ipv6 到底是没有端口映射和 DMZ 主机？还是说这功能不是天然就支持的

最近想搞家庭监控和 NAS ，确定自己的电信宽带有 ipv6 ，在线测试通过，然而奇怪的是，猫拿到的那个对外的 ipv6 地址，从外面是 ping 不通的。

费了一番劲进入猫的超级管理员，自己翻了一遍，发现即使是超管，也找不到 ipv6 防火墙设置，也就是没法关 ipv6 的防火墙了。
于是遵循 ipv4 时代留下的经验，首先试了一下 dmz ，不行，再次测试端口映射，还是不行。这个过程中我注意到不论 dmz 还是端口映射，都不支持 ipv6 的地址。所以我在想，难道 ipv6 的 dmz 和端口映射，和 ipv4 是不一样的？找了一下网上，发现众说纷纭，有人 ipv6 不需要 dmz 和端口映射。但是我就是没有找到：到底是 ipv6 就没有这个两个东西？还是说这两个东西是高级货，不是说支持 ipv4 版本的就天然支持 ipv6 的？

2kCS5c0b0ITXE5k2

2023-10-28 21:14:27 +08:00

IPv6 一般来说都不需要端口映射和 DMZ

yyzh

2023-10-28 21:15:54 +08:00

端口映射和 dmz 是内网才要 ipv6 没内网

julyclyde

2023-10-28 21:22:26 +08:00

首先是不需要
但是居然真的没做出来也是很奇怪的事

neos2014

2023-10-28 21:30:27 +08:00

我的移动猫虽然有 ipv6 防火墙，但是开关都没用，就是开死了的。
最后我换成路由器桥接拨号，路由器上的 v6 开关就生效了，然后外网可以链接本地设备，看来 IPv6 的确可以做到每粒沙子都分配一个真正的公网 IP

wangwaner

2023-10-28 21:34:38 +08:00

到光猫超级后台-安全-防火墙-勾选掉启用 ipv6session （如果有这个选项的话试试看？）

ontry

2023-10-28 21:45:27 +08:00

不是光猫没有 IPV6 防火墙设置，是家宽猫没有，专线就有了，桥接就能解决的事干嘛去折腾一个猫

vcn8yjOogEL

2023-10-28 21:58:28 +08:00

映射就是个转发功能，做肯定是能做出来的，但 IPv6 的核心目标就是无须 NAT ，所有设备都能直通公网，因此理论上来讲对什么映射是没有需求的
你的问题应该是连接被运营商设备的防火墙挡住了，如楼上所述改桥接即可，没必要在一个随时可被远程控制的设备上浪费时间

DefoliationM

2023-10-28 22:07:59 +08:00

ipv6 只有公网 ip ，一般都是 isp 限制了，需要里面先向外面发个请求外面的才能连进来，可以使用比如 tailscale 和 zerotier 这种工具进行组网。

cnbatch

2023-10-28 22:29:26 +08:00

1 、大多数光猫都有 IPv6 防火墙，默认开启，阻挡 IPv6 入站连接
1.1 、某些光猫的 IPv6 防火墙无法关闭
1.2 、换成支持关闭 IPv6 防火墙的光猫可以解决这个问题
1.3 、改桥接最好，路由器接管这一切
1.4 、除非是运营商在更前方主动丢弃入站连接，这就不是“修理”自家设备可以解决的事情了，只能运营商解决

2 、只要使用者愿意，IPv6 可以有端口映射（比如用手动使用 iptables 配置转发），只不过绝大多数情况下并不需要。都已经有公网 IP ，直接连过去就可以了。

3 、DMZ 分两种。
3.1 、家用路由器的那种“DMZ”，也就是所有端口默认映射到某台机器，在 IPv6 环境下并不需要。原因同上，直接连过去就可以了。
3.2 、真正的 DMZ ，也就是企业架构常用的那种 DMZ ，并非 IPv4 专属。不但 IPv4 可以用，IPv6 同样也可以用。
比如拿到了/60 的网段，可以分成 2 个/61 网段。DMZ 的做法可以是，第一个 /61 允许外界随意访问，所有对外服务部署到这里；第二个 /61 使用防火墙阻挡主动入站连接，只允许内部机器对外发起连接。

luoshengdu

2023-10-28 23:33:33 +08:00

1 。IPv6 地址获取了即可被访问，你要访问哪个设备，就要看哪个设备地址，而不是看网关或者光猫的 v6 地址，不需要做映射这些配置！！

2 。 a ，光猫拨号的，管理页面，安全里面，可以关闭 IPv6 防火墙 or 防火墙（有些没有单独 v6 防火墙），关闭后，即可正常访问
b ，openwrt ，padanvan 等设备作为网关的，配置防火墙转发 or 关闭防火墙，内网的设备 ipv6 即可被正常访问

3 。检查需要被访问设备本身的防火墙，可以在局域网内访问其 IPv6 地址和公网访问对比测试

NEPv5NA6R8R3Y11u

2023-10-28 23:55:43 +08:00

桥接
路由器或者电脑拨号就是，光猫防火墙基本上不给关的

abcbuzhiming

2023-10-29 00:38:47 +08:00

谢谢各位，确认是光猫上的防火墙无法关闭，导致无法通过 ipv6 从外部进来。已经准备打客服改桥接模式了

sky96111

2023-10-29 00:38:59 +08:00

@cnbatch 我想请教一下关于 IPv6 的 UPnP 的问题。虽然本质上 UPnP 也是创建映射，但还有一个自动打开防火墙的功能。
像 OpenWRT 这类固件默认会阻止所有的 IPv6 入站，而 qb 这类需要需要允许入站的软件，在 v4 上可以通过 UPnP 来开放一个高位端口映射。
为了自动化维护一个开放的端口，在 v6 上也应该使用 UPnP 吗？
OP 的防火墙规则只允许指定 IP 而不能指定设备，在 v6 前缀变动时规则会失效。或者设置通信规则，允许指定端口所有 v6 转发，但这样感觉也不妥

kingpo

2023-10-29 00:41:57 +08:00

关闭光猫和路由器防火墙，光猫网页不能关就进入 telnet 关。

我遇见过一种情况是，光猫关了防火墙，光猫拨号，网络有 ipv6 ，但经过下级路由器后就没 ipv6 了（路由器的 ipv6 开启的状态）。而改桥接后路由器拨号就有了。有点奇怪。试了两个设备两条宽带都是这种情况。

JensenQian

2023-10-29 00:53:18 +08:00

我那台华为光猫得去改配置文件才可以关闭防火墙，不是在你网页设置里面相关就能关，建议直接改桥接

cnbatch

2023-10-29 01:08:31 +08:00

@sky96111 不清楚 OpenWRT 的设置，我很久没用过了。
像是 pfSense 、OpnSense 这类防火墙系统，都可以指定单独给某个 MAC 地址设置策略，不清楚 OpenWRT 能否根据 MAC 地址设置相关策略，也许可以看看设置页面是否有类似的配置

hqzx21

2023-10-29 01:13:24 +08:00

光猫桥接，让路由器下发 ipv6 地址，找个 ipv6 测试网站测试下

Tink

2023-10-29 16:23:39 +08:00

没必要做，所以就没做

znsb

2023-10-29 16:32:50 +08:00

tplink 的路由器有 v6 DMZ 这个功能

godall

2023-10-30 13:08:55 +08:00

不用 dmz 和端口转发，但是光猫和路由器都有 ipv6 防火墙，对于 openwrt 来说，必须设置防火墙策略（包括 icmp ，包括 icmp 转发，端口开放），不然还是进不来。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/986314

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.