单位网管说，能够给办公室电脑分配 IPV6 的地址，但是说只能访问出去，外面互联网访问不了办公室电脑，请问这是什么技术？

x86

2023-09-12 13:00:47 +08:00

nat64 ？

lcdtyph

2023-09-12 13:08:35 +08:00

防火墙或者 nat6 呗
很多高校的全局 v6 也不能从外面访问，就是有防火墙

cq65617875

2023-09-12 13:09:08 +08:00

nat6 或者 pd
将进来的链接挡在防火墙就好了

deplivesb

2023-09-12 13:11:05 +08:00

有一种在 ipv4 时代就有能技术叫防火墙，能实现只出站不许入站。我想这项技术在 IPv6 时代应该没有被淘汰

codehz

2023-09-12 13:12:35 +08:00

就普通防火墙
v4 时代你也可以一台机器一个 ip ，只不过 ip 稀缺玩不了

spediacn

2023-09-12 13:31:41 +08:00

类似 fe 开头的 ipv6 吧？：）

asdgsdg98

2023-09-12 13:34:16 +08:00

防火墙，阻止入站

mantouboji

2023-09-12 13:34:33 +08:00

/ipv6 firewall filter
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward comment="Allow Local " in-interface-list=!WAN
add action=accept chain=forward comment=Ping protocol=icmpv6
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="accept OSPF" protocol=ospf
add action=accept chain=input comment="accept anything from LAN" \
in-interface-list=!WAN
add action=accept chain=forward comment="allow SSH,HTTPS,etc" dst-port=\
22,443,465,587,993 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="Local Wireguard" dst-port=12345 \
in-interface=pppoe-out1 protocol=udp

lanlandezei

2023-09-12 14:23:52 +08:00

你路由器不也有 IPV6 的防火墙开关

me1onsoda

2023-09-12 14:26:21 +08:00

不懂就问。
这有什么用？不是本来就有访问外网的能力？

qwvy2g

2023-09-12 14:27:12 +08:00

在 ipv4 上，防火墙和 nat 行为上都可以拦截。防火墙就不用说了可以拦截外部端口主动访问，nat 行为里面包括 nat 映射和 nat 过滤，其中 nat 过滤就定义了外部访问数据包进入内网的处理方式。比如 eif 就规定了不管远程数据是否之前与本地内网 eim 映射端口客户端通信过，只要访问这个端口一律当作 eim 映射后与之通讯的客户端数据，很明显 nat1 不是很安全。

MeteorVIP

2023-09-12 14:27:49 +08:00

@deplivesb #4 哈哈哈，幽默
我也觉得是没退化干净的防火墙

gdb

2023-09-12 14:28:52 +08:00

@spediacn 这个地址应该不能用的吧？这个地址应该是一个内网（内部局域网）的 IPV6 地址吧？

@me1onsoda 主要是家里宽带以后有可能会没有 IPV4 地址的风险，所以要提前把两边电脑都搞成 IPV6 互联，方便家里和单位的电脑互联。

qwvy2g

2023-09-12 14:34:07 +08:00

到 ipv6 上，这应该算是一种防火墙，工作原理如下：状态防火墙（ stateful firewall) 会对入站流量进行检测，只有在最近一段时间内曾做过目的地址的 (ip, port) 发来的流量才会被接受。理论上 wireguard tailscale 这类组网软件应该就能绕过，但是我没 ipv6 ，没法试。

lightionight

2023-09-12 14:39:58 +08:00

@deplivesb 幽默 : )

Jirajine

2023-09-12 14:49:34 +08:00

这叫有状态防火墙，你用过的所有可以上网但开服务需要开放端口的机器全部都是这种防火墙。
当然这个禁止入站并不会破坏端到端特性，相关 p2p 、打洞等应用都可以轻松穿透。

Alwaysonline

2023-09-12 14:53:31 +08:00

企业的硬件防火墙或行为管理网关，都可以的。

lambdaq

2023-09-12 15:02:27 +08:00

@qwvy2g 如果是 stateful 防火墙那么理论上是可以用 stateless 协议建立连接的。

dangyuluo

2023-09-12 15:06:04 +08:00

防火墙太简单了

lns103

2023-09-12 15:07:40 +08:00

就是防火墙，现在的光猫和路由器都自带这个功能