这是一个创建于 2245 天前的主题,其中的信息可能已经有所发展或是发生改变。
前段时间看到有帖子说成都电信开始分配 ipv6 地址了,于是昨天尝试了下。
把光猫从桥接改成路由,并且启用了 ipv4&ipv6,成功分配到一个 56 位的前缀。
然后今天在公司试了下(用手机的 4G,公司网还没有 ipv6 ),可以通过 ipv6 地址直接访问家里 PC 的远程桌面服务。
相当于原本在 NAT 之后的 PC、路由器、手机等设备会直接暴露在公网上了。
我知道 ipv6 也可以有 NAT 和防火墙,不过一般家庭用户用的就是运营商给的光猫和默认设置,应该是没有 NAT 和防火墙的吧?(我修改过配置,不知道默认设置是什么样的,有条件的可以测试下)
把光猫从桥接改成路由,并且启用了 ipv4&ipv6,成功分配到一个 56 位的前缀。
然后今天在公司试了下(用手机的 4G,公司网还没有 ipv6 ),可以通过 ipv6 地址直接访问家里 PC 的远程桌面服务。
相当于原本在 NAT 之后的 PC、路由器、手机等设备会直接暴露在公网上了。
我知道 ipv6 也可以有 NAT 和防火墙,不过一般家庭用户用的就是运营商给的光猫和默认设置,应该是没有 NAT 和防火墙的吧?(我修改过配置,不知道默认设置是什么样的,有条件的可以测试下)
 |
1
des 2018-09-29 18:53:41 +08:00 via Android
现在便宜的路由还不支持 v6 吧
|
 |
2
yexm0 2018-09-29 18:53:43 +08:00 via Android  37
给又不乐意,不给又骂。
|
 |
3
121121121 2018-09-29 18:55:07 +08:00 via Android
56k 猫时代一直都是公网 ip
|
 |
5
gcod 2018-09-29 18:56:42 +08:00
算是有利有弊吧,我感觉很方便
不过安全也不容忽视, 这个时候建议某些用户就不要裸奔了, 安装一些安全软件还是很有必要的. |
 |
6
huskar OP @des 一般都支持,支持 ipv6 又不需要什么额外的成本。而且一般用户不会自己桥接路由器,都是直接用的运营商给的光猫。
|
 |
7
ilunny 2018-09-29 18:59:15 +08:00 via Android
提醒下大家,让大家增强下安全意识还是很不错的。
|
 |
9
RobertYang 2018-09-29 19:00:29 +08:00 via Android
瘟都死防火墙应该都有吧。。。。
|
|
10
huskar OP @121121121 那时候个人的信息安全状况惨不忍睹,随便什么脚本小子就能入侵个人电脑。windows 自身的安全性是一个原因,公网 ip 也是一个很大的原因。
|
 |
11
Phariel 2018-09-29 19:02:28 +08:00 via iPhone
以后我感觉重防火墙的路由会大卖 商机!
|
|
13
huskar OP 总之是想提醒大家,不想或不会折腾网关防火墙的,目前还不适宜开启 ipv6,有安全风险。
感觉运行商在大规模启用 ipv6 前会有一定的措施,否则会直接暴露大量在内网里没有防护措施的设备。 |
 |
14
yinanc 2018-09-29 19:06:45 +08:00 via iPhone
@yexm0 这病毒和 ipv6 有什么关系?家庭用户运营商直接关了 135 端口所以不影响,教育网默认开放才能在内网传播的
|
 |
16
DCjanus 2018-09-29 19:10:29 +08:00 via Android
IPV4 的 IP 好枚举,IPV6 不太好枚举,其实安全性角度倒没那么大,当然,终究少了一层 NAT。
|
 |
17
cwbsw 2018-09-29 19:11:45 +08:00
会做出默认状态下转发所有 IPV6 流量这种事的厂家,他们造出来的路由器就算没有 IPV6,难道你就真敢用?
|
|
19
yexm0 2018-09-29 19:11:56 +08:00 via Android
@yinanc 所以这安全不安全跟 ipv6 有什么关系?你自己把防火墙关了,安全软件又不装,无论公网还是内网一样能被人攻击。
|
 |
21
hpeng 2018-09-29 19:18:42 +08:00 via iPhone
你说的对,一般路由都有做 wlan 入口的防火墙,没有的话就要小心了
|
 |
22
zyp0921 2018-09-29 19:21:05 +08:00
能直接连上还不好吗。
|
 |
23
cdwyd 2018-09-29 19:23:24 +08:00
插楼问一下:必须是光猫路由模式才能获取到 IPV6 吗?
|
 |
24
Neoth 2018-09-29 19:23:57 +08:00
楼主叙述的逻辑比较乱,推测可能是路由器 DMZ 开了。
深入问这个逻辑:你家里电脑网卡打开看一下,如果电脑也分了 IP v6,那么路由器是否也分了一个 v6 地址?如果电脑没分,其实应该就是 DMZ |
 |
25
lvybupt 2018-09-29 19:29:18 +08:00 2
目前影响不大,从茫茫多的 ipv6 地址里,找到一个能被攻击的地址本来就不容易。 打开防火墙还是必要的。一般用户基本上打开防火墙也就足够了。像远程登录、共享文件夹这种默认都是关闭的。
|
|
26
huskar OP @gcod ipv6 肯定是更方便了,而且这个问题
也不是 ipv6 的弊,只是 ipv4 的 nat 机制相当于提供了“默认“的防火墙,而 ipv6 目前却没有默认提供。这对于没有相关概念的普通用户是危险的。 |
 |
28
whatever93 2018-09-29 19:45:33 +08:00 via Android
@yexm0 给了 v6 不给解决方案的才是耍流氓
|
 |
29
olaloong 2018-09-29 19:49:20 +08:00 via Android
IPv6 地址不泄露的话相对来说比较安全,不过安全问题还是值得重视的,最近才突然发现江苏移动给了 ipv6,内网的文件共享,ftp,ssh 啥的全都暴露到 v6 公网去了,还好没被盯上,于是考虑再三还是做了 nat66,安全要紧。
|
 |
31
hullopanda 2018-09-29 19:53:26 +08:00
危险,黑掉光猫及路由器直接传进内网,毕竟默认密码多啊,而且光猫的漏洞好多,其实有人试验过,桥接 tr069 去扫电信内网 IP 段
|
|
33
cwbsw 2018-09-29 20:04:21 +08:00
其实真正的普通用户很安全,不安全的是那些自以为自己比微软更了解 Windows 的半桶水。恕我直言,这种人就欠被永恒之蓝教育。
|
 |
34
DesignerSkyline 2018-09-29 20:17:53 +08:00 via Android 1
Windows 防火墙默认连 ICMPv6-In 都是关掉的 233,不要想太多。
|
|
35
cwbsw 2018-09-29 20:46:20 +08:00
@huskar
如果你是怪电信光猫没有配好光猫的防火墙,那么请搞清楚,是你自己用超密进光猫开启的 IPV6,而不是电信正式商用后下发配置启用的。如果你不具备相关技能,那就不要瞎折腾。 |
|
37
cwbsw 2018-09-29 20:48:47 +08:00
@DesignerSkyline
是的,而且默认作用域是本地子网,光启用都还不够。 |
 |
38
zwzmzd 2018-09-29 20:58:20 +08:00 via iPhone
adsl 拨号上网时代就一直被攻击
|
 |
39
dxgfalcongbit 2018-09-29 21:19:15 +08:00
我家一直用的动态公网 IPV4
|
 |
40
robin001 2018-09-29 21:29:23 +08:00
NAT 用久了,突然曝露在公网环境下还不适应了~~呵呵
|
|
41
huskar OP @cwbsw 我确实是手动改的配置,因为之前一直用的是桥接没有收到下发的配置,这一点我最后一句话说明了。但是我看了光猫的所有设置,没有和防火墙相关的。不知道你能不能测试下下发的配置是什么情况?
还有真的拜托你看清别人的话再来杠。我没说过 windows 防火墙没有默认打开;没有任何一句表现出我比微软懂 windows(我从头到尾没提过 Windows,简直莫名其妙);我很明确说了不是默认配置,你还让我”搞清楚”什么? |
 |
42
MEISTING 2018-09-29 21:45:14 +08:00
windows 不是自带防火墙吗?
|
 |
43
ruimz 2018-09-29 21:45:33 +08:00 via Android 1
@yexm0 给你提个醒,你的三句回复与本贴无关,前后矛盾,自我攻击,逻辑混乱,这实在是为了喷而喷的
首先,楼主说宽带分配的 ipv6 默认可以从外部访问,并没有说如何在只知道 /64 的情况下找到这个可以访问的 ipv6,也没有说分配内网 ipv4 的任何问题。你这是无中生有并树靶子攻击,典型的喷子思维 其次,比特币病毒没有公网家庭用户感染病不能说明 |
|
44
ruimz 2018-09-29 21:47:26 +08:00 via Android
@ruimz 其次,比特币病毒没有公网家庭用户感染并不能说明公网安全,而家庭用户的内网也没有问题。与其他内网的区别在于运营商关闭了相关端口。你这是因果关系的原因不成立,逻辑混乱
|
 |
45
t6attack 2018-09-29 21:49:39 +08:00
人人都是运营商。人人掌握一个远程缓冲区溢出 0day。
|
 |
46
yetsky 2018-09-29 21:50:30 +08:00 1
V6IP 太多了。而且你用 V6 访问外网的时候是个临时 V6 IP,复制粘贴“临时 IP 虽然也是全局地址,但是它们的作用与前者不一样,它的作用是在用户对外发起连接的时候充当连接发起的 IPv6 地址,这一行为的目的在于保证主机在对外通信 时候的匿名性。这个地址是由路由前缀和由主机随机生成的接口标识组成的。这个地址是有有效期限制的,几个小时或者几天,在期间,系统一直以这个地址为主机 地址向外发出连接和请求。每一个时刻只有一个临时地址是有效的,在一个地址过期时会立刻生成一个新的地址作为新的临时地址。已经过期的地址不会立即被删 除,它会保存几个小时或者几天,此时过期的临时地址不能对外发起连接,但是可以接受外部发来的之前请求的信息。”
|
|
47
ruimz 2018-09-29 21:52:44 +08:00 via Android
@yexm0 最后,是你自己首先在 8 楼提出比特币病毒的,也就是楼主提出的 ipv6 的问题曲解成病毒与内外网的关系,并在他人指出后,反咬一口 这安全不安全跟 ipv6 有什么关系。殊不知这种安全的问题一来你所提出的道理不成立,而且这与本题的初衷已经原文无关。这种反驳别人反驳你的话,难道不是自打脸吗?
|
 |
48
oovveeaarr 2018-09-29 21:56:55 +08:00
不懂 LZ 的危险怎么说,IPv6 没办法扫描的呀。。。而且有隐私扩展,IP 随机分配就算了,还会隔一段时间自动变,同时主流操作系统,比如 Windows 自带的防火墙很棒呀,Linux 自带的防火墙就更舒服了。(好像除了 macOS 没有,或者说不能自己调以外)
|
|
49
yexm0 2018-09-29 21:57:47 +08:00
|
|
50
ruimz 2018-09-29 22:04:42 +08:00 via Android
@yexm0 事实上,是你首先提出比特币病毒的问题,并以此为借口说明公网内网的安全。这本来就是一个关于是否开启端口的问题。
楼主关闭了防火墙,能从外部访问自己的机器。但是通过运营商的网络,病毒病不能通过 143 端口感染你。 这说明运营商的默认措施可以保护那些没有网络经验的普通用户,而这正是楼主所要提醒的内容 |
 |
51
kernel 2018-09-29 22:14:56 +08:00
@121121121 56k 猫时代那时没人关心安全。 甚至我记得在 2002 年左右,我同学发给我一个 ip 段扫描器,扫出的 ip 有很大一部分(>10%)可以直接在 windows 资源管理器里打 \\ip\$c 直接打开对方的 C 盘, 那时的 windows xp 完全不设防的
|
|
52
yexm0 2018-09-29 22:15:58 +08:00
@ruimz 是否开启端口?你到底有没有认真看他说的什么?
引用"可以通过 ipv6 地址直接访问家里 PC 的远程桌面服务。 相当于原本在 NAT 之后的 PC、路由器、手机等设备会直接暴露在公网上了。 我知道 ipv6 也可以有 NAT 和防火墙,不过一般家庭用户用的就是运营商给的光猫和默认设置,应该是没有 NAT 和防火墙的吧?(我修改过配置,不知道默认设置是什么样的,有条件的可以测试下)" 这段楼主就是在说公网内网的事.不然你提 nat 干嘛?再搭配标题"目前 ipv6 对于一般家庭用户挺危险的"看楼主就是在试图说明以前有 nat 的 ipv4 内网不危险,安全.现在 ipv6 就危险了.你自己不做安全措施就说 ipv6 那还不让人反驳了?ipv4 原本就是跟 ipv6 一样全球可达的,难道你自己搞的 ipv4 nat 就不危险了? |
 |
53
lfzyx 2018-09-30 00:14:12 +08:00 2
这有什么提醒的?正常的互联网环境不就是这样的? 被圈养久了突然不适应自由的生活吧
|
 |
55
flyfishcn 2018-09-30 00:32:14 +08:00
@whatever93 r#28 设置防火墙本就不是运营商的义务。就像你不能想当然的因为小区有保安就不装门锁。然后呢被盗了还要去怪物业你为什么没有做好安全措施,为什么不提醒我装门锁。
|
|
57
huskar OP |
|
58
flyfishcn 2018-09-30 01:48:09 +08:00
真那么在意内网安全的话,我推荐楼主安装一下 Symantec 企业版 SEP 启用一下 SNAC。管理员统一推送防火墙策略,不启用防火墙将不能上网,这样就足够安全了。
|
 |
60
evilangel 2018-09-30 08:03:28 +08:00 3
人都是矛盾的,原先一直把你关在笼子里你习惯了有那层笼子的保护了,现在突然把你放出去反倒开始吐槽说把你置身于危险当中了,你要做的不是乞求别人的保护,而是自己应该主动学习防身技能保护自己。运营商本身的职责就只是给你提供上网服务而已,每个人安全意识不同各自设备的安全性也不同,人家没有义务来保护你的终端的安全。
|
 |
61
helllkz 2018-09-30 08:38:26 +08:00
@yetsky 虽然 windows 的临时地址是有有效期的,但是在有效期内,其实依然可以看成是个固定地址,毕竟也可以接受连接,而且我的 centos 好像就没有临时地址,估计没实现这个协议
|
 |
62
expy 2018-09-30 08:45:30 +08:00
普通家庭用户表示几年前的 50 元破路由器,估计都不支持 ipv6.
|
 |
63
fnscar 2018-09-30 08:46:49 +08:00
很多人还各种投诉,就为了要个公网 IP。
|
|
64
huskar OP @flyfishcn 在网关上用 iptables 阻止一切对内网的内连连接,只开放需要的端口,对我来说就足够了。你说的东西有什么优势?
|
|
66
huskar OP @fnscar 公网 ip 不难要吧,我装宽带时和师傅说了要公网 ip,他一个电话就给改了。
关键你要想清楚你是需要给网关公网 ip 还是给你所有的联网设备公网 ip。一般网关公网 ip+端口映射能满足绝大部分需求了。 |
|
67
huskar OP @evilangel 我不用祈求保护,我懂相关知识。你这些话对你的爸妈、爷爷奶奶说吧,让他们好好保护自己。
|
 |
69
wangfei324017 2018-09-30 10:27:42 +08:00
赶紧买网络安全公司的股票,比涨
|
 |
70
dikT 2018-09-30 11:19:55 +08:00
改了 ipv6 上不了网了, frp 断开,泪奔
|
|
71
huskar OP @lfzyx 「和全球其他几十亿人口一样正常的接入互联网」你指的是什么?如果是指 NAT,ipv4 的 NAT 在全球都是常态,并非只有中国有,这一点中国本来就是「正常」的。
如果你指的是 GFW 的话,无论 v4、v6 都有,和本帖说的内容有什么关系?想批判 GFW 去自己开个帖子好吧。 |
|
72
flyfishcn 2018-09-30 12:06:58 +08:00 via iPhone
@huskar 我说的东西就是给不懂设置防火墙的小白用的,管理员直接推送防火墙策略,不装他的防火墙就上不了网,外网不能出,也进不来。绝对的安全。
|
 |
73
Mavious 2018-09-30 12:08:45 +08:00
2012 年我想买一个原生支持 v6 的路由,结果没 800 块根本买不到。
现在不知道原生支持怎么样了。 支持 v6 的设备不普及,推了 v6 也用不来。 |
|
76
flyfishcn 2018-09-30 13:01:37 +08:00
@huskar 你担心别人不会设置防火墙不安全,推荐这个给你帮他设置有问题么?难道你发帖并不是想修复这种不安全的状态,只是为了批判一下公网用户不安全?
|
 |
77
tatsuteng 2018-09-30 13:02:19 +08:00 via iPhone 2
shodan 磨拳擦掌中
|
 |
79
Felldeadbird 2018-09-30 14:06:00 +08:00
便利和危险是相对的。这问题以后会更加惨烈呢。
所以靠硬件厂商去解决安全,真的不靠谱。这么说电信营运商默认不给 IPV4 公网是不是好事情呢?哈哈哈?? |
 |
80
Greenm 2018-09-30 14:07:28 +08:00
我看了这么多楼,各种说 IPv6 不能扫描的,也就只有 #77 楼的兄弟提到了 shodan。
在 shodan 的大规模扫描下,有啥发现不了的,我买了 shodan 会员,用起来非常好用。 我支持楼主,任何一项新技术带来便利的同时也不能忽视风险。多注意一点是没错的。 |
 |
81
liuxyon 2018-09-30 14:14:42 +08:00
我有 ipv6 防火墙
|
|
82
huskar OP @Felldeadbird ipv4 给个公网地址其实不怎么危险,因为设备都在 NAT 之后,不能被直接访问到,除非是作为网关的路由器有漏洞、后门或弱口令,不然内网还是安全的。但是 ipv6 不设防火墙的话,所有内部设备都能被外部访问到,就比较危险了。
|
 |
83
flynaj 2018-09-30 14:28:05 +08:00 via Android
以前有外网 IP 的时候也是这样的,可能长时间在内网里面一下子又网了还不习惯。IP V6 确实方便多了。安全问题的话现在支持 IP V6 的系统都默认有防火墙
|
 |
84
adminii 2018-09-30 14:28:47 +08:00
不用操心这个,想好这么去投资做网络安全这些企业吧。
|
|
85
flyfishcn 2018-09-30 14:36:47 +08:00 via iPhone
@huskar 当然是你的内网用户啊,你不是担心内网安全么?难道你家用要上硬防 /堡垒机 /网闸 /IPS ?
|
 |
86
easylee 2018-09-30 14:46:45 +08:00 via Android 3
@huskar 看了楼主所有的回复,楼主还是中肯和眼光长远的……相比之下某些人真的是……丑态尽出。
|
|
87
huskar OP @flyfishcn 你是怎么扯出来的「我的内网用户」的啊?我提过吗?
我第一条回复就说了我用 iptables 足以保护内网,问你你说的东西有没有优势。有优势你就说清楚,没有优势你就别强行扯淡了行吗?一会要我给「他」装,给我的「内网用户」装,哪来的这些人啊? |
|
88
flyfishcn 2018-09-30 15:07:37 +08:00
@huskar 你会但你的内网用户不会啊。如果人人都会,那么你是如何判断出来内网有风险的呢?如果你用户自己都不在意安全,你不觉得你操心多了么?如果你说的不是你自己的内网用户,给你一串…………你自己体会吧。
我说的东西优势就是不正确配置防火墙,检测到有风险就强制断网杜绝风险。 |
 |
92
wuxiao2522 2018-09-30 16:05:34 +08:00
@huskar 那叫工具小子,脚本小子算高一级的了!
|
|
93
cwbsw 2018-09-30 16:19:48 +08:00
一句老话用在这里还是挺适合的:
一群太监凑一起讨论性生活的危害…… |
 |
94
liaoyaoheng 2018-09-30 16:20:55 +08:00
?公网 ip 有什么优点?请教
|
|
96
huskar OP 1
@liaoyaoheng 最主要的就是可以自己在家搭建一些服务,例如 nas、vpn、rdp 等等。
|
|
97
liaoyaoheng 2018-09-30 17:14:55 +08:00 via iPhone
@huskar bt 下载好?
|
|
98
olaloong 2018-09-30 21:18:59 +08:00 via Android 1
@121121121 目前国内 ipv6 作用不大,若不是备用我就直接关了 v6 了
其实我实测 nat66 的效率还是可以的,这么说吧,我用教育网 ipv6 nat66 后的一台内网设备访问中国移动家宽 ipv6 nat66 后的一台内网设备上的 ssh,并以 ssh 隧道的形式进行代理上网可以获得< 18ms 延迟,> 50M 带宽(我家上行带宽)的表现,我觉得还是可以的 |
 |
99
oonnnoo 2018-10-01 01:21:04 +08:00
提醒啥?互联网的本质各个设备互联互通,你躲在一个内网中算什么互联网。
担心这个,还不如直接把网线剪了,更安全。 |
Select Language