月经贴....

[例如我们一个本来只是局域网可以访问的本地预览开发环境]
监听端口时只监听局域网 IP 呀，又不是非得监听 0.0.0.0 或::，之前因为 NAT 的存在让一些不规范的危险操作藏在遮羞布下，现在只不过是把遮羞布扯掉了而已

这很正常啊，NAT 用惯了，都忘了啥是正常网络了。把防火墙开开吧，配一下。

有的地方入站封了。

光猫：默认关闭防火墙
路由器：默认开启 ipv6 防火墙，部分路由器有关闭防火墙的选项

你不开 ipv6 防火墙的吗

有 SLAAC 和 临时 IPv6 地址了
如有更细致的需求应该寻求防火墙规则

ipv4 安全性问题(公网 ipv4)， 端口全都暴露在公网？

openwrt 反正默认是屏蔽入站

有没有一种可能，这才是互联网原本应有的样子：IP 唯一，端口开放，全球可见

有没有一种可能，系统里的防火墙本来就是干这个的

给你开 80 端口，你还不乐意了。。。

稍微捋一下安全性问题：
1. 公网 IPv4 最普遍的威胁是暴力扫段。IPv6 地址空间很大，SLAAC 地址很难从外部被扫出来。
2. 主动外访可以暴露本机 IP 地址，现代操作系统会生成一个临时 IPv6 用于外访。这种暴露不是持续的，范围也是有限的。
3. 如果有需要持续暴露 IP 的应用，可以利用虚拟化技术单独给它一个 IPv6 ，外部回访就不会威胁其他应用。t/877910

最后，IPv6 下本机的安全措施是最重要的。物联网设备不会没事去访问恶意网站，但用户日常使用的设备会。这些设备通常都有完善的防火墙机制，可以限定本机、本地子网、和公网的访问。个人认为，对于可外部访问的端口，应该基于“零信任”思想做好持续验证，而不是依赖网关提供安全性。一来威胁本来就容易通过内网蔓延，二来现在很多设备是移动的。习惯性把内网当成安全，可能只会导致翻车。

只能说明你的路由设备没有防火墙，一般都是默认开启的，很多光猫还找不到地方关闭

这不就是 IPv4 不够用之前的时代的情况吗，用防火墙呗。

@cev2

所以你觉得，公网 IPv4 被运营商搞成 NAT 反而是个好事？

@JamesR #3 认真测试过吗？

路由器的 v6 防火墙是默认开启的。且只对当前路由器有用。

路由器下的设备 v6 都是裸奔的。

https://v2ex.com/t/875570

IPv6 有一种地址叫做“隐私地址”，也叫做“临时地址”，本机应用主动访问其他网站时用的就是这个地址。

如果你用的是 Windows ，打开网卡的连接状态，再看看详细信息，就能看得到这种地址

@JamesR @docx 内网最大的意义是封装，很多设备就是不适合拥有公网地址。即使 ipv4 地址不缺，也是给你在网关上分配公网 IP ，内网暴露服务手动配置，这样做即使公网 IP/段变换，你的整个内网设备也不需要改变地址。当然 v6 下地址空间更多，每个人都能分配一个公网 IP 段，这样可以做 stateless prefix NAT 。直接给内网设备分配公网 IP 意味着一旦前缀变化，所有内网设备都需要变更 IP ，内网对外透明。dhcp-pd 这样的协议大部分应用都不支持，如 docker 、一些防火墙等，处理变更的前缀是很复杂的。

openwrt 默认配置是不可以外网访问内部的，建议路由器刷个 openwrt.

@Jirajine 如果希望端口只在本地网络互访，可以绑定本地链接 IPv6 地址，这个是相对稳定的。

楼主 用的是什么型号的光猫啊 ？ 去看看里面有没有 只打开某个端口的防火墙设置吧。

NAT 用惯了，就会忘记软件防火墙的用处是什么。所以为什么各大安全厂商（尤其是国外的厂商）都有自己的软件防火墙用来防入侵呢？

自己给出答案：
路由器、光猫、操作系统，都有一层防火墙，需要一个端口主动对外联系了，外界才可以对我发起连接。

例如我有公网 IPV6 地址"A"，我使用 A 地址的 1001 端口访问了网站 B ，网站 B 的地址是 B:80 ，那么 B:80 可以对我的 A:1001 发起连接，但是无法对我的其他端口发起连接。
上面说的是 UDP 的情况，如果是 TCP 客户端的 http 访问，那么连反向连接也是做不到的，因为本机只是 tcp connect 、而不是 listen 。

也就是无法实现类似使用 nmap 端口扫描的方法去扫描网站访客的电脑上开启了哪些服务

也无法使用访客的地址 A ，进行持续的 ping 测试来探测访客的联网、延迟情况。


具体这个防火墙是在哪一层，似乎是多层都有。并不会有问题。