IPV6 安全性问题，端口全都暴露在公网？

刚才我在两个不同地区的光猫上上都开启了 ipv6 ，在 ipv6-test.com 上测试 ipv6 都正常了然后我发现，一台路由器下的电脑如果访问了一个 ipv6 的网站，那么网站就知道了它的 ipv6 地址，并且可以通过这个地址来主动访问它，例如我们一个本来只是局域网可以访问的本地预览开发环境，就可以被外网访问到了，这是不是代表开启 ipv6 有巨大的安全风险？本来在路由器 nat 庇护之下的机器和服务拿到 ipv6 地址后就暴漏在外网了？

cloudsigma2022

2022-09-24 15:08:29 +08:00

@JamesR #3 认真测试过吗？

路由器的 v6 防火墙是默认开启的。且只对当前路由器有用。

路由器下的设备 v6 都是裸奔的。

https://v2ex.com/t/875570

cnbatch

2022-09-24 16:21:14 +08:00

IPv6 有一种地址叫做“隐私地址”，也叫做“临时地址”，本机应用主动访问其他网站时用的就是这个地址。

如果你用的是 Windows ，打开网卡的连接状态，再看看详细信息，就能看得到这种地址

Jirajine

2022-09-24 16:44:55 +08:00

@JamesR @docx 内网最大的意义是封装，很多设备就是不适合拥有公网地址。即使 ipv4 地址不缺，也是给你在网关上分配公网 IP ，内网暴露服务手动配置，这样做即使公网 IP/段变换，你的整个内网设备也不需要改变地址。当然 v6 下地址空间更多，每个人都能分配一个公网 IP 段，这样可以做 stateless prefix NAT 。直接给内网设备分配公网 IP 意味着一旦前缀变化，所有内网设备都需要变更 IP ，内网对外透明。dhcp-pd 这样的协议大部分应用都不支持，如 docker 、一些防火墙等，处理变更的前缀是很复杂的。

flynaj

2022-09-25 00:50:45 +08:00

openwrt 默认配置是不可以外网访问内部的，建议路由器刷个 openwrt.

LnTrx

2022-09-25 01:47:53 +08:00

@Jirajine 如果希望端口只在本地网络互访，可以绑定本地链接 IPv6 地址，这个是相对稳定的。

hanguofu

2022-09-25 04:51:09 +08:00

楼主用的是什么型号的光猫啊？去看看里面有没有只打开某个端口的防火墙设置吧。

hez2010

2022-09-25 19:24:30 +08:00

NAT 用惯了，就会忘记软件防火墙的用处是什么。所以为什么各大安全厂商（尤其是国外的厂商）都有自己的软件防火墙用来防入侵呢？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/882576

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.