就算 IPV6 普及,端到端直连也难以实现

2019-04-28 11:13:13 +08:00
 cwbsw
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。视 IPV6 防火墙安全策略的不同,还是会有类似锥形 NAT 对称 NAT 的访问限制。对于 P2P 应用来说,似乎也没比 IPV4 NAT 的场景好多少啊。
11058 次点击
所在节点    宽带症候群
36 条回复
hanguofu
2019-04-28 17:40:02 +08:00
火墙是在光猫里面设置吗?
hanguofu
2019-04-28 17:41:08 +08:00
光猫的登陆帐号和密码是?
vibbow
2019-04-28 17:48:24 +08:00
ipv6 防火墙默认拦截的策略是没问题的
要不然局域网内所有电脑就等于在互联网上端口大开了。

至于用户会不会设置 ipv6 防火墙,那就是另外一回事了。

可以等待路由器厂家后期优化对应的选项,比如说设置到具体 mac 地址的某端口打开 (mac 地址对应到所有 ip 地址)
baicheng10
2019-04-28 17:54:08 +08:00
虽然每个人都有 IP 了,但是因为黑暗森林法则,都不敢暴露自己?
是这个意思吗 0-0 ?
iwtbauh
2019-04-28 18:15:48 +08:00
@cwbsw #17

那我可以设置防火墙直接允许进入流量啊对不对。v4 就算是对称圆锥 NAT 你也没有半个全球单播地址用,体验差别是很大的。

更何况 ipv6 的好处可不止这一个。我更看重 ipv6 不会导致网站封 ip (比如邻居用刷票软件刷 12306 )被邻居误伤。
jousca
2019-04-28 19:25:34 +08:00
区别在于 IPV6 仅仅是因为防火墙保护,你可以让防火墙打开端口实现直连。

但是 IPV4 NAT,你就是开了防火墙,也是直连不了的…… 区别就在这里。
cwek
2019-04-28 20:55:57 +08:00
只是现阶段的 IPv6 路由默认把转发限制打开了。当然标准制定者应该是假定了你不会开这玩意,或者知道怎样去开。
ghjexxka
2019-04-28 23:09:09 +08:00
到底是难以实现,还是“懒得实现”
acgzy
2019-04-29 13:16:02 +08:00
所以说这不是防火墙的问题吗?不关 ipv6 什么事啊
dt743
2019-04-29 15:22:01 +08:00
你是说 isp 层会对 v6 使用更严格的防火墙策略?目前使用还没发现就是了
txydhr
2019-04-29 16:48:40 +08:00
个人持乐观态度,到时候新推出的路由器会出相应设置
cwbsw
2019-04-30 14:20:43 +08:00
@txydhr
别的也不指望,只求 Linux 内核能实现 Full Cone 就知足了。
helllkz
2019-04-30 15:09:01 +08:00
我觉得本质上来说,有个很大的不同
对于 V4,防火墙或者路由器后面是内网地址了,所以路由器是个网关设备
对于 V6,防火墙或者路由器后面是公网地址了,所以路由器是个路由设备
而这两种不同对于 V4 来说,路由器上面是用的端口转发才能访问内部设备,做了 NAT,极端点如果 65535 个端口都做了转发,那后面再想访问就没办法了吧,而 V6 就不存在这个问题了
wazon
2020-02-18 23:52:38 +08:00
区别在于防火墙的控制权更多地掌握在用户的手中,从而大大提高了用户实现端到端直连的可能

现在比较多见的是路由器对 v6 入站的阻挡( openwrt 的默认设定),光猫的阻挡也有报道但不是那么普遍

对于有 P2P 类网络应用需求的用户而言:
在 IPv4 环境下,仅有部分运营商在部分地区能向家宽用户提供公网 IP,很多人没有这个机会。而对于这一小部分用户,通常也都需要主动提出申请,最终实际获得的只是少数中的少数
在 IPv6 环境下,都是公网 IP,大多数用户自行搞定路由器就行了。部分用户还要配置光猫。少数用户还需要设法联系电信或自行钻研以进行光猫的高级配置。最终无法实现的是少数中的少数

总的来说,默认情况下 IPv6 入站开放的程度层次不齐,但显然要比 IPv4 好
对于懂技术或有需求的用户,在 IPv6 下大多数人通过不是太多的努力,就能获得可响应入站请求的公网 IP,这相比 IPv4 的进步是很明显的
而且对于 P2P 应用,只要有一方是响应入站的公网 IP,实现直连的难度就小很多

顺便一提,由于主流操作系统基本都支持 SLAAC 下的 IPv6 隐私扩展标准,路由开放一切 v6 入站流量的风险也不是那么大
cwbsw
2020-02-19 10:30:44 +08:00
@wazon
我之前的认识是错误的。IPv6 下 P2P 应用更容易穿透防火墙。
dosgo
2021-10-02 09:58:09 +08:00
你们说修改防火墙的,目前中国电信的 4G 5G 网络在上级路由就有 ipv6 防火墙,用户无法控制,所有非主动发起的入站都拒绝。。公网 ip 没啥用了 ,打洞正在测试,联通的正常没墙。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/559408

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX