就算 IPV6 普及,端到端直连也难以实现

2019-04-28 11:13:13 +08:00
 cwbsw
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。视 IPV6 防火墙安全策略的不同,还是会有类似锥形 NAT 对称 NAT 的访问限制。对于 P2P 应用来说,似乎也没比 IPV4 NAT 的场景好多少啊。
11058 次点击
所在节点    宽带症候群
36 条回复
flyfishcn
2019-04-28 13:06:12 +08:00
你这么说搞得好像公网 IPv4 位于防火墙之后的节点就能直接访问?如果不是运营商封锁端口( 80,443 之类的),防火墙规则本来就该你(用户)自己去设置的。
kyf0722
2019-04-28 13:26:28 +08:00
我用的 openwrt 默认是外网无法直接访问内部 ipv6 主机的,可能是安全考虑,把防火墙放开就行了,我现在都可以 vnc 远程公司得 macOS
Tianao
2019-04-28 14:06:17 +08:00
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。

所以防火墙规则为什么不放行?
cwbsw
2019-04-28 15:10:07 +08:00
@Tianao
你每次开视频会议、玩联机游戏都先去配置防火墙吗?
@kyf0722
所以说点对点直连从来都是安全 /隐私问题,而不是网络层协议的问题。
@flyfishcn
很多时候防火墙你是无法控制的。
amazingrise
2019-04-28 15:16:51 +08:00
@cwbsw +1。前段时间鼓捣 ipv6 的时候发现了这一问题。防火墙并不是自己能配置得了的
Tianao
2019-04-28 16:06:58 +08:00
@cwbsw 普通用户终端前的防火墙通常情况下应该只禁几个特殊端口,剩下的全开放啊。
loveour
2019-04-28 16:14:49 +08:00
是干脆没有公网地址实现直连难,还是有公网地址需要配置防火墙实现直连难?
Cu635
2019-04-28 16:15:23 +08:00
@cwbsw
“所以说点对点直连从来都是安全 /隐私问题,而不是网络层协议的问题。”
在技术层面先决支持,然后才能谈安全、隐私问题。
iwtbauh
2019-04-28 16:36:23 +08:00
所以才有 UPnP 之类的协议来让应用程序打开防火墙端口啊。

你要是原来 ipv4 都是 cgn,你 UPnP 也是得不到什么改善的。
ZRS
2019-04-28 16:37:57 +08:00
v4 有防火墙也不行啊...这和 v4v6 有关系吗
duoguo
2019-04-28 16:39:11 +08:00
@kyf0722 我的 openwrt 默认是可以访问内网机器的,但是不能访问路由本身.要远程访问路由要设置防火墙
https://i.loli.net/2019/04/28/5cc5658a9bcb4.jpg
smallfount
2019-04-28 16:47:00 +08:00
额...这问题在现有的任何协议都无解吧...这根本不是协议本身做不到而是为了安全考虑不愿意啊。。。
我以前遇到过用 v4 的公网段 IP 做内部使用地址段的,跟 10.0.0.0/8 混着用。。我一个 site 有 2 个完整的 c 段地址给客户端 DHCP 分配。。。这时候显然地址 pool 就不再是限制我直连的问题了。。。然而为啥我还要用 NAT 跟 FW 呢?不就是安全考虑嘛....
mooncakejs
2019-04-28 16:48:22 +08:00
家用宽带 光猫会兼任防火墙的功能, 默认打开全部端口?嫌黑客的肉鸡不够多?
est
2019-04-28 16:49:54 +08:00
不是很懂 LZ 的思路,你希望有一个网络协议能突破任意防火墙???

那防火墙干啥吃的。。。
WordTian
2019-04-28 16:52:25 +08:00
一般防火墙都设在光猫上,如果想折腾 v6,至少就该把光猫上的防火墙策略整明白,不然造成安全风险,是得要自己负责的
liuminghao233
2019-04-28 16:55:40 +08:00
你应该问这世界上为什么有防火墙
cwbsw
2019-04-28 17:24:01 +08:00
@iwtbauh
电信 CGN 是锥形 NAT,借助 STUN 这类机制是可以直连的。将来防火墙后的 V6 节点也是需要 V6 版的 STUN 才能直连。
cwbsw
2019-04-28 17:26:54 +08:00
@est
不是我希不希望,这是个客观事实啊。就算没有 NAT,要做点对点的 P2P 应用还是很蛋疼。
est
2019-04-28 17:36:01 +08:00
@cwbsw 网络协议设计者没法解决 middlebox 的问题。
hanguofu
2019-04-28 17:39:00 +08:00
我用的是移动的家庭宽带,请用这个防

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/559408

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX