- 主题:问一个ipv6访问内网的问题
光猫开桥接,找个路由器拨号,路由器上防火墙配置一下试试
仔细看,禁用的是外对内发起的连接,内访问外没有任何问题
如果没有默认的防火墙,你的电脑连上网就跟裸奔没有区别,知道有多少自动扫描全网ip自动找漏洞挂马的robot吗?我挂在公网的机器每天被扫描的日志现在都懒得看了
【 在 xunery 的大作中提到: 】
: 光猫没看到可以设置,如果在运营商那边,是不是就可以宣布,不能外网直接访问光猫后的服务了?那公网不公网的ipv6一点用都没了吧
--
FROM 111.198.57.*
不要折腾了,不可能的
运营商哪里禁止了
【 在 xunery 的大作中提到: 】
:
: 写了一个测试http服务程序,支持ipv6,在局域网访问是没有问题的
:
: 通过IP网站检测,本机的ipv6地址是和网站检测的一致,也就是本机有公网ipv6地址,http服务使用的自定义端口,非默认的80、443端口,可是使用手机走4g、5g网络就无法访问
:
#发自zSMTH@CDU.MP
--
FROM 113.132.91.*
这就是所谓的修复了ipv6没nat的bug
【 在 eggcar 的大作中提到: 】
: 光猫开桥接,找个路由器拨号,路由器上防火墙配置一下试试
: 仔细看,禁用的是外对内发起的连接,内访问外没有任何问题
: 如果没有默认的防火墙,你的电脑连上网就跟裸奔没有区别,知道有多少自动扫描全网ip自动找漏洞挂马的robot吗?我挂在公网的机器每天被扫描的日志现在都懒得看了
: ...................
--
FROM 112.66.17.*
那毕竟比nat开销低,家用一般体会不到,连接量大了之后nat要吃掉大量资源去做conntrack
v6的防火墙就简单多了
【 在 chaobill 的大作中提到: 】
: 这就是所谓的修复了ipv6没nat的bug
--
FROM 111.198.57.*
移动不好说,移动一直很烂
联通电信只会封80 443那几个端口,其他的防火墙都在你本地
【 在 VincentGe 的大作中提到: 】
: 不要折腾了,不可能的
: 运营商哪里禁止了
:
: ...................
--
FROM 111.198.57.*
你说的那个扫描是 ipv4 ,这 thread 说的是 ipv6
国内几大运营商家宽给的ipv6前缀一般是 /56 或 /60, 按 /60 算,也就是给了 2^(128-60) = 2^68 (2的68次方) 个ip地址,每个设备获取的 ipv6地址不是按顺序排的,是 dhcpv6协议 在给定前缀的地址空间范围内随机分配的。如果是 /56 前缀,就是 2 ^(128 - 56 ) = 2 的 72 次方。
所以你试着扫描一个 2 的 68 次方的地址段,就知道这是不是裸奔了。
正常来说,就算你知道了前缀,扫描到你逝世,都没找到第一个可连通的设备。
【 在 eggcar 的大作中提到: 】
: 光猫开桥接,找个路由器拨号,路由器上防火墙配置一下试试
: 仔细看,禁用的是外对内发起的连接,内访问外没有任何问题
: 如果没有默认的防火墙,你的电脑连上网就跟裸奔没有区别,知道有多少自动扫描全网ip自动找漏洞挂马的robot吗?我挂在公网的机器每天被扫描的日志现在都懒得看了
: ...................
--
FROM 123.125.204.*
v6一样被扫,你开个试试就知道了
你的联网足迹有各种渠道泄露,根本不需要暴力穷举
【 在 tsa300 的大作中提到: 】
: 你说的那个扫描是 ipv4 ,这 thread 说的是 ipv6
: 国内几大运营商家宽给的ipv6前缀一般是 /56 或 /60, 按 /60 算,也就是给了 2^(128-60) = 2^68 (2的68次方) 个ip地址,每个设备获取的 ipv6地址不是按顺序排的,是 dhcpv6协议 在给定前缀的地址空间范围内随机分配的。如果是 /56 前缀,就是 2 ^(128 - 56 ) = 2 的 72 次方。
: 所以你试着扫描一个 2 的 68 次方的地址段,就知道这是不是裸奔了。
: ...................
--
FROM 111.198.57.*
别现眼了,我天天开着n个也没人扫到过
操作系统对外发起v6请求的时候会自动申请一个临时v6地址来用。
你猜ipv6协议为什么让 dhcpv6协议在前缀范围内随机分配v6地址,以及对外发请求要使用另外随机分配的临时v6地址?
就算一秒钟扫一个ip(对tcp 和udp来说,各有65535个端口,而且udp是不回syn包的,只能死等,也不可能设超时1秒这么短,但姑且算你1秒能扫完1个ip ), 2 的 68 次方要3900多亿年才能扫完。就算你有电、有耐心、有足够二逼的运营商允许你发那么多报文出去扫描,也没命扛到扫描成功的那天,再有几十亿年太阳就要膨胀成红巨星了。
实际上ipv6这个协议什么都怕,就是不怕被扫描。
【 在 eggcar 的大作中提到: 】
: v6一样被扫,你开个试试就知道了
: 你的联网足迹有各种渠道泄露,根本不需要暴力穷举
:
--
FROM 123.125.204.*
【 在 tsa300 的大作中提到: 】
: 别现眼了,我天天开着n个也没人扫到过
: 操作系统对外发起v6请求的时候会自动申请一个临时v6地址来用。
: 你猜ipv6协议为什么让 dhcpv6协议在前缀范围内随机分配v6地址,以及对外发请求要使用另外随机分配的临时v6地址?
: ...................
你不被扫是因为运营商不给你固定前缀,你也不使用固定后缀,你甚至不一定把防火墙完全关掉了,你再看一下楼主的诉求是啥?
别把话题带歪了,放开公网访问不就是为了要个固定至少短期固定的地址方便访问?关了防火墙你起个固定v6地址试一下,别光说不练
--
FROM 111.198.57.*
别把你带进来这个话题带歪了,这个thread里是你说的ipv6怕被人扫描,而且“挂在公网的机器每天被扫描的日志现在都懒得看了"
ipv6这协议什么都怕,就是不怕被二逼扫描
【 在 eggcar 的大作中提到: 】
:
: 你不被扫是因为运营商不给你固定前缀,你也不使用固定后缀,你甚至不一定把防火墙完全关掉了,你再看一下楼主的诉求是啥?
: 别把话题带歪了,放开公网访问不就是为了要个固定至少短期固定的地址方便访问?关了防火墙你起个固定v6地址试一下,别光说不练
--
FROM 123.125.204.*