关于电信 sdn 网关 ipv6 网络裸奔问题

今天 bt 下载的时候看到了很多的 ipv6 网址（本来 ipv6 默认被电信 sdn 网关屏蔽）于是简单看了下。结果发现每个端都分配了 2 个公网 ip 地址。（我看网关运行时间应该是今天凌晨运营商重启网关发送更新的）

其他的最近 V2EX 帖子
https://v2ex.com/t/875489
https://v2ex.com/t/875570
https://v2ex.com/t/875608
https://v2ex.com/t/875719

感觉最近关于 ipv6 的帖子很多，不知道是不是最近运营商加大了对 ipv6 的下发。

关于裸奔问题其实问题挺大的，本来内网条件下可能的无密码 /默认密码（虽然本来也并非安全，但至少有内网的保护）也会直接映射到公网去。而且可能本来内网随便发的端口也可能会被 0day 漏洞攻破。

我看到有些说 ipv6 扫不到的。其实这个问题是很大的，尤其是对每个端都发配 ipv6 的情况下。视频网站、网盘可能会搞（或已经再搞） p2p ，不经意间就暴露了。普通下载 bt ，加入到 dht 网络，开个 ipfs ，也都会直接暴露你电脑的 ipv6 。特别是下载 bt，不少人喜欢搞 webui ，还是默认密码或无密码。直接就能成为 tcpflood 肉鸡一台。

因此目前有什么本机方案防火墙吗？ sdn 网关无管理权限。可以在电脑上先设置一下。然后联系电信公司看看 sdn 网关怎么解决或者自己买路由器替代。

acbot

2022-09-04 10:30:18 +08:00

虽然没用过 SDN 这种设备但是基本的防火墙功能应该是有的，估计只是运营商的默认配置数据里关闭了而已，你有需要他们重应该可以重新调整配置数据开启默认防火墙就对了。就算真的 SDN 这种设备没有防火墙，你和公网之间还有一层运营商防火墙他们在这个地方调也是行的，不然你觉得为啥 80 443 SMB 这些为什么不能访问呢。你的问题是把服务安全和防火墙混到一起了，认为只要防盗门好钥匙随便放都安全，你防盗门再好直接家里就有内鬼或者是你把门的钥匙都给人家了你现在要怪门不安全...

jyeric

2022-09-04 10:33:42 +08:00

@acbot 我这电信的 sdn 网关直接防火墙都没有，直接暴露公网了，所以标题我也写的是 sdn 网关 ipv6 裸奔。内容也是 ipv6 裸奔问题，而不是讨论国内路由器到底防火墙能不能关闭。前提已经定死了，情况就是 ipv6 裸奔到设备。

而且 bt 下载的也不是都懂网络安全的，觉得下载快，好，直接关了防火墙；有什么 nas 需求要访问，又直接把防火墙关了

jyeric

2022-09-04 10:43:39 +08:00

@acbot 抱歉，我回复延迟比较大。这是针对#21 的回复。上条是针对#19 的回复

因为我是在想没有防火墙的情况下 ipv6 直接暴露在公网的情况。ipv6 范围广，不可以直接被搜到，理论安全。如果只是防火墙全部堵死就没有 ipv6 的作用了。现在想说但是会有 bt 这类直接送 ipv6 地址出去的软件，然后因为 ipv6 被软件送出去，造成其他在这个 ipv6 地址上开启端口的 webgui ，0day 漏洞啊这类的危险性。

门足够多，就算虚掩着，当不可能去查看大量门是否都锁着的时候，就是安全的

另外，理论上 sdn 网关要开启防火墙的话应该打电话过去就行了。

acbot

2022-09-04 10:53:59 +08:00

@jyeric 没有什么抱歉的，就讨论问题嘛！你说的问题其实我都理解了，而是你没有理解我说的意思！

”现在想说但是会有 bt 这类直接送 ipv6 地址出去的软件，然后因为 ipv6 被软件送出去，造成其他在这个 ipv6 地址上开启端口的 webgui ，0day 漏洞啊这类的危险性。“ 开始我就说了一下，这个问题是你应用本身安全问题并不是 v6 带来的！

jyeric

2022-09-04 11:19:31 +08:00

@acbot 对但是应用本身安全有些是可以避免的有些是不可避免的

比如说弱密码和无密码在知道的情况下是完全可以避免的
但对于不知道或不清楚的弱密码情况下，或者干脆就是突发的 0day 漏洞就难以被避免

这确实不是 v6 带来的。但是 v6 会更容易导致问题的发生，因为失去了 NAT 的保护。

那么，既然 v6 在不断推广，如果只是通过防火墙全部阻止入站，短期内是个很好的解决办法，我也觉得我可能会在路由器设置，但不能解决根本问题。而且既然每个设备都能获得 ipv6 地址，入站可能也会被越来越多的软件选择。

在讨论过程中，我觉得让不同软件映射不同 v6 地址会更方便解决入站的问题和暴露地址的问题。但目前好像也没有这类的实现，也不知道这方面有什么缺点。

acbot

2022-09-04 11:42:54 +08:00

@jyeric ”...NAT 的保护...” 这里就是一个最常见的误区，NAT 不提供任何保护功能他仅仅是提供了一个端口和地址转换的功能，所有保护功能都是防火墙完成的. v4 的 NAT 端口映射虽然你设备上只操作了一次但是实际是包含增加 NAT 和防火墙规则两个动作的。按照你的逻辑: 数据中心所有机器都是公网，没有 NAT 他们如何保障安全? 另外，如果你真认为是 NAT 才安全其实 v6 也有 NAT （很多国产设备都支持）仅仅是不推荐用而已，你完全也可以在 v6NAT 下使用。你有很多误区

malash

2022-09-04 14:12:38 +08:00

@jyeric
“其实我在想有没有办法就是对专门的要映射的服务直接单独分配 ipv6 。比如 bt ，是否可以直接要求获取一个专门的 ipv6 地址专门映射，然后把 webgui 和 bt 端口分开”
最简单的办法就是用 OpenWRT 作为网关，默认开启 IPv6 防火墙，然后只对需要打开的端口进行端口转发。这种场景下，网关就是专门用来暴露端口的，除了网关以外的 IPv6 地址都只能对内网服务，满足你的需求

malash

2022-09-04 14:58:56 +08:00

@acbot 数据中心是一个很好的例子，类似的还有当年没有路由器的年代，大家都直接用 PC 拨 PPPOE 。这种情况下安全的确是由设备的防火墙和自身开放的服务决定的，我想肯定不会有人敢在自己的 VPS 上开放一个没有密码保护的 Web 服务吧？
NAT 不是被设计用来解决内网安全问题的，但不可否认的是它的确起到了一定的防火墙的作用。在有 NAT 的情况下，即使内网裸奔，网关也能起到一定的防护作用。IPv6 的网关防火墙也是类似的作用，如果内网注定要裸奔，那么总有最后一道防线。而且大部分情况下，使用单一的网关防火墙会比给每一个设备都维护防火墙要容易，更适合普通用户。
如果 NAT=地址转换+防火墙，那么在 IPv6 下我们不需要地址转换了，其实需要的就是一个防火墙

LnTrx

2022-09-04 17:00:48 +08:00

@jyeric 同一主机内为不同应用单独分配 IPv6 是一个值得研究的问题，目前比较成熟的经验还比较少。
对于服务端场景，可以沿用多 IPv4 主机的经验，例如在写端口监听时直接指定 IPv6 地址。
对于应用端场景，我能想到的做法主要还是虚拟化。例如 VMware 下开的虚拟机，设为桥接模式就会获得与主机不同的 IPv6 地址，从而实现分离。对于 Docker 来说固定前缀比较好配，动态前缀可能需要依赖脚本，例如 https://github.com/wido/docker-ipv6 （未验证过）。

adminoroot

2022-09-05 11:07:30 +08:00

哎，2 年前买 ax68 的时候就发现这个问题了，关闭 IPv6 防火墙的话，内网的服务器外网用 IPv6 访问不到，关闭 IPv6 防火墙的话，全部设备 IPv6 外网都能访问到。我也经常在 qbittorrent 里面随便找个地址端口扫描：很多 5000 端口的 nas 都能扫描出来；很多 qb 的 web 界面用 admin adminadmin 的默认用户名个密码；很多 FileBrowser 也用默认密码，里面的文件都被我看光光了；还有的 opwrt 也用默认的 password 密码，ssr+的订阅链接都顺便被我复制一下送给别人使用了。。。。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/877492