很明显你的思路是用白名单控制网段。

     这样需要设置缺省 deny ALL，你并没有做这样的设置。

【 在 blitz (blitz) 的大作中提到: 】
: 没有ipv6，我内网里面随便怎么弄，只要不是主动往外发数据，外面都看不到里面（除非作死主动搞端口转发，或者猫启用网桥模式）。有了ipv6，默认情况下内网里面都有全局ipv6地址，安全风险马上就上来了
--
FROM 202.114.111.*

谁会闲的蛋疼扫ipv6的地址呢
你知道一个64前缀下面多少台主机吗？？
只扫一个端口，扫完一个64前缀的v6段就是个天文数字
【 在 blitz 的大作中提到: 】
:  
: 刚发现我的nfs裸奔了一年左右  
:  
: 也不知道什么时候开始北京联通启用了ipv6，然后我的内网（我以为的内网，但是ipv6无所谓内网外网）里的nfs的配置又有一个地方被我写错了，地址和参数之间多了一个空格比如  
: ```  
: /data1 192.168.1.0/24 <此处不应该有空格>(一些选项)  
: ```  
: 结果就是nfs导出给everyone了  
:  
: 以至于我在办公室都可以用ipv6来mount我家里的nfs。  
:  
: 最后发现是那个空格惹的祸。  
: --  
:

发自「今日水木 on iOS」
--
FROM 123.172.50.*

愿赌服输而已。某个ipv6主机在网络上不一定是完全静默的，攻击者指定扫描范围，不一定需要干猜。抓抓包看看有啥活跃主机也可以。看一个种子下面挂了多少个ip，小学生拿来练练手也是可以。
【 在 yyff11 的大作中提到: 】
: 赞
: 【 在 leeyc 的大作中提到: 】
: :  
: ...................
--来自微水木3.5.2
--
FROM 14.25.27.*