IPV6 安全性问题，端口全都暴露在公网？

月经贴....

[例如我们一个本来只是局域网可以访问的本地预览开发环境]
监听端口时只监听局域网 IP 呀，又不是非得监听 0.0.0.0 或::，之前因为 NAT 的存在让一些不规范的危险操作藏在遮羞布下，现在只不过是把遮羞布扯掉了而已

这很正常啊，NAT 用惯了，都忘了啥是正常网络了。把防火墙开开吧，配一下。

有的地方入站封了。

在 UniFi 的设置里默认是关的，需要单独在 firewall 规则打开。

光猫：默认关闭防火墙
路由器：默认开启 ipv6 防火墙，部分路由器有关闭防火墙的选项

你不开 ipv6 防火墙的吗

有 SLAAC 和 临时 IPv6 地址了
如有更细致的需求应该寻求防火墙规则

ipv4 安全性问题(公网 ipv4)， 端口全都暴露在公网？

openwrt 反正默认是屏蔽入站

有没有一种可能，这才是互联网原本应有的样子：IP 唯一，端口开放，全球可见

你防火墙在转发公网 IPv6 包到你主机的时候，可以过滤入站连接。
不要因为 NAT 不需要防火墙滤包就忘了防火墙是干嘛的了 = =

有没有一种可能，系统里的防火墙本来就是干这个的

给你开 80 端口，你还不乐意了。。。

稍微捋一下安全性问题：
1. 公网 IPv4 最普遍的威胁是暴力扫段。IPv6 地址空间很大，SLAAC 地址很难从外部被扫出来。
2. 主动外访可以暴露本机 IP 地址，现代操作系统会生成一个临时 IPv6 用于外访。这种暴露不是持续的，范围也是有限的。
3. 如果有需要持续暴露 IP 的应用，可以利用虚拟化技术单独给它一个 IPv6 ，外部回访就不会威胁其他应用。https://www.v2ex.com/t/877910

最后，IPv6 下本机的安全措施是最重要的。物联网设备不会没事去访问恶意网站，但用户日常使用的设备会。这些设备通常都有完善的防火墙机制，可以限定本机、本地子网、和公网的访问。个人认为，对于可外部访问的端口，应该基于“零信任”思想做好持续验证，而不是依赖网关提供安全性。一来威胁本来就容易通过内网蔓延，二来现在很多设备是移动的。习惯性把内网当成安全，可能只会导致翻车。

只能说明你的路由设备没有防火墙，一般都是默认开启的，很多光猫还找不到地方关闭

这不就是 IPv4 不够用之前的时代的情况吗，用防火墙呗。

@cev2😬

所以你觉得，公网 IPv4 被运营商搞成 NAT 反而是个好事？

请规范配置防火墙入站规则

@JamesR #3 认真测试过吗？

路由器的 v6 防火墙是默认开启的。且只对当前路由器有用。

路由器下的设备 v6 都是裸奔的。

https://v2ex.com/t/875570

IPv6 有一种地址叫做“隐私地址”，也叫做“临时地址”，本机应用主动访问其他网站时用的就是这个地址。

如果你用的是 Windows ，打开网卡的连接状态，再看看详细信息，就能看得到这种地址

@JamesR @docx 内网最大的意义是封装，很多设备就是不适合拥有公网地址。即使 ipv4 地址不缺，也是给你在网关上分配公网 IP ，内网暴露服务手动配置，这样做即使公网 IP/段变换，你的整个内网设备也不需要改变地址。当然 v6 下地址空间更多，每个人都能分配一个公网 IP 段，这样可以做 stateless prefix NAT 。直接给内网设备分配公网 IP 意味着一旦前缀变化，所有内网设备都需要变更 IP ，内网对外透明。dhcp-pd 这样的协议大部分应用都不支持，如 docker 、一些防火墙等，处理变更的前缀是很复杂的。

openwrt 默认配置是不可以外网访问内部的，建议路由器刷个 openwrt.

@Jirajine 如果希望端口只在本地网络互访，可以绑定本地链接 IPv6 地址，这个是相对稳定的。

楼主 用的是什么型号的光猫啊 ？ 去看看里面有没有 只打开某个端口的防火墙设置吧。

NAT 用惯了，就会忘记软件防火墙的用处是什么。所以为什么各大安全厂商（尤其是国外的厂商）都有自己的软件防火墙用来防入侵呢？