这是一个创建于 2361 天前的主题,其中的信息可能已经有所发展或是发生改变。
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。视 IPV6 防火墙安全策略的不同,还是会有类似锥形 NAT 对称 NAT 的访问限制。对于 P2P 应用来说,似乎也没比 IPV4 NAT 的场景好多少啊。
 | 1 flyfishcn 2019-04-28 13:06:12 +08:00 你这么说搞得好像公网 IPv4 位于防火墙之后的节点就能直接访问?如果不是运营商封锁端口( 80,443 之类的),防火墙规则本来就该你(用户)自己去设置的。 |
 | 2 kyf0722 2019-04-28 13:26:28 +08:00 via iPhone 我用的 openwrt 默认是外网无法直接访问内部 ipv6 主机的,可能是安全考虑,把防火墙放开就行了,我现在都可以 vnc 远程公司得 macOS |
 | 3 Tianao 2019-04-28 14:06:17 +08:00 via iPhone 虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。 所以防火墙规则为什么不放行? |
 | 4 cwbsw OP |
 | 5 amazingrise 2019-04-28 15:16:51 +08:00 via Android @cwbsw +1。前段时间鼓捣 ipv6 的时候发现了这一问题。防火墙并不是自己能配置得了的 |
 | 7 loveour 2019-04-28 16:14:49 +08:00 是干脆没有公网地址实现直连难,还是有公网地址需要配置防火墙实现直连难? |
 | 8 Cu635 2019-04-28 16:15:23 +08:00 |
 | 9 iwtbauh 2019-04-28 16:36:23 +08:00 via Android  1 所以才有 UPnP 之类的协议来让应用程序打开防火墙端口啊。 你要是原来 ipv4 都是 cgn,你 UPnP 也是得不到什么改善的。 |
 | 10 ZRS 2019-04-28 16:37:57 +08:00 v4 有防火墙也不行啊...这和 v4v6 有关系吗 |
 | 11 duoguo 2019-04-28 16:39:11 +08:00 @kyf0722 我的 openwrt 默认是可以访问内网机器的,但是不能访问路由本身.要远程访问路由要设置防火墙 https://i.loli.net/2019/04/28/5cc5658a9bcb4.jpg |
 | 12 smallfount 2019-04-28 16:47:00 +08:00 额...这问题在现有的任何协议都无解吧...这根本不是协议本身做不到而是为了安全考虑不愿意啊。。。 我以前遇到过用 v4 的公网段 IP 做内部使用地址段的,跟 10.0.0.0/8 混着用。。我一个 site 有 2 个完整的 c 段地址给客户端 DHCP 分配。。。这时候显然地址 pool 就不再是限制我直连的问题了。。。然而为啥我还要用 NAT 跟 FW 呢?不就是安全考虑嘛.... |
 | 13 mooncakejs 2019-04-28 16:48:22 +08:00 家用宽带 光猫会兼任防火墙的功能, 默认打开全部端口?嫌黑客的肉鸡不够多? |
 | 14 est 2019-04-28 16:49:54 +08:00 不是很懂 LZ 的思路,你希望有一个网络协议能突破任意防火墙??? 那防火墙干啥吃的。。。 |
 | 15 WordTian 2019-04-28 16:52:25 +08:00 via Android 一般防火墙都设在光猫上,如果想折腾 v6,至少就该把光猫上的防火墙策略整明白,不然造成安全风险,是得要自己负责的 |
 | 16 liuminghao233 2019-04-28 16:55:40 +08:00 via iPhone 你应该问这世界上为什么有防火墙 |
| 17 cwbsw OP @iwtbauh 电信 CGN 是锥形 NAT,借助 STUN 这类机制是可以直连的。将来防火墙后的 V6 节点也是需要 V6 版的 STUN 才能直连。 |
 | 20 hanguofu 2019-04-28 17:39:00 +08:00 via Android 我用的是移动的家庭宽带,请用这个防 |
| 21 hanguofu 2019-04-28 17:40:02 +08:00 via Android 火墙是在光猫里面设置吗? |
| 22 hanguofu 2019-04-28 17:41:08 +08:00 via Android 光猫的登陆帐号和密码是? |
 | 23 vibbow 2019-04-28 17:48:24 +08:00 ipv6 防火墙默认拦截的策略是没问题的 要不然局域网内所有电脑就等于在互联网上端口大开了。 至于用户会不会设置 ipv6 防火墙,那就是另外一回事了。 可以等待路由器厂家后期优化对应的选项,比如说设置到具体 mac 地址的某端口打开 (mac 地址对应到所有 ip 地址) |
 | 24 baicheng10 2019-04-28 17:54:08 +08:00 虽然每个人都有 IP 了,但是因为黑暗森林法则,都不敢暴露自己? 是这个意思吗 0-0 ? |
| 25 iwtbauh 2019-04-28 18:15:48 +08:00 via Android @cwbsw #17 那我可以设置防火墙直接允许进入流量啊对不对。v4 就算是对称圆锥 NAT 你也没有半个全球单播地址用,体验差别是很大的。 更何况 ipv6 的好处可不止这一个。我更看重 ipv6 不会导致网站封 ip (比如邻居用刷票软件刷 12306 )被邻居误伤。 |
 | 26 jousca 2019-04-28 19:25:34 +08:00 区别在于 IPV6 仅仅是因为防火墙保护,你可以让防火墙打开端口实现直连。 但是 IPV4 NAT,你就是开了防火墙,也是直连不了的…… 区别就在这里。 |
 | 27 cwek 2019-04-28 20:55:57 +08:00 只是现阶段的 IPv6 路由默认把转发限制打开了。当然标准制定者应该是假定了你不会开这玩意,或者知道怎样去开。 |
 | 28 ghjexxka 2019-04-28 23:09:09 +08:00 到底是难以实现,还是“懒得实现” |
 | 29 acgzy 2019-04-29 13:16:02 +08:00 所以说这不是防火墙的问题吗?不关 ipv6 什么事啊 |
 | 30 dt743 2019-04-29 15:22:01 +08:00 你是说 isp 层会对 v6 使用更严格的防火墙策略?目前使用还没发现就是了 |
 | 31 txydhr 2019-04-29 16:48:40 +08:00 个人持乐观态度,到时候新推出的路由器会出相应设置 |
 | 33 helllkz 2019-04-30 15:09:01 +08:00 我觉得本质上来说,有个很大的不同 对于 V4,防火墙或者路由器后面是内网地址了,所以路由器是个网关设备 对于 V6,防火墙或者路由器后面是公网地址了,所以路由器是个路由设备 而这两种不同对于 V4 来说,路由器上面是用的端口转发才能访问内部设备,做了 NAT,极端点如果 65535 个端口都做了转发,那后面再想访问就没办法了吧,而 V6 就不存在这个问题了 |
 | 34 wazon 2020-02-18 23:52:38 +08:00 区别在于防火墙的控制权更多地掌握在用户的手中,从而大大提高了用户实现端到端直连的可能 现在比较多见的是路由器对 v6 入站的阻挡( openwrt 的默认设定),光猫的阻挡也有报道但不是那么普遍 对于有 P2P 类网络应用需求的用户而言: 在 IPv4 环境下,仅有部分运营商在部分地区能向家宽用户提供公网 IP,很多人没有这个机会。而对于这一小部分用户,通常也都需要主动提出申请,最终实际获得的只是少数中的少数 在 IPv6 环境下,都是公网 IP,大多数用户自行搞定路由器就行了。部分用户还要配置光猫。少数用户还需要设法联系电信或自行钻研以进行光猫的高级配置。最终无法实现的是少数中的少数 总的来说,默认情况下 IPv6 入站开放的程度层次不齐,但显然要比 IPv4 好 对于懂技术或有需求的用户,在 IPv6 下大多数人通过不是太多的努力,就能获得可响应入站请求的公网 IP,这相比 IPv4 的进步是很明显的 而且对于 P2P 应用,只要有一方是响应入站的公网 IP,实现直连的难度就小很多 顺便一提,由于主流操作系统基本都支持 SLAAC 下的 IPv6 隐私扩展标准,路由开放一切 v6 入站流量的风险也不是那么大 |
 | 36 dosgo 2021-10-02 09:58:09 +08:00 via Android 你们说修改防火墙的,目前中国电信的 4G 5G 网络在上级路由就有 ipv6 防火墙,用户无法控制,所有非主动发起的入站都拒绝。。公网 ip 没啥用了 ,打洞正在测试,联通的正常没墙。。 |
Select Language