IPV6 地址可以在单位内部单独分配?
有没有大神懂一点的,给个解释?谢谢!
1
x86 2023-09-12 13:00:47 +08:00
nat64 ?
|
2
lcdtyph 2023-09-12 13:08:35 +08:00 via iPhone
防火墙或者 nat6 呗
很多高校的全局 v6 也不能从外面访问,就是有防火墙 |
3
cq65617875 2023-09-12 13:09:08 +08:00
nat6 或者 pd
将进来的链接挡在防火墙就好了 |
4
deplivesb 2023-09-12 13:11:05 +08:00 17
有一种在 ipv4 时代就有能技术叫防火墙,能实现只出站不许入站。我想这项技术在 IPv6 时代应该没有被淘汰
|
5
codehz 2023-09-12 13:12:35 +08:00 via iPhone
就普通防火墙
v4 时代你也可以一台机器一个 ip ,只不过 ip 稀缺玩不了 |
6
spediacn 2023-09-12 13:31:41 +08:00 via iPhone
类似 fe 开头的 ipv6 吧?:)
|
7
asdgsdg98 2023-09-12 13:34:16 +08:00
防火墙,阻止入站
|
8
mantouboji 2023-09-12 13:34:33 +08:00
/ipv6 firewall filter
add action=accept chain=forward comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=forward comment="Allow Local " in-interface-list=!WAN add action=accept chain=forward comment=Ping protocol=icmpv6 add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\ icmpv6 add action=accept chain=input comment="accept OSPF" protocol=ospf add action=accept chain=input comment="accept anything from LAN" \ in-interface-list=!WAN add action=accept chain=forward comment="allow SSH,HTTPS,etc" dst-port=\ 22,443,465,587,993 in-interface-list=WAN protocol=tcp add action=accept chain=input comment=\ "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\ udp src-address=fe80::/10 add action=accept chain=input comment="Local Wireguard" dst-port=12345 \ in-interface=pppoe-out1 protocol=udp |
9
lanlandezei 2023-09-12 14:23:52 +08:00
你路由器不也有 IPV6 的防火墙开关
|
10
me1onsoda 2023-09-12 14:26:21 +08:00
不懂就问。
这有什么用?不是本来就有访问外网的能力? |
11
qwvy2g 2023-09-12 14:27:12 +08:00 via Android
在 ipv4 上,防火墙和 nat 行为上都可以拦截。防火墙就不用说了可以拦截外部端口主动访问,nat 行为里面包括 nat 映射和 nat 过滤,其中 nat 过滤就定义了外部访问数据包进入内网的处理方式。比如 eif 就规定了不管远程数据是否之前与本地内网 eim 映射端口客户端通信过,只要访问这个端口一律当作 eim 映射后与之通讯的客户端数据,很明显 nat1 不是很安全。
|
13
gdb OP |
14
qwvy2g 2023-09-12 14:34:07 +08:00 via Android
到 ipv6 上,这应该算是一种防火墙,工作原理如下:状态防火墙( stateful firewall) 会对入站流量进行检测,只有在最近一段时间内曾做过目的地址的 (ip, port) 发来的流量才会被接受。理论上 wireguard tailscale 这类组网软件应该就能绕过,但是我没 ipv6 ,没法试。
|
15
lightionight 2023-09-12 14:39:58 +08:00
@deplivesb 幽默 : )
|
16
Jirajine 2023-09-12 14:49:34 +08:00 via Android 1
这叫有状态防火墙,你用过的所有可以上网但开服务需要开放端口的机器全部都是这种防火墙。
当然这个禁止入站并不会破坏端到端特性,相关 p2p 、打洞等应用都可以轻松穿透。 |
17
Alwaysonline 2023-09-12 14:53:31 +08:00
企业的硬件防火墙或行为管理网关,都可以的。
|
19
dangyuluo 2023-09-12 15:06:04 +08:00
防火墙太简单了
|
20
lns103 2023-09-12 15:07:40 +08:00
就是防火墙,现在的光猫和路由器都自带这个功能
|
21
feaul 2023-09-12 15:10:51 +08:00 via Android
防火墙只允许 trust 到 untrust ,不允许 untrust 到 trust ?
|
22
fvladlpa 2023-09-12 15:44:31 +08:00 via Android
这就是用防火墙啊
|
23
qingshengwen 2023-09-12 15:46:50 +08:00
@me1onsoda #10 有没有可能是为了访问纯 v6 的网站或者服务
|
24
Marionic0723 2023-09-12 15:49:01 +08:00 via Android
防火墙或者是内网 v6+nat ,前者在网关上丢弃入站数据包就行了,小米路由器(家用)就这样,留了个 ping ,不许入只许出。
|
25
ternice 2023-09-12 16:09:07 +08:00
楼主应该补习一下小学二年级就知道 TCP 连接建立过程:IPA -->SYN --->IPB ...
那么只要入向的 IP 的 SYN 拦截可以做的(当然防火墙或路由器上有更加复杂的处理机制) |
26
xPKK1qofAr6RR09O 2023-09-12 16:17:45 +08:00
fe80 只能在同广播域下互通,不能路由
fd00::/8 只能在私网路由,不能到公网 |
27
busier 2023-09-12 17:50:13 +08:00
两种可能!
1 、NAT6 ,内部无公网 IPv6 ; 2 、防火墙(也可能是路由器内置),拒绝外部网络到内部网络方向的 NEW 链接状态,仅允许 RELATED,ESTABLISHED,UNTRACKED 链接状态。简单的说就是拒绝外网到内网方向的主动建立新链接,仅允许内网访问外网已存在链接返回的链接。 这类防火墙基础配置属于小学二年级内容,谈不上技术! |
28
mytsing520 2023-09-12 23:15:42 +08:00
就只是在防火墙上开了 SNAT 而已,没有开 DNAT
|
29
vibbow 2023-09-13 08:17:22 +08:00
就是普通的防火墙
|
30
deorth 2023-09-13 21:50:57 +08:00 via Android
什么单位,这么好
|
31
ner 2023-09-14 10:12:02 +08:00 via iPhone
就是路由器的防火墙 openwrt 设置禁止转发 ipv6 连接从 wan 到 lan 区域类似
|
32
kxy09 2023-09-14 18:42:48 +08:00
防火墙拒绝转发就行了,nat6 可能性极低
|
33
qbqbqbqb 2023-09-15 00:13:53 +08:00
这就是最普通的(不带 NAT 功能)的防火墙,正规的企业级网络设备都支持。
(反而是 NAT6 这种功能属于奇技淫巧,一般企业级都没有,只有 OpenWRT 这种支持) 你的电脑上的“Windows 防火墙”也能实现这个功能。 |
34
dream2cast 2023-09-15 09:57:05 +08:00
@spediacn fe 开头的应该是 Local-Link ,本地自行分配的应该是 fc 或者 fd 开头的
|
35
lxcopenwrt 2023-09-20 23:22:07 +08:00
有什么奇怪的,防火墙识别流量是内网还是外网主动发起的访问来做策略是基本要求吧,像移动的 4G/5G 核心网 IPv6 地址就是全部屏蔽来自外网的主动访问(包括 Ping )
|