这是一个创建于 2020 天前的主题,其中的信息可能已经有所发展或是发生改变。
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。视 IPV6 防火墙安全策略的不同,还是会有类似锥形 NAT 对称 NAT 的访问限制。对于 P2P 应用来说,似乎也没比 IPV4 NAT 的场景好多少啊。
 |
1
flyfishcn 2019-04-28 13:06:12 +08:00
你这么说搞得好像公网 IPv4 位于防火墙之后的节点就能直接访问?如果不是运营商封锁端口( 80,443 之类的),防火墙规则本来就该你(用户)自己去设置的。
|
 |
2
kyf0722 2019-04-28 13:26:28 +08:00 via iPhone
我用的 openwrt 默认是外网无法直接访问内部 ipv6 主机的,可能是安全考虑,把防火墙放开就行了,我现在都可以 vnc 远程公司得 macOS
|
 |
3
Tianao 2019-04-28 14:06:17 +08:00 via iPhone
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。
所以防火墙规则为什么不放行? |
 |
4
cwbsw OP |
 |
5
amazingrise 2019-04-28 15:16:51 +08:00 via Android
@cwbsw +1。前段时间鼓捣 ipv6 的时候发现了这一问题。防火墙并不是自己能配置得了的
|
 |
7
loveour 2019-04-28 16:14:49 +08:00
是干脆没有公网地址实现直连难,还是有公网地址需要配置防火墙实现直连难?
|
 |
8
Cu635 2019-04-28 16:15:23 +08:00
|
 |
9
iwtbauh 2019-04-28 16:36:23 +08:00 via Android  1
所以才有 UPnP 之类的协议来让应用程序打开防火墙端口啊。
你要是原来 ipv4 都是 cgn,你 UPnP 也是得不到什么改善的。 |
 |
10
ZRS 2019-04-28 16:37:57 +08:00
v4 有防火墙也不行啊...这和 v4v6 有关系吗
|
 |
11
duoguo 2019-04-28 16:39:11 +08:00
@kyf0722 我的 openwrt 默认是可以访问内网机器的,但是不能访问路由本身.要远程访问路由要设置防火墙
https://i.loli.net/2019/04/28/5cc5658a9bcb4.jpg |
 |
12
smallfount 2019-04-28 16:47:00 +08:00
额...这问题在现有的任何协议都无解吧...这根本不是协议本身做不到而是为了安全考虑不愿意啊。。。
我以前遇到过用 v4 的公网段 IP 做内部使用地址段的,跟 10.0.0.0/8 混着用。。我一个 site 有 2 个完整的 c 段地址给客户端 DHCP 分配。。。这时候显然地址 pool 就不再是限制我直连的问题了。。。然而为啥我还要用 NAT 跟 FW 呢?不就是安全考虑嘛.... |
 |
13
mooncakejs 2019-04-28 16:48:22 +08:00
家用宽带 光猫会兼任防火墙的功能, 默认打开全部端口?嫌黑客的肉鸡不够多?
|
 |
14
est 2019-04-28 16:49:54 +08:00
不是很懂 LZ 的思路,你希望有一个网络协议能突破任意防火墙???
那防火墙干啥吃的。。。 |
 |
15
WordTian 2019-04-28 16:52:25 +08:00 via Android
一般防火墙都设在光猫上,如果想折腾 v6,至少就该把光猫上的防火墙策略整明白,不然造成安全风险,是得要自己负责的
|
 |
16
liuminghao233 2019-04-28 16:55:40 +08:00 via iPhone
你应该问这世界上为什么有防火墙
|
|
17
cwbsw OP @iwtbauh
电信 CGN 是锥形 NAT,借助 STUN 这类机制是可以直连的。将来防火墙后的 V6 节点也是需要 V6 版的 STUN 才能直连。 |
 |
20
hanguofu 2019-04-28 17:39:00 +08:00 via Android
我用的是移动的家庭宽带,请用这个防
|
|
21
hanguofu 2019-04-28 17:40:02 +08:00 via Android
火墙是在光猫里面设置吗?
|
|
22
hanguofu 2019-04-28 17:41:08 +08:00 via Android
光猫的登陆帐号和密码是?
|
 |
23
vibbow 2019-04-28 17:48:24 +08:00
ipv6 防火墙默认拦截的策略是没问题的
要不然局域网内所有电脑就等于在互联网上端口大开了。 至于用户会不会设置 ipv6 防火墙,那就是另外一回事了。 可以等待路由器厂家后期优化对应的选项,比如说设置到具体 mac 地址的某端口打开 (mac 地址对应到所有 ip 地址) |
 |
24
baicheng10 2019-04-28 17:54:08 +08:00
虽然每个人都有 IP 了,但是因为黑暗森林法则,都不敢暴露自己?
是这个意思吗 0-0 ? |
|
25
iwtbauh 2019-04-28 18:15:48 +08:00 via Android
@cwbsw #17
那我可以设置防火墙直接允许进入流量啊对不对。v4 就算是对称圆锥 NAT 你也没有半个全球单播地址用,体验差别是很大的。 更何况 ipv6 的好处可不止这一个。我更看重 ipv6 不会导致网站封 ip (比如邻居用刷票软件刷 12306 )被邻居误伤。 |
 |
26
jousca 2019-04-28 19:25:34 +08:00
区别在于 IPV6 仅仅是因为防火墙保护,你可以让防火墙打开端口实现直连。
但是 IPV4 NAT,你就是开了防火墙,也是直连不了的…… 区别就在这里。 |
 |
27
cwek 2019-04-28 20:55:57 +08:00
只是现阶段的 IPv6 路由默认把转发限制打开了。当然标准制定者应该是假定了你不会开这玩意,或者知道怎样去开。
|
 |
28
ghjexxka 2019-04-28 23:09:09 +08:00
到底是难以实现,还是“懒得实现”
|
 |
29
acgzy 2019-04-29 13:16:02 +08:00
所以说这不是防火墙的问题吗?不关 ipv6 什么事啊
|
 |
30
dt743 2019-04-29 15:22:01 +08:00
你是说 isp 层会对 v6 使用更严格的防火墙策略?目前使用还没发现就是了
|
 |
31
txydhr 2019-04-29 16:48:40 +08:00
个人持乐观态度,到时候新推出的路由器会出相应设置
|
 |
33
helllkz 2019-04-30 15:09:01 +08:00
我觉得本质上来说,有个很大的不同
对于 V4,防火墙或者路由器后面是内网地址了,所以路由器是个网关设备 对于 V6,防火墙或者路由器后面是公网地址了,所以路由器是个路由设备 而这两种不同对于 V4 来说,路由器上面是用的端口转发才能访问内部设备,做了 NAT,极端点如果 65535 个端口都做了转发,那后面再想访问就没办法了吧,而 V6 就不存在这个问题了 |
 |
34
wazon 2020-02-18 23:52:38 +08:00
区别在于防火墙的控制权更多地掌握在用户的手中,从而大大提高了用户实现端到端直连的可能
现在比较多见的是路由器对 v6 入站的阻挡( openwrt 的默认设定),光猫的阻挡也有报道但不是那么普遍 对于有 P2P 类网络应用需求的用户而言: 在 IPv4 环境下,仅有部分运营商在部分地区能向家宽用户提供公网 IP,很多人没有这个机会。而对于这一小部分用户,通常也都需要主动提出申请,最终实际获得的只是少数中的少数 在 IPv6 环境下,都是公网 IP,大多数用户自行搞定路由器就行了。部分用户还要配置光猫。少数用户还需要设法联系电信或自行钻研以进行光猫的高级配置。最终无法实现的是少数中的少数 总的来说,默认情况下 IPv6 入站开放的程度层次不齐,但显然要比 IPv4 好 对于懂技术或有需求的用户,在 IPv6 下大多数人通过不是太多的努力,就能获得可响应入站请求的公网 IP,这相比 IPv4 的进步是很明显的 而且对于 P2P 应用,只要有一方是响应入站的公网 IP,实现直连的难度就小很多 顺便一提,由于主流操作系统基本都支持 SLAAC 下的 IPv6 隐私扩展标准,路由开放一切 v6 入站流量的风险也不是那么大 |
 |
36
dosgo 2021-10-02 09:58:09 +08:00 via Android
你们说修改防火墙的,目前中国电信的 4G 5G 网络在上级路由就有 ipv6 防火墙,用户无法控制,所有非主动发起的入站都拒绝。。公网 ip 没啥用了 ,打洞正在测试,联通的正常没墙。。
|
Select Language