V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2561 days ago, the information mentioned may be changed or developed.
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。视 IPV6 防火墙安全策略的不同,还是会有类似锥形 NAT 对称 NAT 的访问限制。对于 P2P 应用来说,似乎也没比 IPV4 NAT 的场景好多少啊。
 |
1
flyfishcn Apr 28, 2019
你这么说搞得好像公网 IPv4 位于防火墙之后的节点就能直接访问?如果不是运营商封锁端口( 80,443 之类的),防火墙规则本来就该你(用户)自己去设置的。
|
 |
2
kyf0722 Apr 28, 2019 via iPhone
我用的 openwrt 默认是外网无法直接访问内部 ipv6 主机的,可能是安全考虑,把防火墙放开就行了,我现在都可以 vnc 远程公司得 macOS
|
 |
3
Tianao Apr 28, 2019 via iPhone
虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。
所以防火墙规则为什么不放行? |
 |
4
cwbsw OP |
 |
5
amazingrise Apr 28, 2019 via Android
@cwbsw +1。前段时间鼓捣 ipv6 的时候发现了这一问题。防火墙并不是自己能配置得了的
|
 |
7
loveour Apr 28, 2019
是干脆没有公网地址实现直连难,还是有公网地址需要配置防火墙实现直连难?
|
 |
9
iwtbauh Apr 28, 2019 via Android  1
所以才有 UPnP 之类的协议来让应用程序打开防火墙端口啊。
你要是原来 ipv4 都是 cgn,你 UPnP 也是得不到什么改善的。 |
 |
10
ZRS Apr 28, 2019
v4 有防火墙也不行啊...这和 v4v6 有关系吗
|
 |
11
duoguo Apr 28, 2019
@kyf0722 我的 openwrt 默认是可以访问内网机器的,但是不能访问路由本身.要远程访问路由要设置防火墙
https://i.loli.net/2019/04/28/5cc5658a9bcb4.jpg |
 |
12
smallfount Apr 28, 2019
额...这问题在现有的任何协议都无解吧...这根本不是协议本身做不到而是为了安全考虑不愿意啊。。。
我以前遇到过用 v4 的公网段 IP 做内部使用地址段的,跟 10.0.0.0/8 混着用。。我一个 site 有 2 个完整的 c 段地址给客户端 DHCP 分配。。。这时候显然地址 pool 就不再是限制我直连的问题了。。。然而为啥我还要用 NAT 跟 FW 呢?不就是安全考虑嘛.... |
 |
13
mooncakejs Apr 28, 2019
家用宽带 光猫会兼任防火墙的功能, 默认打开全部端口?嫌黑客的肉鸡不够多?
|
 |
14
est Apr 28, 2019
不是很懂 LZ 的思路,你希望有一个网络协议能突破任意防火墙???
那防火墙干啥吃的。。。 |
 |
15
WordTian Apr 28, 2019 via Android
一般防火墙都设在光猫上,如果想折腾 v6,至少就该把光猫上的防火墙策略整明白,不然造成安全风险,是得要自己负责的
|
 |
16
liuminghao233 Apr 28, 2019 via iPhone
你应该问这世界上为什么有防火墙
|
|
17
cwbsw OP @iwtbauh
电信 CGN 是锥形 NAT,借助 STUN 这类机制是可以直连的。将来防火墙后的 V6 节点也是需要 V6 版的 STUN 才能直连。 |
 |
20
hanguofu Apr 28, 2019 via Android
我用的是移动的家庭宽带,请用这个防
|
|
21
hanguofu Apr 28, 2019 via Android
火墙是在光猫里面设置吗?
|
|
22
hanguofu Apr 28, 2019 via Android
光猫的登陆帐号和密码是?
|
 |
23
vibbow Apr 28, 2019
ipv6 防火墙默认拦截的策略是没问题的
要不然局域网内所有电脑就等于在互联网上端口大开了。 至于用户会不会设置 ipv6 防火墙,那就是另外一回事了。 可以等待路由器厂家后期优化对应的选项,比如说设置到具体 mac 地址的某端口打开 (mac 地址对应到所有 ip 地址) |
 |
24
baicheng10 Apr 28, 2019
虽然每个人都有 IP 了,但是因为黑暗森林法则,都不敢暴露自己?
是这个意思吗 0-0 ? |
|
25
iwtbauh Apr 28, 2019 via Android
@cwbsw #17
那我可以设置防火墙直接允许进入流量啊对不对。v4 就算是对称圆锥 NAT 你也没有半个全球单播地址用,体验差别是很大的。 更何况 ipv6 的好处可不止这一个。我更看重 ipv6 不会导致网站封 ip (比如邻居用刷票软件刷 12306 )被邻居误伤。 |
 |
26
jousca Apr 28, 2019
区别在于 IPV6 仅仅是因为防火墙保护,你可以让防火墙打开端口实现直连。
但是 IPV4 NAT,你就是开了防火墙,也是直连不了的…… 区别就在这里。 |
 |
27
cwek Apr 28, 2019
只是现阶段的 IPv6 路由默认把转发限制打开了。当然标准制定者应该是假定了你不会开这玩意,或者知道怎样去开。
|
 |
28
ghjexxka Apr 28, 2019
到底是难以实现,还是“懒得实现”
|
 |
29
acgzy Apr 29, 2019
所以说这不是防火墙的问题吗?不关 ipv6 什么事啊
|
 |
30
dt743 Apr 29, 2019
你是说 isp 层会对 v6 使用更严格的防火墙策略?目前使用还没发现就是了
|
 |
31
txydhr Apr 29, 2019
个人持乐观态度,到时候新推出的路由器会出相应设置
|
 |
33
helllkz Apr 30, 2019
我觉得本质上来说,有个很大的不同
对于 V4,防火墙或者路由器后面是内网地址了,所以路由器是个网关设备 对于 V6,防火墙或者路由器后面是公网地址了,所以路由器是个路由设备 而这两种不同对于 V4 来说,路由器上面是用的端口转发才能访问内部设备,做了 NAT,极端点如果 65535 个端口都做了转发,那后面再想访问就没办法了吧,而 V6 就不存在这个问题了 |
 |
34
wazon Feb 18, 2020
区别在于防火墙的控制权更多地掌握在用户的手中,从而大大提高了用户实现端到端直连的可能
现在比较多见的是路由器对 v6 入站的阻挡( openwrt 的默认设定),光猫的阻挡也有报道但不是那么普遍 对于有 P2P 类网络应用需求的用户而言: 在 IPv4 环境下,仅有部分运营商在部分地区能向家宽用户提供公网 IP,很多人没有这个机会。而对于这一小部分用户,通常也都需要主动提出申请,最终实际获得的只是少数中的少数 在 IPv6 环境下,都是公网 IP,大多数用户自行搞定路由器就行了。部分用户还要配置光猫。少数用户还需要设法联系电信或自行钻研以进行光猫的高级配置。最终无法实现的是少数中的少数 总的来说,默认情况下 IPv6 入站开放的程度层次不齐,但显然要比 IPv4 好 对于懂技术或有需求的用户,在 IPv6 下大多数人通过不是太多的努力,就能获得可响应入站请求的公网 IP,这相比 IPv4 的进步是很明显的 而且对于 P2P 应用,只要有一方是响应入站的公网 IP,实现直连的难度就小很多 顺便一提,由于主流操作系统基本都支持 SLAAC 下的 IPv6 隐私扩展标准,路由开放一切 v6 入站流量的风险也不是那么大 |
 |
36
dosgo Oct 2, 2021 via Android
你们说修改防火墙的,目前中国电信的 4G 5G 网络在上级路由就有 ipv6 防火墙,用户无法控制,所有非主动发起的入站都拒绝。。公网 ip 没啥用了 ,打洞正在测试,联通的正常没墙。。
|
Select Language