单位网管说，能够给办公室电脑分配 IPV6 的地址，但是说只能访问出去，外面互联网访问不了办公室电脑，请问这是什么技术？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 760 天前的主题，其中的信息可能已经有所发展或是发生改变。

IPV6 地址可以在单位内部单独分配？

有没有大神懂一点的，给个解释？谢谢！

IPv6

分配

地址

办公室

36 条回复 2023-09-21 12:35:48 +08:00

x86

2023-09-12 13:00:47 +08:00

nat64 ？

lcdtyph

2023-09-12 13:08:35 +08:00 via iPhone

防火墙或者 nat6 呗
很多高校的全局 v6 也不能从外面访问，就是有防火墙

cq65617875

2023-09-12 13:09:08 +08:00

nat6 或者 pd
将进来的链接挡在防火墙就好了

deplivesb

2023-09-12 13:11:05 +08:00

有一种在 ipv4 时代就有能技术叫防火墙，能实现只出站不许入站。我想这项技术在 IPv6 时代应该没有被淘汰

codehz

2023-09-12 13:12:35 +08:00 via iPhone

就普通防火墙
v4 时代你也可以一台机器一个 ip ，只不过 ip 稀缺玩不了

spediacn

2023-09-12 13:31:41 +08:00 via iPhone

类似 fe 开头的 ipv6 吧？：）

asdgsdg98

2023-09-12 13:34:16 +08:00

防火墙，阻止入站

mantouboji

2023-09-12 13:34:33 +08:00

/ipv6 firewall filter
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward comment="Allow Local " in-interface-list=!WAN
add action=accept chain=forward comment=Ping protocol=icmpv6
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="accept OSPF" protocol=ospf
add action=accept chain=input comment="accept anything from LAN" \
in-interface-list=!WAN
add action=accept chain=forward comment="allow SSH,HTTPS,etc" dst-port=\
22,443,465,587,993 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="Local Wireguard" dst-port=12345 \
in-interface=pppoe-out1 protocol=udp

lanlandezei

2023-09-12 14:23:52 +08:00

你路由器不也有 IPV6 的防火墙开关

me1onsoda

2023-09-12 14:26:21 +08:00

不懂就问。
这有什么用？不是本来就有访问外网的能力？

qwvy2g

2023-09-12 14:27:12 +08:00 via Android

在 ipv4 上，防火墙和 nat 行为上都可以拦截。防火墙就不用说了可以拦截外部端口主动访问，nat 行为里面包括 nat 映射和 nat 过滤，其中 nat 过滤就定义了外部访问数据包进入内网的处理方式。比如 eif 就规定了不管远程数据是否之前与本地内网 eim 映射端口客户端通信过，只要访问这个端口一律当作 eim 映射后与之通讯的客户端数据，很明显 nat1 不是很安全。

UXha45veSNpWCwZR

2023-09-12 14:27:49 +08:00 via iPhone

@deplivesb #4 哈哈哈，幽默
我也觉得是没退化干净的防火墙

gdb

2023-09-12 14:28:52 +08:00

@spediacn 这个地址应该不能用的吧？这个地址应该是一个内网（内部局域网）的 IPV6 地址吧？

@me1onsoda 主要是家里宽带以后有可能会没有 IPV4 地址的风险，所以要提前把两边电脑都搞成 IPV6 互联，方便家里和单位的电脑互联。

qwvy2g

2023-09-12 14:34:07 +08:00 via Android

到 ipv6 上，这应该算是一种防火墙，工作原理如下：状态防火墙（ stateful firewall) 会对入站流量进行检测，只有在最近一段时间内曾做过目的地址的 (ip, port) 发来的流量才会被接受。理论上 wireguard tailscale 这类组网软件应该就能绕过，但是我没 ipv6 ，没法试。

lightionight

2023-09-12 14:39:58 +08:00

@deplivesb 幽默 : )

Jirajine

2023-09-12 14:49:34 +08:00 via Android

这叫有状态防火墙，你用过的所有可以上网但开服务需要开放端口的机器全部都是这种防火墙。
当然这个禁止入站并不会破坏端到端特性，相关 p2p 、打洞等应用都可以轻松穿透。

Alwaysonline

2023-09-12 14:53:31 +08:00

企业的硬件防火墙或行为管理网关，都可以的。

lambdaq

2023-09-12 15:02:27 +08:00

@qwvy2g 如果是 stateful 防火墙那么理论上是可以用 stateless 协议建立连接的。

dangyuluo

2023-09-12 15:06:04 +08:00

防火墙太简单了

lns103

2023-09-12 15:07:40 +08:00

就是防火墙，现在的光猫和路由器都自带这个功能

feaul

2023-09-12 15:10:51 +08:00 via Android

防火墙只允许 trust 到 untrust ，不允许 untrust 到 trust ？

fvladlpa

2023-09-12 15:44:31 +08:00 via Android

这就是用防火墙啊

qingshengwen

2023-09-12 15:46:50 +08:00

@me1onsoda #10 有没有可能是为了访问纯 v6 的网站或者服务

Marionic0723

2023-09-12 15:49:01 +08:00 via Android

防火墙或者是内网 v6+nat ，前者在网关上丢弃入站数据包就行了，小米路由器（家用）就这样，留了个 ping ，不许入只许出。

ternice

2023-09-12 16:09:07 +08:00

楼主应该补习一下小学二年级就知道 TCP 连接建立过程：IPA -->SYN --->IPB ...
那么只要入向的 IP 的 SYN 拦截可以做的（当然防火墙或路由器上有更加复杂的处理机制）

xPKK1qofAr6RR09O

2023-09-12 16:17:45 +08:00

fe80 只能在同广播域下互通，不能路由
fd00::/8 只能在私网路由，不能到公网

busier

2023-09-12 17:50:13 +08:00

两种可能！
1 、NAT6 ，内部无公网 IPv6 ；
2 、防火墙(也可能是路由器内置)，拒绝外部网络到内部网络方向的 NEW 链接状态，仅允许 RELATED,ESTABLISHED,UNTRACKED 链接状态。简单的说就是拒绝外网到内网方向的主动建立新链接，仅允许内网访问外网已存在链接返回的链接。

这类防火墙基础配置属于小学二年级内容，谈不上技术！