IPV6时代的NFS安全隐患一则

水木社区手机版

主题:IPV6时代的NFS安全隐患一则
楼主|blitz|2020-09-29 11:01:31|只看此ID
刚发现我的nfs裸奔了一年左右

也不知道什么时候开始北京联通启用了ipv6，然后我的内网（我以为的内网，但是ipv6无所谓内网外网）里的nfs的配置又有一个地方被我写错了，地址和参数之间多了一个空格比如
```
/data1 192.168.1.0/24 <此处不应该有空格>(一些选项)
```
结果就是nfs导出给everyone了

以至于我在办公室都可以用ipv6来mount我家里的nfs。

最后发现是那个空格惹的祸。
--
FROM 159.226.171.*
1楼|USPLA|2020-09-29 11:08:56|只看此ID
牛逼啊，现在内网穿透没成本了啊
【在 blitz 的大作中提到: 】
:
: 刚发现我的nfs裸奔了一年左右
:
: 也不知道什么时候开始北京联通启用了ipv6，然后我的内网（我以为的内网，但是ipv6无所谓内网外网）里的nfs的配置又有一个地方被我写错了，地址和参数之间多了一个空格比如
: ```
: /data1 192.168.1.0/24 <此处不应该有空格>(一些选项)
: ```
: 结果就是nfs导出给everyone了
:
: 以至于我在办公室都可以用ipv6来mount我家里的nfs。
:
: 最后发现是那个空格惹的祸。
: --
:

发自「今日水木 on iPhone X」
--
FROM 106.37.208.*
2楼|Quanm|2020-09-29 11:11:35|只看此ID
这跟 ipv6 没啥关系。

【在 blitz (blitz) 的大作中提到: 】
: 刚发现我的nfs裸奔了一年左右
: 也不知道什么时候开始北京联通启用了ipv6，然后我的内网（我以为的内网，但是ipv6无所谓内网外网）里的nfs的配置又有一个地方被我写错了，地址和参数之间多了一个空格比如
: ```
: ...................
--
FROM 202.114.111.*
3楼|iptables|2020-09-29 11:14:17|只看此ID
试了一阵子IPv6，然后在路由器上禁用了
其实绝大多数人需要所谓的内网，不需要万物互联

【在 blitz (blitz) 的大作中提到: 】
: 刚发现我的nfs裸奔了一年左右
: 也不知道什么时候开始北京联通启用了ipv6，然后我的内网（我以为的内网，但是ipv6无所谓内网外网）里的nfs的配置又有一个地方被我写错了，地址和参数之间多了一个空格比如
: ```
: ...................
--
FROM 182.151.234.*
4楼|blitz|2020-09-29 11:16:52|只看此ID
没有ipv6，我内网里面随便怎么弄，只要不是主动往外发数据，外面都看不到里面（除非作死主动搞端口转发，或者猫启用网桥模式）。有了ipv6，默认情况下内网里面都有全局ipv6地址，安全风险马上就上来了
【在 Quanm 的大作中提到: 】
: 这跟 ipv6 没啥关系。
:
--
FROM 159.226.171.*
5楼|Dazzy|2020-09-29 11:21:05|只看此ID
其实你的路由没有把内外管起来而已。无论ipv4还是v6，interface wan和lan是分开的，防火墙应该不转发来自wan的input，除非用户放开。
【在 blitz 的大作中提到: 】
: 刚发现我的nfs裸奔了一年左右
:
: 也不知道什么时候开始北京联通启用了ipv6，然后我的内网（我以为的内网，但是ipv6无所谓内网外网）里的nfs的配置又有一个地方被我写错了，地址和参数之间多了一个空格比如
: ...................
--来自微水木3.5.2
--
FROM 113.119.11.*
6楼|blitz|2020-09-29 11:24:54|只看此ID
猫是联通提供的，这个我动不了啊
【在 Dazzy 的大作中提到: 】
: 其实你的路由没有把内外管起来而已。无论ipv4还是v6，interface wan和lan是分开的，防火墙应该不转发来自wan的input，除非用户放开。
--
FROM 159.226.171.*
7楼|wincss|2020-09-29 11:26:42|只看此ID
我刚测了一下在路由器防火墙上开了内网端口，外网用ipv6还是访问不到。。。

【在 Dazzy (大懒虫，脱焦省却磨皮) 的大作中提到: 】
: 其实你的路由没有把内外管起来而已。无论ipv4还是v6，interface wan和lan是分开的，防火墙应该不转发来自wan的input，除非用户放开。
: --来自微水木3.5.2
--
FROM 114.242.94.*
8楼|blitz|2020-09-29 11:33:57|只看此ID
难道我中大奖了(字面意思)?我的猫就是联通标配的烽火光猫，当年我和他们argue了很久让给我打开桥接模式未遂。

另外，你得确认两端的机器都有ipv6地址，而且ipv6不能是内网地址，我这边是以24开头的/64地址。
【在 wincss 的大作中提到: 】
: 我刚测了一下在路由器防火墙上开了内网端口，外网用ipv6还是访问不到。。。
:
--
FROM 159.226.171.*
9楼|Dazzy|2020-09-29 11:35:57|只看此ID
这算是安全隐患，可以投诉了。这个也就是为什么要有一个自己能管的防火墙，很重要。
【在 blitz 的大作中提到: 】
: 猫是联通提供的，这个我动不了啊
: 【在 Dazzy 的大作中提到: 】
: : 其实你的路由没有把内外管起来而已。无论ipv4还是v6，interface wan和lan是分开的，防火墙应该不转发来自wan的input，除非用户放开。
: ...................
--来自微水木3.5.2
--
FROM 113.119.11.*