单位网管说,能够给办公室电脑分配 IPV6 的地址,但是说只能访问出去,外面互联网访问不了办公室电脑,请问这是什么技术?

241 天前
 gdb

IPV6 地址可以在单位内部单独分配?

有没有大神懂一点的,给个解释?谢谢!

4147 次点击
所在节点    宽带症候群
36 条回复
x86
241 天前
nat64 ?
lcdtyph
241 天前
防火墙或者 nat6 呗
很多高校的全局 v6 也不能从外面访问,就是有防火墙
cq65617875
241 天前
nat6 或者 pd
将进来的链接挡在防火墙就好了
deplivesb
241 天前
有一种在 ipv4 时代就有能技术叫防火墙,能实现只出站不许入站。我想这项技术在 IPv6 时代应该没有被淘汰
codehz
241 天前
就普通防火墙
v4 时代你也可以一台机器一个 ip ,只不过 ip 稀缺玩不了
spediacn
241 天前
类似 fe 开头的 ipv6 吧?:)
asdgsdg98
241 天前
防火墙,阻止入站
mantouboji
241 天前
/ipv6 firewall filter
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward comment="Allow Local " in-interface-list=!WAN
add action=accept chain=forward comment=Ping protocol=icmpv6
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="accept OSPF" protocol=ospf
add action=accept chain=input comment="accept anything from LAN" \
in-interface-list=!WAN
add action=accept chain=forward comment="allow SSH,HTTPS,etc" dst-port=\
22,443,465,587,993 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="Local Wireguard" dst-port=12345 \
in-interface=pppoe-out1 protocol=udp
lanlandezei
241 天前
你路由器不也有 IPV6 的防火墙开关
me1onsoda
241 天前
不懂就问。
这有什么用?不是本来就有访问外网的能力?
qwvy2g
241 天前
在 ipv4 上,防火墙和 nat 行为上都可以拦截。防火墙就不用说了可以拦截外部端口主动访问,nat 行为里面包括 nat 映射和 nat 过滤,其中 nat 过滤就定义了外部访问数据包进入内网的处理方式。比如 eif 就规定了不管远程数据是否之前与本地内网 eim 映射端口客户端通信过,只要访问这个端口一律当作 eim 映射后与之通讯的客户端数据,很明显 nat1 不是很安全。
MeteorVIP
241 天前
@deplivesb #4 哈哈哈,幽默
我也觉得是没退化干净的防火墙
gdb
241 天前
@spediacn 这个地址应该不能用的吧?这个地址应该是一个内网(内部局域网)的 IPV6 地址吧?


@me1onsoda 主要是家里宽带以后有可能会没有 IPV4 地址的风险,所以要提前把两边电脑都搞成 IPV6 互联,方便家里和单位的电脑互联。
qwvy2g
241 天前
到 ipv6 上,这应该算是一种防火墙,工作原理如下:状态防火墙( stateful firewall) 会对入站流量进行检测,只有在最近一段时间内曾做过目的地址的 (ip, port) 发来的流量才会被接受。理论上 wireguard tailscale 这类组网软件应该就能绕过,但是我没 ipv6 ,没法试。
lightionight
241 天前
@deplivesb 幽默 : )
Jirajine
241 天前
这叫有状态防火墙,你用过的所有可以上网但开服务需要开放端口的机器全部都是这种防火墙。
当然这个禁止入站并不会破坏端到端特性,相关 p2p 、打洞等应用都可以轻松穿透。
Alwaysonline
241 天前
企业的硬件防火墙或行为管理网关,都可以的。
lambdaq
241 天前
@qwvy2g 如果是 stateful 防火墙那么理论上是可以用 stateless 协议建立连接的。
dangyuluo
241 天前
防火墙太简单了
lns103
241 天前
就是防火墙,现在的光猫和路由器都自带这个功能

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/973002

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX