这是一个创建于 359 天前的主题,其中的信息可能已经有所发展或是发生改变。
过去没用 ipv6,在内网设备中开了很多服务并暴露出很多端口;
不做映射的话,外网一般访问不聊,不用担心安全问题.
现在新装了宽带,换了光猫支持 ipv6 了.我用手机网络都能通过 ipv6 临时 ip 访问到所有的内网服务.
过去为了方便我直接将防火墙都关了,现在是否要一个个给端口加上入站规则.或者有其他什么好的建议呢
请问大家是如何保护内网的服务的呢.
不做映射的话,外网一般访问不聊,不用担心安全问题.
现在新装了宽带,换了光猫支持 ipv6 了.我用手机网络都能通过 ipv6 临时 ip 访问到所有的内网服务.
过去为了方便我直接将防火墙都关了,现在是否要一个个给端口加上入站规则.或者有其他什么好的建议呢
请问大家是如何保护内网的服务的呢.
 | 1 intoext 359 天前 知道 ipv6 为啥要使用/64 作为最小子网吗,就是防止被扫描的。 你自己试试,如果你的 ipv6 地址不是自己知道,而是仅仅知道前 64 位,用软件扫描该子网 ipv6 地址时,假定软件可以牛到开 1000 线程,每线程 1s 可以扫描 1024 个地址。 你算算/64 的子网全扫描一遍,需要多少时间。 |
 | 2 JensenQian 359 天前 搞个 vpn 回家 完事 |
 | 4 busier 359 天前 路由器上配置个防火墙很困难么? 将 WAN 到 LAN 的数据包,state 为 NEW 的全部 DROP ; 将 WAN 到 LAN 的数据包,state 为 ESTABLISHED,RELATED,UNTRACKED 全部放行。 即可禁止 WAN 设备主动向 LAN 设备发起连接,又不影响正常的 LAN 出站访问数据的返回响应。 |
| 5 intoext 358 天前 @yyzh …… 你没有明白我的意思。 跟你普及一下。/32 是运营商能拿到的最小块。/48 是一般企业拿到的地址段。/56 是一般家庭拿到的最小块。/64 是个人子网的最小范围。 你说的/128 只是表明获得到这个地址是确切的。 可是从任何地方刻意暴露出去的。始终是比/64 还小的前缀段。 前缀暴露的情况下,都扫描不到(扫描完需要几年的需要关注吗?)。 你这/128 也无需担心。 还不理解,再举个例子。你去取快递,没有任何安全措施。6 位数的快递码,也不担心别人用穷举给你试出来。才是 1/10^6 的概率。 而 ipv6 的地址,在不主动暴露的情况下,被扫描到的概率,是 1/2^64 。 |
 | 6 z7356995 358 天前 via Android @intoext pt 下载和 bt 下截 peer 那里可以暴露 ipv6 全址,你用 ipv6 访问一个网站,你的 ipv6 可以被网站记录然后开始扫描端口 |
 | 7 vcn8yjOogEL 358 天前 防火墙全部挡掉, 用 VPN 进内网 和 v4 一样的, 只不过 v4 的 nat 可以当半个防火墙用 |
| 8 intoext 358 天前 @z7356995 IPv6 如果没有考虑这一点还叫 v6 ? 你访问外部时的 ip 地址。与你回访的 IP 地址,根本不是一回事。 自己多留意一下。 啥叫临时地址,啥叫短租约地址,啥叫永久地址。 |
 | 9 ashong 358 天前 via iPhone 现在 ipv6 速度怎么样?之前开了 v6 微信朋友圈和支付宝小程序很多打不开或者超时 |
 | 10 shenyuzhi 358 天前 状态防火墙一定要开启 外面连回家用 VPN |
 | 11 xaxb 358 天前 via iPhone 路由开启 Nat6 就好了;你们那 ipv6 能被公网访问么,我们这给的 ipv6 只能上网,无法在公网上被访问 |
 | 13 sleepm 358 天前 opnsense 需要外部访问的加允许规则 |
 | 17 bobryjosin 358 天前 via Android @intoext bt 这类不一样,它是监听所有分配的 ipv6 地址,有些系统不做特殊设置临时地址也是可以入站的,等于自爆你家所有门牌号,都直接到你家门口了,验证也很简单,热门种子找个 peer 地址 ssh ,有些 22 端口都是开的,甚至 qbt 管理页面,还是要做好基本的防火墙配置的,扫描是很少,但不是没有。  |
 | 18 dude4 358 天前 IPV6 地址多是一方面 另一方面,目前国内普及 V6 吼了 N 年,实际上支持 V6 防火墙的光猫和路由屈指可数,大部分有防火墙的都是没开关的,直接全部挡住,小部分直接没 V6 防火墙裸奔…… 目前比较可靠的“家用”V6 防火墙,只能选自己刷官方 openwrt 稳定版的,可用,可自定义开口 |
 | 19 peasant 358 天前  要用 IPv6 就不能用那种只有一个简单防火墙开关的路由器了。 |
 | 20 dalaoshu25 358 天前 偶的 IPv6 防火墙配置供批判用。基本思路是只给内部网络开放有限的端口 i 转发。 ` /ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked /ipv6 firewall filter add action=drop chain=input comment="for fail2ban" src-address-list=bad_ipv6 /ipv6 firewall filter add action=accept chain=forward comment="Allow all from LAN" in-interface-list=!WAN /ipv6 firewall filter add action=accept chain=forward comment=Ping protocol=icmpv6 /ipv6 firewall filter add action=accept chain=input comment="Accept all from inner" in-interface-list=!WAN /ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 /ipv6 firewall filter add action=accept chain=input comment="Allow SSH,HTTPS" dst-port=22,443 in-interface-list=WAN protocol=tcp /ipv6 firewall filter add action=accept chain=input comment="Inner WG" dst-port=16384 protocol=udp /ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp /ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 /ipv6 firewall filter add action=accept chain=input comment=OSPF protocol=ospf /ipv6 firewall filter add action=accept chain=forward comment="Allow SSH WWW HTTPS from WAN" dst-port=22,443 in-interface-list=WAN protocol=tcp /ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid /ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 /ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log-prefix=NotLAN ` |
Select Language