1
villivateur 2021-09-18 23:49:31 +08:00 via Android
我最近也在考虑这个问题,但这个问题显然可以用防火墙解决,不管什么系统都有限制远端地址的功能,直接只允许同网段 ipv6,以及本地 ipv6 地址的连接即可
|
2
villivateur 2021-09-18 23:50:25 +08:00 via Android
楼主可以再多看看 ipv6 的原理什么的,思而不学则殆
|
3
learningman 2021-09-18 23:55:34 +08:00 via Android 1
就算是浏览器不支持的协议,也有可能构造 payload 的
|
4
acess OP @villivateur 啊,确实,IPv6 也有 link-local 地址……如果 Windows 默认没在规则里填写这个限制,自己去仔细设置一下其实就可以了。
|
5
swulling 2021-09-19 01:02:39 +08:00
1. 大部分路由器(已经支持 IPV6 )的情况下,都默认都屏蔽了 IPV6 的传入链接(但可能会允许 Ping,具体看策略),保留传出链接。此时就算给你分配的 IPV6 地址,你可以访问外部的 IPV6 网站,但是外部无法通过你的 IPV6 地址访问你。
2. 那么同时就可以在路由器上配置允许外部 IPV6 连入功能(已 ASUS 为例,叫 IPV6 防火墙) 3. 此外大部分服务只会监听 0.0.0.0,很少监听:: 结论:你考虑的事情卖路由器的已经考虑了。 |
6
swulling 2021-09-19 01:04:08 +08:00
基本上所有内网的安全标配就是屏蔽 IPV6 传入,这个也没啥困难的,加一个 ACL 就行~
|
7
swulling 2021-09-19 01:06:25 +08:00
4. ISP (联通、电信等)也有可能屏蔽部分端口的传入链接,防止你违反建站,如 80 443 等
|
8
ysc3839 2021-09-19 01:14:17 +08:00 via Android
我上的大学的 IPv6 网络就是禁止外部连入的。
|
9
jim9606 2021-09-19 01:27:29 +08:00
严格来说:是的。
例如在 IPv4 下,你一个服务监听 0.0.0.0,你可以认为只有在 NAT 网关后面的局域网主机可以访问你的服务,完全不设防也不用怎么担心被公网扫描器扫到。但如果你监听[::],那你得小心得知你的主机 ID (后 64 位)的扫描器。 不过 Windows 默认还是有防范的,自带的 SMB 等服务默认只开放给本地子网(也就是 /64 相同的源地址) 一刀切禁止传入 IPv6 的问题就等于是放弃 P2P 了,要知道这可是 IPv6 的重大优势。我这边教育网是只开放给教育网,也就是其他高校可以传入。 |
10
hs0000t 2021-09-19 01:40:19 +08:00 via Android
现在光猫都自带防火墙,默认禁止所有 ipv6 传入
|
11
tril 2021-09-19 01:48:16 +08:00
虽然你拿到的是公网 ip,但对你家的路由器上的防火墙来说,你还是内网,路由器会和 ipv4 一样屏蔽所有的入站连接,你需要开放端口到公网的话也需要和 ipv4 的端口转发一样去路由器手动配置,并不会直接开放到公网。这和云服务器的 web 防火墙是类似的。
如果考虑到防火墙设置错误的情况,防火墙允许了所有入站连接,那确实比较危险。nat 下被黑的一般是防火墙本身,linux 被黑没那么容易传染给 windows 设备,公网 ipv6 就直接黑你电脑了。 实在担心,可以考虑回归 nat,反正 ipv6 也有 fd00::/8 供你做内网地址,就是 nat66 的兼容性可能没那么好。 ipv6 也有 upnp 。 |
12
crab 2021-09-19 02:41:42 +08:00
家用如果经过路由器只要不开放在 DMZ 区域或者映射端口,不管 ipv4v6 默认不就是在内网,外网怎么扫啊。又不是几十年前电话线 adsl 猫拨号后直接接电脑在公网冲浪。
|
13
imdong 2021-09-19 03:07:10 +08:00 via iPhone
如果我没记错,你的每台设备都会被分配至少两个 v6 地址,一个是相对动态的,临时的地址,用于出口,每隔一段时间就会失效。
而同时,还有一个相对固定的地址,主要用于入站。 对于你访问的网站,获取到的是动态地址,这个地址是可以屏蔽所有主动请求的,甚至你可以每分钟,每秒钟,或者每个网站都使用不同的出口 v6 地址。 而对于你的服务,实际应该监听在固定 v6 上,防火墙应该允许到这个地址的部分访问。而这个地址,是不会被主动暴露的,被动扫描的话,那个效率你懂的。 |
14
jim9606 2021-09-19 06:02:33 +08:00
@tril 如果环境需要靠 NAT66 来提供安全性,那基本有条件上防火墙。至少目前市面上的路由器都是带防火墙的,有些甚至不能关。
而且好像也没多少路由实现了 UPnP WANIPv6FirewallControl 。 |
15
ihipop 2021-09-19 08:24:05 +08:00 via Android
正常的路由器 /电信光猫都有默认配置,只允许家庭内部 v6 主动发起对外链接
小白就用正常路由器就行了,爱折腾的朋友为自己的行为负责 |
16
delpo 2021-09-19 08:32:00 +08:00
我来说一个其他方面的风险
现在用移动网络也能获取 ipv6 地址了,而运营商的网关一般是没有防火墙阻止入站流量的,那我只要知道某人的 ipv6 地址,就可以无限发数据包,然后他的流量很快就会被耗尽,即使手机本身有防火墙也不能阻止流量的消耗 |
17
shynome 2021-09-19 08:43:14 +08:00 via Android
@delpo 你怕是不知道 2n**64n 有 22 位,比你的密码还要长,而且移动网络基本只存在 1 小时左右
|
18
delpo 2021-09-19 08:57:30 +08:00 2
|
19
cwbsw 2021-09-19 11:17:57 +08:00
如果说都是像(据说) OpenWrt 那样防火墙规则直接默认阻挡入站了,那如果一个 app 想像之前 UPnP 一样“开洞”要怎么办呢?是不是只能弹窗要求用户手动去设置?)
------------------------------- 不需要。参考 FaceTime,在服务器帮助下节点之间是能够直连的。因为 IPv4 是 NAT+防火墙,而 IPv6 只有防火墙,双方节点在服务器帮助下拿到对方地址和端口后只需同时向对方发包就能在防火墙建立状态。 |
20
v2tudnew 2021-09-19 11:31:14 +08:00
三个字:防火墙
|
23
pcslide 2021-09-19 12:48:32 +08:00
现在主流操作系统(包括手机),都支持随机生成 ipv6 后缀,哪有什么暴露问题?
|
24
codehz 2021-09-19 13:01:33 +08:00
没有 NAT 不代表就是直接暴露在公网,随机后缀只是为了隐私(避免猜测内网设备数量),防火墙和 NAT 完全是正交的关系。。。
|
25
codehz 2021-09-19 13:06:41 +08:00
关于家庭网络的防火墙问题,不应该由 windows 来解决,而应该是路由器上设置规则,毕竟关于哪些地址是外部的,只有路由器有这个能力去识别(当然你可以说按前缀,但是如果你的网络拓朴有两层呢,本地的防火墙设置得多复杂才能处理?
|
26
expy 2021-09-19 14:05:48 +08:00
ipv4 也有不搞 NAT,一台设备一个公网 IP 。安全问题让防火墙解决。
|
27
1arry 2021-09-19 18:18:36 +08:00
入侵 lz 的 IPv6 是有什么好处吗?如果没有,lz 的 IPV6 需要做做 SEO 才能不安全吧。
|
28
opengps 2021-09-19 20:34:18 +08:00
目前的自动扫描器破解工具还有很多不支持 ipv6 的,所以攻击相对没有那么多
|
29
exploreexe 2021-09-19 22:12:43 +08:00
要是为了安全,就别这么干呀。
非要把自己置于风险之下 干嘛呢 |
30
acess OP |
31
acess OP |
32
hs0000t 2021-09-20 11:28:02 +08:00 via Android
@acess 电信不熟,我家用的联通,要找客服发工单,等电话来以后要管理员密码,然后在 http://192.168.1.1/CU.html 里改防火墙配置,默认只有高中低三档,管理员进去能看到具体的条目
|
34
acess OP 我去……我稍微观察了一下,TP-Link 的这个防火墙……好像就是新加了一个开关,调到“高”其实就是帮你关掉虚拟服务器(端口映射)和 DMZ 主机这俩功能😂
实测这个“防火墙”调到“高”之后,(光猫桥接、路由器拨号的情况下) v6 入站连接依旧畅通无阻…… |
35
yanqiyu 2021-09-20 16:34:21 +08:00
我更加倾向于设备自己实现防火墙(主要是小米的老款路由器默认拦截所有 v6 入站不给关让我恼火了一段时间)
Windows 上不太了解,但是在我的 Linux 工作站上是按照 source ip 段设置了防火墙规则的,设备所在的 /64 段就是内部,其他的都是外部 对于手机上一开始就不应该监听任何端口 (刚才 nmap 了一下,确实没有监听端口,要是有的话建议和厂商对线或者卸载对应 APP ) 不过归根结底还是监听所有地址不可取,需要监听 [::] 的服务其实屈指可数,要是多到了难以管理的话我认为是一开始的设计问题。 |
36
zed1018 2021-09-20 20:55:52 +08:00
所以现在 Windows11 上无论在家还是在公司都推荐用“公开网络”配置。
|
38
acbot 2021-09-20 23:04:57 +08:00
v6 时代防火墙的重要性就很明显了。 除了路由器防火墙要设置正确外,也不能像以前 v4 时代那样关闭系统防火墙来使用了。如果你的系统打开了 SLAAC + stable-privacy (无状态模式 + 随机字符串 模式)一般你上网都是随机临时地址,加上如果是拨号上网的话前缀也会变 所以这个就是人家说不容易扫描的原因。其实最关键还是路由器防火墙要管理好
|
39
tankren 2021-10-19 14:02:45 +08:00
pfsense 防火墙好使
|
40
Teleport 2022-01-23 13:30:30 +08:00 via Android
试了一下家里路由器的防火墙,v6 也挡了
|