- 主题:问一个ipv6访问内网的问题
ipv6的防火墙默认禁止外对内发起访问,不然你跟裸奔没什么区别
防火墙要么在你的光猫上,要么在运营商那
--
FROM 111.198.57.*
光猫开桥接,找个路由器拨号,路由器上防火墙配置一下试试
仔细看,禁用的是外对内发起的连接,内访问外没有任何问题
如果没有默认的防火墙,你的电脑连上网就跟裸奔没有区别,知道有多少自动扫描全网ip自动找漏洞挂马的robot吗?我挂在公网的机器每天被扫描的日志现在都懒得看了
【 在 xunery 的大作中提到: 】
: 光猫没看到可以设置,如果在运营商那边,是不是就可以宣布,不能外网直接访问光猫后的服务了?那公网不公网的ipv6一点用都没了吧
--
FROM 111.198.57.*
那毕竟比nat开销低,家用一般体会不到,连接量大了之后nat要吃掉大量资源去做conntrack
v6的防火墙就简单多了
【 在 chaobill 的大作中提到: 】
: 这就是所谓的修复了ipv6没nat的bug
--
FROM 111.198.57.*
移动不好说,移动一直很烂
联通电信只会封80 443那几个端口,其他的防火墙都在你本地
【 在 VincentGe 的大作中提到: 】
: 不要折腾了,不可能的
: 运营商哪里禁止了
:
: ...................
--
FROM 111.198.57.*
v6一样被扫,你开个试试就知道了
你的联网足迹有各种渠道泄露,根本不需要暴力穷举
【 在 tsa300 的大作中提到: 】
: 你说的那个扫描是 ipv4 ,这 thread 说的是 ipv6
: 国内几大运营商家宽给的ipv6前缀一般是 /56 或 /60, 按 /60 算,也就是给了 2^(128-60) = 2^68 (2的68次方) 个ip地址,每个设备获取的 ipv6地址不是按顺序排的,是 dhcpv6协议 在给定前缀的地址空间范围内随机分配的。如果是 /56 前缀,就是 2 ^(128 - 56 ) = 2 的 72 次方。
: 所以你试着扫描一个 2 的 68 次方的地址段,就知道这是不是裸奔了。
: ...................
--
FROM 111.198.57.*
【 在 tsa300 的大作中提到: 】
: 别现眼了,我天天开着n个也没人扫到过
: 操作系统对外发起v6请求的时候会自动申请一个临时v6地址来用。
: 你猜ipv6协议为什么让 dhcpv6协议在前缀范围内随机分配v6地址,以及对外发请求要使用另外随机分配的临时v6地址?
: ...................
你不被扫是因为运营商不给你固定前缀,你也不使用固定后缀,你甚至不一定把防火墙完全关掉了,你再看一下楼主的诉求是啥?
别把话题带歪了,放开公网访问不就是为了要个固定至少短期固定的地址方便访问?关了防火墙你起个固定v6地址试一下,别光说不练
--
FROM 111.198.57.*
你觉得随机地址能防扫描,但
1. 没有规则强制使用dhcpv6,大部分路由器开启v6之后默认都没开启dhcpv6,实际上你的客户端大概率是mac地址生成的固定后缀,mac生成的后缀就是可以被预测的,完全可以针对部分厂家的MAC地址段执行扫描
2. 哪怕你使用短期的固定后缀地址,你的上网足迹也会暴露,暴露了就会被记录,记录了就会被有针对地扫描,如果前缀轮换周期不够短呢?如果你开了v6的DDNS呢?
3. 你觉得设计默认的防火墙策略的是二逼是吧?
【 在 tsa300 的大作中提到: 】
: 别把你带进来这个话题带歪了,这个thread里是你说的ipv6怕被人扫描,而且“挂在公网的机器每天被扫描的日志现在都懒得看了"
: ipv6这协议什么都怕,就是不怕被二逼扫描
:
--
FROM 111.198.57.*
【 在 tsa300 的大作中提到: 】
: slaac生成的v6地址并不可被预测,二层的 mac 地址不会被三层传出去
: ipv6开防火墙并不二逼,但是认为ipv6怕被人扫描而且“挂在公网的机器每天被扫描的日志现在都懒得看了" 是二逼
:
我都懒得多搜几页,随便一个关键词
脸疼不疼?
--
FROM 111.198.57.*
这是什么精神胜利法吗?嘴这么硬的?
那行吧,你觉得赢了就是赢了,over
【 在 tsa300 的大作中提到: 】
: 我猜,看了这篇文章后脸疼的,是臆想ipv6“挂在公网的机器每天被扫描的日志现在都懒得看了" 的那位
:
--
FROM 111.198.57.*