IPV6 安全性问题,端口全都暴露在公网?

2022-09-24 10:20:21 +08:00
 shellus

刚才我在两个不同地区的光猫上上都开启了 ipv6 ,在 ipv6-test.com 上测试 ipv6 都正常了 然后我发现,一台路由器下的电脑如果访问了一个 ipv6 的网站,那么网站就知道了它的 ipv6 地址,并且可以通过这个地址来主动访问它,例如我们一个本来只是局域网可以访问的本地预览开发环境,就可以被外网访问到了,这是不是代表开启 ipv6 有巨大的安全风险?本来在路由器 nat 庇护之下的机器和服务拿到 ipv6 地址后就暴漏在外网了?

9303 次点击
所在节点    程序员
27 条回复
cloudsigma2022
2022-09-24 15:08:29 +08:00
@JamesR #3 认真测试过吗?

路由器的 v6 防火墙是默认开启的。且只对当前路由器有用。

路由器下的设备 v6 都是裸奔的。

https://v2ex.com/t/875570
cnbatch
2022-09-24 16:21:14 +08:00
IPv6 有一种地址叫做“隐私地址”,也叫做“临时地址”,本机应用主动访问其他网站时用的就是这个地址。

如果你用的是 Windows ,打开网卡的连接状态,再看看详细信息,就能看得到这种地址
Jirajine
2022-09-24 16:44:55 +08:00
@JamesR @docx 内网最大的意义是封装,很多设备就是不适合拥有公网地址。即使 ipv4 地址不缺,也是给你在网关上分配公网 IP ,内网暴露服务手动配置,这样做即使公网 IP/段变换,你的整个内网设备也不需要改变地址。当然 v6 下地址空间更多,每个人都能分配一个公网 IP 段,这样可以做 stateless prefix NAT 。直接给内网设备分配公网 IP 意味着一旦前缀变化,所有内网设备都需要变更 IP ,内网对外透明。dhcp-pd 这样的协议大部分应用都不支持,如 docker 、一些防火墙等,处理变更的前缀是很复杂的。
flynaj
2022-09-25 00:50:45 +08:00
openwrt 默认配置是不可以外网访问内部的,建议路由器刷个 openwrt.
LnTrx
2022-09-25 01:47:53 +08:00
@Jirajine 如果希望端口只在本地网络互访,可以绑定本地链接 IPv6 地址,这个是相对稳定的。
hanguofu
2022-09-25 04:51:09 +08:00
楼主 用的是什么型号的光猫啊 ? 去看看里面有没有 只打开某个端口的防火墙设置吧。
hez2010
2022-09-25 19:24:30 +08:00
NAT 用惯了,就会忘记软件防火墙的用处是什么。所以为什么各大安全厂商(尤其是国外的厂商)都有自己的软件防火墙用来防入侵呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/882576

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX