interface ipv6 set global randomizeidentifiers=disabled store=active 
2 netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent 
3 netsh interface ipv6 set privacy state=disabled store=active 
4 netsh interface ipv6 set privacy state=disabled store=persistent

IPv6防火墙ip6tables

要从外网通过IPv6访问家里路由器下的设备,最关键一点是路由器上的防火墙要允许这样的转发。 Padavan/Openwrt都是基于Linux - ip6tables的防火墙。

默认情况下,只允许了v6子网内的设备被ping,只允许特定类型的ICMPv6报文通过转发,其他通信报文一律丢弃了。所以虽然IPv6下每个设备都有公网地址,但是还不至于不安全到每个设备都可让人随便连。

动态匹配EUI-64后缀

考虑到前缀变化因素,要访问特定设备,就是让IPTABLES匹配特定设备的EUI-64后缀放通这个地址:

1 ip6tables -I FORWARD -d ::abcd:1234:5678:90ef/::ffff:ffff:ffff:ffff -j ACCEPT

可见iptables对v6地址的匹配掩码可以非常灵活,不像v4下只按前缀适配。坑的就是这个特征是没有文档的,目前文档中写的mask解释还是适配IPv4的内容,有人专门发邮件去netfilter列表问了才知道。IPv6地址中,双冒号::的写法代表是前/后均为0位,双冒号只能出现一次。

参考

联通中兴光猫调教:夺回自主权


最后修改:2022 年 07 月 17 日
如果觉得我的文章对你有用,请随意赞赏