@glfpes “学生懂个锤子”毫无疑问非常正确，但 op 这句表述也不能说完全不对，在某些方面，如中医、风水、各种牛鬼蛇神的封建迷信，饥荒时代延续下来的生活习惯，以及男尊女卑等传统观念，年纪大的人在这些方面的思想如何不用我说你也懂得，确实还不如现代的学生。
不过在全面 GFW 、全面信息管制、四个自信下成长起来的新一代，和我们这些在“公知横行”、“被洗脑”的也不同，他们的思想更接近上个世纪六七十年代的人。

@raysonx 因为这已经是最容易的方案了，家庭内网下面不同设备通过不同策略路由、有些设备屏蔽互联网访问、有些设备限速等，实现这些基于 ip 地址比基于 mac 地址或 vlan 方便的多。
最基本的，内网设备能够互通，且通过设备向 dhcp 发送的主机名自动生成的域名直接访问。


至于 docker host 模式，很多文章这么写，实际上是 docker 正常配置 ipv6 太过困难的无奈之举。bt 下载要和其他服务走不同的路由出口，所以还是需要独立的 ip 地址以在网关上区分；如果用单独的虚拟机，那硬盘挂载到哪个设备上、存储如何共享，又会产生新的问题。

归根结底还是 ipv6 当前软件支持不完善，最基本的上网使用场景能跑，但 corner case 太多。最近有遇到一个桥接 wifi 和以太网接口的问题，通常情况下很难做到，VMware/VirtualBox 通过 spoof 源 mac 地址的 trick 来实现，需要软件自己干预地址管理/arp ，只支持 ipv4 。
docker 的 ipv6 支持也被骂了很多年了，没啥提升，官方根本不觉得动态前缀是设计中的使用场景。

@raysonx 其实这都是正常家庭使用场景下的需求，用 docker 容器跑个 qbittorrent ，挺常见吧。至于第二点“基于规则路由的应用层代理工具” 你知道我指什么，也是非常常见的需求。

第一点写脚本通过 ssh 或 api 从网关拿到前缀并手动配置 ipv6 地址，然后定期重启服务勉强也能用。第二点暂时无解，只能不用 ipv6 。

还是无法解决实际的问题，比如 docker 容器必须使用固定前缀，使用 ula 要能访问 ipv6 网络必须用 nat ，要想容器同时可以公网可达（如 p2p 应用）只能用无状态 NAPT 或者端口转发，这就会涉及地址发现问题：应用不知道自己能通过哪个地址被访问。并且因为动态前缀这个地址还没法手动配置。

固定后缀只能客户端设备自己控制，有些系统（ Android ）还不好设置。再者使用隐私扩展的临时地址建立出站连接本身也是最佳实践，这时地址还是完全无法管理：前缀后缀全是动态的。
虽然可以通过 mac 地址在 4 层识别，但有些情况应用层防火墙、各种基于规则路由的应用层代理工具等，就不是那么容易访问到 4 层信息了。

@slack 太想当然了，没有 nat 怎么在动态前缀下解决 stable addressing 的问题？
最简单的例子，docker 容器。

@mdn 前段整非对称加密没有意义，因为不需要解密，只需要找到你加密前的数据就行了。
客户端是客户的客户端。

@ChangeTheWorld 错误，ipv6 仍然需要“打洞”，正常环境下屏蔽入站连接的有状态防火墙，使端到端的应用工作仍然需要对防火墙打洞。
其实一般说的 nat 打洞也就两部分：防火墙打洞和地址发现。

知乎确实降智，实名制实施后的斯德哥尔摩患者们最经典的暴论就是“实名能让人对自己的言论负责”--实际上是一个非常糟糕的事情。
我在咖啡馆宣称“php 是世界上最好的语言”，路过的你听到了只会在心里骂一句这是个傻逼，而不会过来跟我争执，但在“说话不用负责”的互联网上语言圣战可以吵几页。
一个“说话要负责”的互联网是不能发表任何不合群的内容的，就像你在线下聚会一样；而互联网上发言在这方面甚至更遭：你发表的内容可以被任何人在未来的任何时间看到。就像每一句话都上了广播电视节目一样，你觉得一个正常人在这种环境下还能正常说话吗？

是的，我们就是要匿名，说话不用负责的权利。如果你不认同，请你把自己十年前在网络上的发言记录贴出来，连同姓名身份证号，看你敢不敢为那些言论负责呢？

@damnu 虽然技术内容与“说真话被封”没什么关系，但这确实有政治因素的影响。
一是各大平台不开放搜索引擎索引，这起源于备案管制独立网站衰落。
再者墙内实名制后就再也不发表信息了（无论任何领域），相信这样人不在少数。

@YGHMXFAL 你说的不对，不是让人越来越不敢发言，而是让继续发言的人适应这种环境。

用楼上洗地者的话来说，就是要对自己的发言“负责”，比如争议话题如果你的观点和主旋律不一样就不要说，就像你在现实中和陌生人遇到分歧只会停止交流一样。
这样可以构造更“和谐”的舆论环境，争吵争论大为减少，任何话题下主流观点都是一致的，观点不同的人会自觉地不在这个话题下发表言论，因为如果你的言论被很多人反对你就会遭到网曝开盒查成分。

@f14g “安全圈”人士留个 md5 的手机号确实挺搞笑的，security by obscurity ？
除了装 b 没有任何安全性可言，真要安全的方式交换联系方式不如留 PGP 公钥。

>更新隐私政策允许员工查看内容
这并不是什么问题，“允许”和“能够”没有区分的必要。上传到一个非端到端加密的服务的数据，就应该有它会被服务提供方查看的 assumption ，隐私政策这样改反而更诚实。

@raysonx 不工作的应用应该不多吧，也就 p2p 、nat traversal 以及网络相关的工具需要适配，普通应用应该是无感的（“fakeip”不会 break 的应用 nat64 应该也不会）。

为不同设备配置不同的防火墙规则是刚需，比如限速、劫持、策略路由。因为 ap 的缘故我没法让设备通过不同 ssid 接入不同的 vlan ，即使换了 ap 这样也不方便，会破坏不同设备间依赖内网直连的应用。

稳定地址不仅是内网通信，docker/虚拟机等不少应用也依赖稳定地址，ula 又失去了入站连通性，ula 配合 NAPT 无状态前缀转换好像很不错，但应用不一定能正确处理地址发现的问题。
以及配置 ipv6 相关的 nat 基本要手写防火墙规则，也不好维护。

一直想通过 nat64/dns64 部署纯 ipv6 内网，但主要有两大障碍：
一是地址管理问题，因为 Android 的原因，ipv6 地址没法用纯有状态管理，slaac+隐私扩展让地址完全无法管理，没法根据设备的地址单独配置防火墙等。
二是动态前缀问题。动态前缀让内网无法使用稳定地址，要稳定地址必须 nat ，但 nat 在 ipv6 里是 anti pattern ，坑也不少。很少有应用能支持在无状态前缀 nat 的情况下正确的地址发现。