ipv6 到底是没有端口映射和 DMZ 主机？还是说这功能不是天然就支持的

最近想搞家庭监控和 NAS ，确定自己的电信宽带有 ipv6 ，在线测试通过，然而奇怪的是，猫拿到的那个对外的 ipv6 地址，从外面是 ping 不通的。

费了一番劲进入猫的超级管理员，自己翻了一遍，发现即使是超管，也找不到 ipv6 防火墙设置，也就是没法关 ipv6 的防火墙了。
于是遵循 ipv4 时代留下的经验，首先试了一下 dmz ，不行，再次测试端口映射，还是不行。这个过程中我注意到不论 dmz 还是端口映射，都不支持 ipv6 的地址。所以我在想，难道 ipv6 的 dmz 和端口映射，和 ipv4 是不一样的？找了一下网上，发现众说纷纭，有人 ipv6 不需要 dmz 和端口映射。但是我就是没有找到：到底是 ipv6 就没有这个两个东西？还是说这两个东西是高级货，不是说支持 ipv4 版本的就天然支持 ipv6 的？

emeab

193 天前

IPv6 一般来说都不需要端口映射和 DMZ

yyzh

193 天前

端口映射和 dmz 是内网才要 ipv6 没内网

julyclyde

193 天前

首先是不需要
但是居然真的没做出来也是很奇怪的事

neos2014

193 天前

我的移动猫虽然有 ipv6 防火墙，但是开关都没用，就是开死了的。
最后我换成路由器桥接拨号，路由器上的 v6 开关就生效了，然后外网可以链接本地设备，看来 IPv6 的确可以做到每粒沙子都分配一个真正的公网 IP

wangwaner

193 天前

到光猫超级后台-安全-防火墙-勾选掉启用 ipv6session （如果有这个选项的话试试看？）

ontry

193 天前

不是光猫没有 IPV6 防火墙设置，是家宽猫没有，专线就有了，桥接就能解决的事干嘛去折腾一个猫

vcn8yjOogEL

193 天前

映射就是个转发功能，做肯定是能做出来的，但 IPv6 的核心目标就是无须 NAT ，所有设备都能直通公网，因此理论上来讲对什么映射是没有需求的
你的问题应该是连接被运营商设备的防火墙挡住了，如楼上所述改桥接即可，没必要在一个随时可被远程控制的设备上浪费时间

DefoliationM

193 天前

ipv6 只有公网 ip ，一般都是 isp 限制了，需要里面先向外面发个请求外面的才能连进来，可以使用比如 tailscale 和 zerotier 这种工具进行组网。

cnbatch

193 天前

1 、大多数光猫都有 IPv6 防火墙，默认开启，阻挡 IPv6 入站连接
1.1 、某些光猫的 IPv6 防火墙无法关闭
1.2 、换成支持关闭 IPv6 防火墙的光猫可以解决这个问题
1.3 、改桥接最好，路由器接管这一切
1.4 、除非是运营商在更前方主动丢弃入站连接，这就不是“修理”自家设备可以解决的事情了，只能运营商解决

2 、只要使用者愿意，IPv6 可以有端口映射（比如用手动使用 iptables 配置转发），只不过绝大多数情况下并不需要。都已经有公网 IP ，直接连过去就可以了。

3 、DMZ 分两种。
3.1 、家用路由器的那种“DMZ”，也就是所有端口默认映射到某台机器，在 IPv6 环境下并不需要。原因同上，直接连过去就可以了。
3.2 、真正的 DMZ ，也就是企业架构常用的那种 DMZ ，并非 IPv4 专属。不但 IPv4 可以用，IPv6 同样也可以用。
比如拿到了/60 的网段，可以分成 2 个/61 网段。DMZ 的做法可以是，第一个 /61 允许外界随意访问，所有对外服务部署到这里；第二个 /61 使用防火墙阻挡主动入站连接，只允许内部机器对外发起连接。

luoshengdu

193 天前

1 。IPv6 地址获取了即可被访问，你要访问哪个设备，就要看哪个设备地址，而不是看网关或者光猫的 v6 地址，不需要做映射这些配置！！

2 。 a ，光猫拨号的，管理页面，安全里面，可以关闭 IPv6 防火墙 or 防火墙（有些没有单独 v6 防火墙），关闭后，即可正常访问
b ，openwrt ，padanvan 等设备作为网关的，配置防火墙转发 or 关闭防火墙，内网的设备 ipv6 即可被正常访问

3 。检查需要被访问设备本身的防火墙，可以在局域网内访问其 IPv6 地址和公网访问对比测试

Oohuo

193 天前

桥接
路由器或者电脑拨号就是，光猫防火墙基本上不给关的

abcbuzhiming

193 天前

谢谢各位，确认是光猫上的防火墙无法关闭，导致无法通过 ipv6 从外部进来。已经准备打客服改桥接模式了

sky96111

193 天前

@cnbatch 我想请教一下关于 IPv6 的 UPnP 的问题。虽然本质上 UPnP 也是创建映射，但还有一个自动打开防火墙的功能。
像 OpenWRT 这类固件默认会阻止所有的 IPv6 入站，而 qb 这类需要需要允许入站的软件，在 v4 上可以通过 UPnP 来开放一个高位端口映射。
为了自动化维护一个开放的端口，在 v6 上也应该使用 UPnP 吗？
OP 的防火墙规则只允许指定 IP 而不能指定设备，在 v6 前缀变动时规则会失效。或者设置通信规则，允许指定端口所有 v6 转发，但这样感觉也不妥

kingpo

193 天前

关闭光猫和路由器防火墙，光猫网页不能关就进入 telnet 关。

我遇见过一种情况是，光猫关了防火墙，光猫拨号，网络有 ipv6 ，但经过下级路由器后就没 ipv6 了（路由器的 ipv6 开启的状态）。而改桥接后路由器拨号就有了。有点奇怪。试了两个设备两条宽带都是这种情况。

JensenQian

193 天前

我那台华为光猫得去改配置文件才可以关闭防火墙，不是在你网页设置里面相关就能关，建议直接改桥接

cnbatch

193 天前

@sky96111 不清楚 OpenWRT 的设置，我很久没用过了。
像是 pfSense 、OpnSense 这类防火墙系统，都可以指定单独给某个 MAC 地址设置策略，不清楚 OpenWRT 能否根据 MAC 地址设置相关策略，也许可以看看设置页面是否有类似的配置

hqzx21

193 天前

光猫桥接，让路由器下发 ipv6 地址，找个 ipv6 测试网站测试下

Tink

192 天前

没必要做，所以就没做

znsb

192 天前

tplink 的路由器有 v6 DMZ 这个功能

godall

192 天前

不用 dmz 和端口转发，但是光猫和路由器都有 ipv6 防火墙，对于 openwrt 来说，必须设置防火墙策略（包括 icmp ，包括 icmp 转发，端口开放），不然还是进不来。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/986314

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.