请教一下各位大佬关于家用宽带 IPV6 公网的问题

2022-02-12 23:41:38 +08:00
 troilus

背景:坐标成都,电信 ZXHN F450 光猫拨号上网,在后台的 [防火墙] 设置选项中关闭了 [启用 IPV6 SESSION ] 选项,因此家里的设备基本上都获取到了 IPV6 地址,并且家里的小服务器可以通过移动联通 4G 公网访问到(打开 HTTP 、HTTPS 网页以及其他端口服务)。

  1. 这个 [启用 IPV6 SESSION ] 选项关闭后所有网内设备就通过 IPV6 暴露到公网了,是否存在了更多的安全隐患?在不将光猫改桥接的情况下能不能像 IPV4 一样设置端口映射仅仅允许必要的设备暴露必要的端口?或者通过其他方式提升安全性。
  2. 公网是否可以通过路由的 WAN IPV6 地址打开路由的设置界面?目前尝试了从公网无法打开,不知道是不是因为封掉了 80 和 8080 端口的原因,还是说路由器本身有相关的配置?能在公网打开感觉也不安全
4917 次点击
所在节点    宽带症候群
15 条回复
yin1999
2022-02-12 23:57:20 +08:00
一般是路由器的防火墙不允许从 wan 口访问 Web 网管的,你可以试试能不能 ping 通路由器
troilus
2022-02-13 00:09:04 +08:00
@yin1999 尝试了下, 路由的 V4 和 V6 的 WAN 口在内网、外网都不能 ping 通,但是在内网可以通过 V6 的 WAN 口地址打开设置界面,V4 的不行,只能 192.168.1.1
jousca
2022-02-13 00:23:57 +08:00
1 、由于 V6 地址的随机性和海量,有人扫到你地址的概率极小……
2 、一般情况下路由器的管理页面只在 LAN 端口开放,你从 WAN 过去的数据包到不了 LAN 口。
3 、由于第一条,你被人黑的概率几乎是 0……
LnTrx
2022-02-13 00:35:31 +08:00
IPv4 下端口暴露最大的风险是被别人扫到,但只要主机 IPv6 是 SLAAC 获取的,家庭内部终端被扫到的概率极小。
即使你主动访问被探测、回访,家用设备的现代操作系统通常自带有防火墙,正确配置的话风险不大。
网络中的网关设备(光猫、路由)有一定可能会被主动探测到。这些设备通常只向内网开放登陆界面,但如果魔改过的话建议测试确认一下是否配置正确。
tediorelee
2022-02-13 00:39:33 +08:00
我超最近正好想搞 ipv6 ,同成都电信,求教教
LnTrx
2022-02-13 00:42:44 +08:00
值得一提的是,IPv6 下不能再依赖 IPv4 NAT 环境所形成的陈规。如果端口映射还需要设计协议由网关设备来处理,那 IPv6 就有种搞了个寂寞的感觉。
duke807
2022-02-13 00:59:35 +08:00
覺得 ipv6 暴露公網不安全的建議不要用手機,因為手機都是 ipv6 暴露在公網的

對於電腦,不要用不安全的軟件及開不安全的服務,最好不要用不安全的系統,你們一定懂我說的是哪家系統
acbot
2022-02-13 08:47:20 +08:00
目前除 OP 这些软路由之外其他绝大多数家用和企业级的路由器或者光猫这些硬件设备都不支持 v6 指定端口开放功能。有的设备甚至连关闭 v6 防火墙的功能都没有,入连接默认都是直接 drop 。如果你的设备支持关闭应该说现阶段已经很不错了。关闭之后配置好内网所有机器的系统防火墙问题不大的。因为默认情况下系统都是隔一段时间生成一个新的临时地址然后用这个地址上网。
troilus
2022-02-13 09:05:53 +08:00
@jousca
@LnTrx
@LnTrx
@duke807
@acbot
感谢解惑!
troilus
2022-02-13 09:06:36 +08:00
@tediorelee 我是直接进光猫 8080 的防火墙 里[启用 IPV6 SESSION ]关了就可以了
LnTrx
2022-02-13 15:02:33 +08:00
@acbot 有一个 IPv6 总开关就够了。

点对点直连才是互联网本来的样子。当用户被 IPv4 NAT 保护惯了,突然回到这种状态反而没有安全感,这才是反常。

SLAAC 的 IP 地址是变动的,本来就不太好配防火墙。精细的端口控制,留给那种 IP 地址固定的服务端场景就好了。
acbot
2022-02-13 16:36:48 +08:00
@LnTrx 问题就在于现在很多设备连这个总开关都不提供,很多所谓支持 v6 的设备仅仅是停留在对外访问的基础上。

SLAAC 也可以生成固定后缀的 ipv6 地址(通过 eui64 / stable-privacy 或者是自定义后缀实现)这样不论前缀怎么变化,防火墙通过负(反)掩码匹配固定后缀就可以实现指定设备指定端口开放。
user10010
2022-02-14 10:31:12 +08:00
由于我宽带移机后,公网 ip 掉了,IOS 移动端也基本只能通过 IPV6 连回去。
我的主路由是小米,小米默认关闭了 wan-ipv6 访问路由器管理地址,所以只有在内网启一个其他设备,在该设备上获取公网 ipv6 地址,并开一个 v2rayserver ,自己在外网就通过 ipv6 连接该 v2 节点回家。

当然也可以更换主路由为 openwrt ,在上面配置 ipv6 防火墙,把内外设备 ipv6 分配功能关闭了,然后在 openewrt 上搭建一个 v2rayserver ,并开启该端口,外网就通过 ipv6 连接该 v2 节点回家。
user10010
2022-02-14 10:31:59 +08:00
@tediorelee 看我回复
Dragonphy
2022-04-16 17:41:07 +08:00
现在我也遇到了相同的问题,所以,关掉「启用 IPV6 SESSION 」到底危不危险

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/833480

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX