V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  wazon  ›  全部回复第 8 页 / 共 17 页
回复总数  326
1  2  3  4  5  6  7  8  9  10 ... 17  
2020-05-07 23:26:49 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@wangbenjun5 这么说是因为追踪你的主机,倒数第二跳已经变为:
240e:82:2c82:fe56:39c2:a0c7:9dac:c124
一般而言,重启光猫会导致前缀发生改变。如果主机的显示没变,重启后应该能反映出来。
2020-05-07 23:23:01 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@wangbenjun5 你光猫的 IP 地址可能由于设置的改动已经发生变动
2020-05-07 23:11:53 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@wangbenjun5
你可能需要根据你的光猫型号,在网上寻找获取超级管理员权限的方法
2020-05-07 22:46:01 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@wangbenjun5
240e 开头的是公网 IP
fe80 开头的链接本地 IP,可以理解成 IPv4 的内网 IP

路由器管理界面不能被外网访问是应有的安全措施

通过路由追踪你的电脑,最接近终点的四跳是:
240e:0:8000:1::8005
240e:0:8000:1307::3
240e:82:2c82:42eb:f97e:7ab4:3757:e5db
*
可见 ICMPv6 抵达了路由器,但你的 Ubuntu 似乎未响应

问题排查建议:
1. 通过 http://www.test-ipv6.com/ 确认主机是否正确获得了 IPv6 地址
2. 看局域网内其他支持 IPv6 的设备能否以公网 IPv6 打开 80 和 8888 。如果不能,检查 web 服务配置是否正常(如是否绑定在本机 ip 或 0.0.0.0 、[::]),检查主机防火墙是否放行相关端口(如无安全顾虑,可以先全部关闭)
3. 如果局域网内访问正常但外网无法访问,检查路由和光猫的防火墙。如果光猫在路由模式,尝试将主机直接连接光猫。如果光猫在桥接模式用路由器拨号,则主要检查路由器的防火墙。( 80 可能会被运营商屏蔽,随意的高位端口一般不会)
2020-05-07 21:32:51 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@tia 选择一个主题贴把问题集中讲清楚,以后碰到近似的甩链接即可
2020-05-07 18:23:48 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@swiftg 默认禁止入站问题不大。真正的问题其实是很多路由器在操作界面根本没有 IPv6 防火墙的开关( t/660812 )
2020-05-07 17:47:18 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@zhigang1992
用现代 SLAAC 的机制分配的 IPv6 地址:
被暴力扫描端口的风险相比 IPv4 大大下降( IPv4 下是很常见的攻击形式,尤其是 22 、3389 )
对于你主动访问的网站,ISP 、网站会知道你的临时 IP 。在 IP 有效期内,如果网站是恶意的,不设防的端口会有风险。
对于完全自用的服务,ISP 会知道你设备的稳定 IP 。ISP 中有内鬼也是有可能的,不过相比恶意网站,出问题的可能性很小

如果不考虑 ISP 层面的风险,家用路由器可以不设 IPv6 防火墙。
分类来看:
物联网设备因为访问的对象固定、可信,难以被外人发现
个人计算机、NAS 等有现代操作系统的设备,一般有完善的防火墙和安全机制。只有主动访问的网站才知道你的 IP 。即使访问到恶意网站,机器自身的防火墙也能起到保护作用。如果有临时 IP 机制,那攻击的时间窗更是进一步被缩小。
机器内自用的端口,绑定 localhost 应该是常识
局域网内自用的端口,可以仅绑定 IPv4 (好像也可以用 IPv6 的链路本地地址)

而对于高于家用级的安全要求,还是在路由器防火墙上设置普遍禁止、个别允许的入站规则更为保险

总的来说:
对于普通用户,IPv6 的隐私扩展和操作系统自身的安全机制依然可以保证日常使用的安全性
对于专业用户,在设备之间相互连接、被外网访问方面有了更大的自主设置余地,也存在成熟的 IPv6 防火墙以适应更高的安全需要
当然,更大的自由度总是会为“作死行为”提供更多的空间,但这不会在总体上影响 IPv6 积极意义
2020-05-07 16:12:34 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
> 路由器是不是依然是一道防火墙?

IPv6 的路由器是真正的“路由”,不会像 NAT 一样,天生自带类似防火墙的特性
也就是说,只要运营商、路由器、设备自身的防火墙没有阻挡,正确配置 IPv6 的设备就是公网上的设备,可以在外部直接通过 IP 地址访问
在这种情况下,DMZ 、NAT-PMP 、UPnP 之类打洞操作的都不再被需要

不过需要指出的是:
个别光猫、一些国产路由器的防火墙默认禁止 IPv6 入站( https://www.v2ex.com/t/660812
IPv6 下也可以有 NAT,但这严重违背了 IPv6 的设计初衷,目前也缺乏相应的打洞技术支持
2020-05-07 15:37:56 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@zhigang1992
假设完全没有防火墙:
对于前缀,运营商提供的前缀池相比 IPv4 大很多,真正被分配使用的较为稀疏
对于子网,只要是 SLAAC 生成的 IPv6 地址,靠暴力扫描去找,在时间上是完全不现实的
即使是安全性最弱的 EUI-64 机制,地址空间也有 2^48 之大。需要很多先验信息才能可能让扫描在时间上可行(且不触发其他安全机制)。
而现在常用的带隐私扩展的 SLAAC,在 2^64 的空间内几乎是随机的

所以在这种情况下,暴露地址的风险主要在主动访问上。
例如你用 NAS 运行 bt,那其他用户会得知你 NAS 的 IP 。如果上面开了不设防的端口,可能就存在风险。但是你的局域网内还有那些其他设备,外人依旧是很难知道的
对于 Windows 而言,有一个临时地址的机制。你主动访问的网站会得知你的临时 IPv6 地址,但仅在在有效期内可以接受外界的主动连接请求
2020-05-07 15:18:53 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
@raysonx
让同一个 IPv6 地址跨地区跨网接入,其成本之高,确实与益处完全不对等
不过我还考虑过,如果不固定整个 IPv6 地址,而是固定后 64bit 的子网呢?这样好像还是有可操作性的

所以还要考虑另一个层面,那就是固定 IPv6 地址造成的隐私问题
现代操作系统 IPv6 基本不用 EUI-64,而是引入了一系列随机化技术( https://tools.ietf.org/html/rfc7721 ),很大程度上就是基于隐私和安全的考虑。运营商家庭业务动态分配的前缀,客观上也起到了这个作用
如果固定子网后缀,那企业可以很轻松地锁定设备和个人并进行追踪,这与我国实行后台实名制的初衷是违背的
我国的实名制是为了找到违法犯罪的嫌疑人,不是为了给企业借实名认证获得个人信息提供便利。公安部搞“公民网络电子身份标识”、“可信身份认证平台”之类的东西,也体现了这样的意图

所以说个人绑定 IPv6 地址的政策假设,在现行实名机制的基础上不能提供多少额外的助益,反而带来巨大的隐私风险,更不用说实现可行性上的种种问题了
2020-05-07 14:32:17 +08:00
回复了 wangbenjun5 创建的主题 宽带症候群 国内 ipv6 普及了,但是好像没卵用
民用的 IPv4 公网、IPv4 NAT 、IPv6 都是动态的,通过通信日志查人都需要借助运营商的记录
个人绑定 IP 不知道是哪里冒出来的消息,现在普遍使用的 SLAAC 隐私扩展等方案就是为了避免通过 IP 追踪到人和设备,执法机关也用不着这么死板的规定才能工作
@Coioidea IPv6 一般是省市级的 IP 池随机分配的,定位到区片是借助了其他信息
@fensou /60 前缀代表你有 2^68 个公网 IP 可供选择
@systemcall 动态前缀 对应 用户被识别的隐私问题,SLAAC 的隐私扩展 对应 设备被识别的隐私问题
@HaoranLi 浏览器有 Happy Eyeballs 机制,同时有 A 记录和 AAAA 记录的话,即使 IPv6 不通,一般也不会导致网页打不开
@Kiriya 我已知的网站都是根据 IPv4 定位,有时也可以定位到小区。不知道你是在哪个网站查的?
@Lentin
pps:
ping 一个 host 一般优先走 ipv6
ping 一个 IPv6 地址无需 -6
ipv6.baidu.com 没有 AAAA 记录
一般来说,如果光猫是路由模式,且保持局端下发的原始配置,用网线直连以默认设置自动配置网络的现代计算机,还是不通,那多半是运营商的问题
如果按你之前所述( https://www.v2ex.com/t/668320#r_8917139 )是运营商自己没有配置通的话,那就只能靠投诉了
@MoeMoesakura
NAT 同样会在公网上留下外部 IP+port 的记录。
运营商也会与分配动态公网 IP 一样,留下 NAT 映射关系的日志。
1  2  3  4  5  6  7  8  9  10 ... 17  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5731 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 18ms · UTC 03:01 · PVG 11:01 · LAX 19:01 · JFK 22:01
Developed with CodeLauncher
♥ Do have faith in what you're doing.