这是一个创建于 1222 天前的主题,其中的信息可能已经有所发展或是发生改变。
以前 ipv4 的话,只需要放行指定的几个内网的 ip 段就行了,但是 ipv6 的话统统都是公网,有什么办法能仅放行同一局域网下的请求吗,每次重连前缀都会变的,不可能每次连接后都改一次 ip6tables 。
 |
1
NSAgold 2021-07-03 23:58:24 +08:00
ipv6 有局域网网段 fe80 开头的。内网可以通过这个 ip 来互相访问
|
 |
2
ihipop 2021-07-04 08:09:16 +08:00 via Android
同一局域网又不走防火墙
ip6tables 支持后缀匹配 |
 |
3
billlee 2021-07-04 11:12:16 +08:00
一般的路由器默认会拦截外部的流量吧
|
 |
4
liuxu 2021-07-04 22:35:03 +08:00
路由都是 nat 出去的,放心进不来,tcp/ip 原理没变朋友,ipv6 也有内网段
|
 |
5
qbqbqbqb 2021-07-06 11:37:40 +08:00  1
后缀匹配,写法是“IPv6 地址 /::ffff:ffff:ffff:ffff”
|
|
6
qbqbqbqb 2021-07-06 11:50:11 +08:00
@liuxu "路由都是 nat 出去"不对吧。路由是网络层( IP 协议,这里还不涉及 TCP )的功能; NAT 涉及 TCP,UDP 的端口号,是传输层的功能,一般都和防火墙一起实现。显然是两种东西。只是说家用路由在 IPv4 上都固化了 NAT 功能(因为是目前的民用宽带 IPv4 接入给多台设备上网所必须的功能)而已。从原理上来看,早期 IP 充足的时候,TCP/IP 没有 NAT 也是能正常运作的。
以目前的民用宽带 IPv6 部署情况来看,上公网一律用 2 开头的公网地址。fc 开头的“内网段”只能用于内网内部通信,相应的数据包永远不会进入公网,而且一般家用路由不会配置这个段。另外还有 fe80 开头的链路内地址,也是不可能上公网的。并不存在“NAT 出去”的情况。 |
|
8
qbqbqbqb 2021-07-06 12:26:53 +08:00
@liuxu 我只是指出你说的“路由都是 nat 出去的,放心进不来”有事实错误。你上个 ipv6 测试站,再比对一下网站上显示的你的 IP 地址和本机 ipconfig 里的“临时 IPv6 地址”一不一样,就知道到底是不是“nat 出去的”了。路由器拦不拦截传入 IPv6 连接也是要看具体设备的,如果路由器或路由模式光猫碰巧不默认开启防火墙,客户端也没开防火墙,还真“进得来”
|
|
9
liuxu 2021-07-06 14:56:47 +08:00
@qbqbqbqb
v2ex 的人谁不知道路由是传输层,nat 是会话层的东西。你去买 10 个路由器,看看是不是都带 nat,是不是都默认都把防火墙打开了。事实错误,那你把统计数据发出来,没个测试数据支撑你能说你是事实正确么小兄弟。讲碰巧,你的巧碰的也太多了,整个 V2EX 谁不知道都没有防火墙就可以进的来。 本来我是准备说 ip 层和 tcp 层的,我又改成传输层和会话层了,免得你再钻。逗号句号我也改标准了,免得你说我标点符号用的不对。 |
|
10
qbqbqbqb 2021-07-06 16:00:30 +08:00
@liuxu
搞清楚,本贴里讨论的是**IPv6**。你说都有 NAT,那是 IPv4,跑题了。 你去买 10 个路由器,看看是不是都有 IPv6 NAT 。现在国内家用路由(不考虑刷机的),也就小米有 NAT6 (而且也是备用方案,仅推荐在 Native IPv6 不可用的时候使用),其它的 TP, ASUS, NETGEAR,对于 IPv6 都是只分配 2 开头的全球单播地址。 |
Select Language