使用 ipv6 需要注意哪些事项,以保证网络设备的安全呢

知道 ipv6 为啥要使用/64 作为最小子网吗，就是防止被扫描的。 你自己试试，如果你的 ipv6 地址不是自己知道，而是仅仅知道前 64 位，用软件扫描该子网 ipv6 地址时，假定软件可以牛到开 1000 线程，每线程 1s 可以扫描 1024 个地址。 你算算/64 的子网全扫描一遍，需要多少时间。

搞个 vpn 回家
完事

@intoext dhcpv6 是 128

路由器上配置个防火墙很困难么？

将 WAN 到 LAN 的数据包，state 为 NEW 的全部 DROP ；
将 WAN 到 LAN 的数据包，state 为 ESTABLISHED,RELATED,UNTRACKED 全部放行。

即可禁止 WAN 设备主动向 LAN 设备发起连接，又不影响正常的 LAN 出站访问数据的返回响应。

@yyzh …… 你没有明白我的意思。
跟你普及一下。/32 是运营商能拿到的最小块。/48 是一般企业拿到的地址段。/56 是一般家庭拿到的最小块。/64 是个人子网的最小范围。
你说的/128 只是表明获得到这个地址是确切的。
可是从任何地方刻意暴露出去的。始终是比/64 还小的前缀段。
前缀暴露的情况下，都扫描不到（扫描完需要几年的需要关注吗？）。
你这/128 也无需担心。
还不理解，再举个例子。你去取快递，没有任何安全措施。6 位数的快递码，也不担心别人用穷举给你试出来。才是 1/10^6 的概率。 而 ipv6 的地址，在不主动暴露的情况下，被扫描到的概率，是 1/2^64 。

@intoext pt 下载和 bt 下截 peer 那里可以暴露 ipv6 全址，你用 ipv6 访问一个网站，你的 ipv6 可以被网站记录然后开始扫描端口

防火墙全部挡掉, 用 VPN 进内网
和 v4 一样的, 只不过 v4 的 nat 可以当半个防火墙用

@z7356995 IPv6 如果没有考虑这一点还叫 v6 ？ 你访问外部时的 ip 地址。与你回访的 IP 地址，根本不是一回事。 自己多留意一下。 啥叫临时地址，啥叫短租约地址，啥叫永久地址。

现在 ipv6 速度怎么样？之前开了 v6 微信朋友圈和支付宝小程序很多打不开或者超时

状态防火墙一定要开启
外面连回家用 VPN

路由开启 Nat6 就好了；你们那 ipv6 能被公网访问么，我们这给的 ipv6 只能上网，无法在公网上被访问

@z7356995 ipv6 有临时地址，上网大部分都是临时地址，每次重新接入网络都随机变化的，隐私性很高

opnsense 需要外部访问的加允许规则

@busier 正解，通过防火墙关闭全锥网络。

@intoext 意思是只要我门牌号足够多，我家就算不关门你也找不到路。

我选择关门

@ashong v2 搜索 ipv6 mss 黑洞 3 年前的老黄历

@intoext bt 这类不一样，它是监听所有分配的 ipv6 地址，有些系统不做特殊设置临时地址也是可以入站的，等于自爆你家所有门牌号，都直接到你家门口了，验证也很简单，热门种子找个 peer 地址 ssh ，有些 22 端口都是开的，甚至 qbt 管理页面，还是要做好基本的防火墙配置的，扫描是很少，但不是没有。

IPV6 地址多是一方面
另一方面，目前国内普及 V6 吼了 N 年，实际上支持 V6 防火墙的光猫和路由屈指可数，大部分有防火墙的都是没开关的，直接全部挡住，小部分直接没 V6 防火墙裸奔……

目前比较可靠的“家用”V6 防火墙，只能选自己刷官方 openwrt 稳定版的，可用，可自定义开口

要用 IPv6 就不能用那种只有一个简单防火墙开关的路由器了。

偶的 IPv6 防火墙配置供批判用。基本思路是只给内部网络开放有限的端口 i 转发。

`
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=input comment="for fail2ban" src-address-list=bad_ipv6
/ipv6 firewall filter add action=accept chain=forward comment="Allow all from LAN" in-interface-list=!WAN
/ipv6 firewall filter add action=accept chain=forward comment=Ping protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="Accept all from inner" in-interface-list=!WAN
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="Allow SSH,HTTPS" dst-port=22,443 in-interface-list=WAN protocol=tcp
/ipv6 firewall filter add action=accept chain=input comment="Inner WG" dst-port=16384 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
/ipv6 firewall filter add action=accept chain=input comment=OSPF protocol=ospf
/ipv6 firewall filter add action=accept chain=forward comment="Allow SSH WWW HTTPS from WAN" dst-port=22,443 in-interface-list=WAN protocol=tcp
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log-prefix=NotLAN
`