单位网管说,能够给办公室电脑分配 IPV6 的地址,但是说只能访问出去,外面互联网访问不了办公室电脑,请问这是什么技术?

2023-09-12 12:59:17 +08:00
 gdb

IPV6 地址可以在单位内部单独分配?

有没有大神懂一点的,给个解释?谢谢!

4527 次点击
所在节点    宽带症候群
36 条回复
x86
2023-09-12 13:00:47 +08:00
nat64 ?
lcdtyph
2023-09-12 13:08:35 +08:00
防火墙或者 nat6 呗
很多高校的全局 v6 也不能从外面访问,就是有防火墙
cq65617875
2023-09-12 13:09:08 +08:00
nat6 或者 pd
将进来的链接挡在防火墙就好了
deplivesb
2023-09-12 13:11:05 +08:00
有一种在 ipv4 时代就有能技术叫防火墙,能实现只出站不许入站。我想这项技术在 IPv6 时代应该没有被淘汰
codehz
2023-09-12 13:12:35 +08:00
就普通防火墙
v4 时代你也可以一台机器一个 ip ,只不过 ip 稀缺玩不了
spediacn
2023-09-12 13:31:41 +08:00
类似 fe 开头的 ipv6 吧?:)
asdgsdg98
2023-09-12 13:34:16 +08:00
防火墙,阻止入站
mantouboji
2023-09-12 13:34:33 +08:00
/ipv6 firewall filter
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward comment="Allow Local " in-interface-list=!WAN
add action=accept chain=forward comment=Ping protocol=icmpv6
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="accept OSPF" protocol=ospf
add action=accept chain=input comment="accept anything from LAN" \
in-interface-list=!WAN
add action=accept chain=forward comment="allow SSH,HTTPS,etc" dst-port=\
22,443,465,587,993 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="Local Wireguard" dst-port=12345 \
in-interface=pppoe-out1 protocol=udp
lanlandezei
2023-09-12 14:23:52 +08:00
你路由器不也有 IPV6 的防火墙开关
me1onsoda
2023-09-12 14:26:21 +08:00
不懂就问。
这有什么用?不是本来就有访问外网的能力?
qwvy2g
2023-09-12 14:27:12 +08:00
在 ipv4 上,防火墙和 nat 行为上都可以拦截。防火墙就不用说了可以拦截外部端口主动访问,nat 行为里面包括 nat 映射和 nat 过滤,其中 nat 过滤就定义了外部访问数据包进入内网的处理方式。比如 eif 就规定了不管远程数据是否之前与本地内网 eim 映射端口客户端通信过,只要访问这个端口一律当作 eim 映射后与之通讯的客户端数据,很明显 nat1 不是很安全。
MeteorVIP
2023-09-12 14:27:49 +08:00
@deplivesb #4 哈哈哈,幽默
我也觉得是没退化干净的防火墙
gdb
2023-09-12 14:28:52 +08:00
@spediacn 这个地址应该不能用的吧?这个地址应该是一个内网(内部局域网)的 IPV6 地址吧?


@me1onsoda 主要是家里宽带以后有可能会没有 IPV4 地址的风险,所以要提前把两边电脑都搞成 IPV6 互联,方便家里和单位的电脑互联。
qwvy2g
2023-09-12 14:34:07 +08:00
到 ipv6 上,这应该算是一种防火墙,工作原理如下:状态防火墙( stateful firewall) 会对入站流量进行检测,只有在最近一段时间内曾做过目的地址的 (ip, port) 发来的流量才会被接受。理论上 wireguard tailscale 这类组网软件应该就能绕过,但是我没 ipv6 ,没法试。
lightionight
2023-09-12 14:39:58 +08:00
@deplivesb 幽默 : )
Jirajine
2023-09-12 14:49:34 +08:00
这叫有状态防火墙,你用过的所有可以上网但开服务需要开放端口的机器全部都是这种防火墙。
当然这个禁止入站并不会破坏端到端特性,相关 p2p 、打洞等应用都可以轻松穿透。
Alwaysonline
2023-09-12 14:53:31 +08:00
企业的硬件防火墙或行为管理网关,都可以的。
lambdaq
2023-09-12 15:02:27 +08:00
@qwvy2g 如果是 stateful 防火墙那么理论上是可以用 stateless 协议建立连接的。
dangyuluo
2023-09-12 15:06:04 +08:00
防火墙太简单了
lns103
2023-09-12 15:07:40 +08:00
就是防火墙,现在的光猫和路由器都自带这个功能

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/973002

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX