IPV6 安全性问题,端口全都暴露在公网?

2022-09-24 10:20:21 +08:00
 shellus

刚才我在两个不同地区的光猫上上都开启了 ipv6 ,在 ipv6-test.com 上测试 ipv6 都正常了 然后我发现,一台路由器下的电脑如果访问了一个 ipv6 的网站,那么网站就知道了它的 ipv6 地址,并且可以通过这个地址来主动访问它,例如我们一个本来只是局域网可以访问的本地预览开发环境,就可以被外网访问到了,这是不是代表开启 ipv6 有巨大的安全风险?本来在路由器 nat 庇护之下的机器和服务拿到 ipv6 地址后就暴漏在外网了?

9318 次点击
所在节点    程序员
27 条回复
v2tudnew
2022-09-24 10:23:45 +08:00
月经贴....
cev2
2022-09-24 10:40:30 +08:00
[例如我们一个本来只是局域网可以访问的本地预览开发环境]
监听端口时只监听局域网 IP 呀,又不是非得监听 0.0.0.0 或::,之前因为 NAT 的存在让一些不规范的危险操作藏在遮羞布下,现在只不过是把遮羞布扯掉了而已
JamesR
2022-09-24 10:40:41 +08:00
这很正常啊,NAT 用惯了,都忘了啥是正常网络了。把防火墙开开吧,配一下。
shanshuise
2022-09-24 10:43:25 +08:00
有的地方入站封了。
Livid
2022-09-24 10:44:57 +08:00
在 UniFi 的设置里默认是关的,需要单独在 firewall 规则打开。
totoro625
2022-09-24 10:57:03 +08:00
光猫:默认关闭防火墙
路由器:默认开启 ipv6 防火墙,部分路由器有关闭防火墙的选项
littlewing
2022-09-24 11:02:06 +08:00
你不开 ipv6 防火墙的吗
lmshl
2022-09-24 11:07:51 +08:00
有 SLAAC 和 临时 IPv6 地址了
如有更细致的需求应该寻求防火墙规则
Bingchunmoli
2022-09-24 11:13:08 +08:00
ipv4 安全性问题(公网 ipv4), 端口全都暴露在公网?
miyuki
2022-09-24 11:20:28 +08:00
openwrt 反正默认是屏蔽入站
mikewang
2022-09-24 12:11:21 +08:00
有没有一种可能,这才是互联网原本应有的样子:IP 唯一,端口开放,全球可见
msg7086
2022-09-24 12:11:50 +08:00
你防火墙在转发公网 IPv6 包到你主机的时候,可以过滤入站连接。
不要因为 NAT 不需要防火墙滤包就忘了防火墙是干嘛的了 = =
LnTrx
2022-09-24 12:16:27 +08:00
有没有一种可能,系统里的防火墙本来就是干这个的
tunggt
2022-09-24 12:17:11 +08:00
给你开 80 端口,你还不乐意了。。。
LnTrx
2022-09-24 12:57:43 +08:00
稍微捋一下安全性问题:
1. 公网 IPv4 最普遍的威胁是暴力扫段。IPv6 地址空间很大,SLAAC 地址很难从外部被扫出来。
2. 主动外访可以暴露本机 IP 地址,现代操作系统会生成一个临时 IPv6 用于外访。这种暴露不是持续的,范围也是有限的。
3. 如果有需要持续暴露 IP 的应用,可以利用虚拟化技术单独给它一个 IPv6 ,外部回访就不会威胁其他应用。https://www.v2ex.com/t/877910

最后,IPv6 下本机的安全措施是最重要的。物联网设备不会没事去访问恶意网站,但用户日常使用的设备会。这些设备通常都有完善的防火墙机制,可以限定本机、本地子网、和公网的访问。个人认为,对于可外部访问的端口,应该基于“零信任”思想做好持续验证,而不是依赖网关提供安全性。一来威胁本来就容易通过内网蔓延,二来现在很多设备是移动的。习惯性把内网当成安全,可能只会导致翻车。
lns103
2022-09-24 13:45:24 +08:00
只能说明你的路由设备没有防火墙,一般都是默认开启的,很多光猫还找不到地方关闭
BloodBlade
2022-09-24 14:05:18 +08:00
这不就是 IPv4 不够用之前的时代的情况吗,用防火墙呗。
polinxia001
2022-09-24 14:32:47 +08:00
@cev2😬
docx
2022-09-24 14:49:58 +08:00
所以你觉得,公网 IPv4 被运营商搞成 NAT 反而是个好事?
Autonomous
2022-09-24 14:57:40 +08:00
请规范配置防火墙入站规则

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/882576

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX