使用 ipv6 需要注意哪些事项,以保证网络设备的安全呢

This topic created in 590 days ago, the information mentioned may be changed or developed.

过去没用 ipv6,在内网设备中开了很多服务并暴露出很多端口;
不做映射的话,外网一般访问不聊,不用担心安全问题.
现在新装了宽带,换了光猫支持 ipv6 了.我用手机网络都能通过 ipv6 临时 ip 访问到所有的内网服务.
过去为了方便我直接将防火墙都关了,现在是否要一个个给端口加上入站规则.或者有其他什么好的建议呢
请问大家是如何保护内网的服务的呢.

IPv6

安全

端口

21 replies • 2024-10-28 20:34:40 +08:00

intoext

Oct 27, 2024

知道 ipv6 为啥要使用/64 作为最小子网吗，就是防止被扫描的。你自己试试，如果你的 ipv6 地址不是自己知道，而是仅仅知道前 64 位，用软件扫描该子网 ipv6 地址时，假定软件可以牛到开 1000 线程，每线程 1s 可以扫描 1024 个地址。你算算/64 的子网全扫描一遍，需要多少时间。

JensenQian

Oct 27, 2024

搞个 vpn 回家
完事

yyzh

Oct 27, 2024 via Android

@intoext dhcpv6 是 128

busier

Oct 27, 2024

路由器上配置个防火墙很困难么？

将 WAN 到 LAN 的数据包，state 为 NEW 的全部 DROP ；
将 WAN 到 LAN 的数据包，state 为 ESTABLISHED,RELATED,UNTRACKED 全部放行。

即可禁止 WAN 设备主动向 LAN 设备发起连接，又不影响正常的 LAN 出站访问数据的返回响应。

intoext

Oct 27, 2024

@yyzh …… 你没有明白我的意思。
跟你普及一下。/32 是运营商能拿到的最小块。/48 是一般企业拿到的地址段。/56 是一般家庭拿到的最小块。/64 是个人子网的最小范围。
你说的/128 只是表明获得到这个地址是确切的。
可是从任何地方刻意暴露出去的。始终是比/64 还小的前缀段。
前缀暴露的情况下，都扫描不到（扫描完需要几年的需要关注吗？）。
你这/128 也无需担心。
还不理解，再举个例子。你去取快递，没有任何安全措施。6 位数的快递码，也不担心别人用穷举给你试出来。才是 1/10^6 的概率。而 ipv6 的地址，在不主动暴露的情况下，被扫描到的概率，是 1/2^64 。

z7356995

Oct 27, 2024 via Android

@intoext pt 下载和 bt 下截 peer 那里可以暴露 ipv6 全址，你用 ipv6 访问一个网站，你的 ipv6 可以被网站记录然后开始扫描端口

vcn8yjOogEL

Oct 27, 2024

防火墙全部挡掉, 用 VPN 进内网
和 v4 一样的, 只不过 v4 的 nat 可以当半个防火墙用

intoext

Oct 27, 2024

@z7356995 IPv6 如果没有考虑这一点还叫 v6 ？你访问外部时的 ip 地址。与你回访的 IP 地址，根本不是一回事。自己多留意一下。啥叫临时地址，啥叫短租约地址，啥叫永久地址。

ashong

Oct 27, 2024 via iPhone

现在 ipv6 速度怎么样？之前开了 v6 微信朋友圈和支付宝小程序很多打不开或者超时

shenyuzhi

Oct 27, 2024

状态防火墙一定要开启
外面连回家用 VPN

xaxb

Oct 27, 2024 via iPhone

路由开启 Nat6 就好了；你们那 ipv6 能被公网访问么，我们这给的 ipv6 只能上网，无法在公网上被访问

shenguna

Oct 27, 2024

@z7356995 ipv6 有临时地址，上网大部分都是临时地址，每次重新接入网络都随机变化的，隐私性很高

sleepm

Oct 27, 2024

opnsense 需要外部访问的加允许规则

zleong

Oct 28, 2024

@busier 正解，通过防火墙关闭全锥网络。

neroxps

Oct 28, 2024 via Android

@intoext 意思是只要我门牌号足够多，我家就算不关门你也找不到路。

我选择关门

neroxps

Oct 28, 2024 via Android

@ashong v2 搜索 ipv6 mss 黑洞 3 年前的老黄历

bobryjosin

Oct 28, 2024 via Android

@intoext bt 这类不一样，它是监听所有分配的 ipv6 地址，有些系统不做特殊设置临时地址也是可以入站的，等于自爆你家所有门牌号，都直接到你家门口了，验证也很简单，热门种子找个 peer 地址 ssh ，有些 22 端口都是开的，甚至 qbt 管理页面，还是要做好基本的防火墙配置的，扫描是很少，但不是没有。

dude4

Oct 28, 2024

IPV6 地址多是一方面
另一方面，目前国内普及 V6 吼了 N 年，实际上支持 V6 防火墙的光猫和路由屈指可数，大部分有防火墙的都是没开关的，直接全部挡住，小部分直接没 V6 防火墙裸奔……

目前比较可靠的“家用”V6 防火墙，只能选自己刷官方 openwrt 稳定版的，可用，可自定义开口

peasant

Oct 28, 2024

要用 IPv6 就不能用那种只有一个简单防火墙开关的路由器了。

dalaoshu25

Oct 28, 2024

偶的 IPv6 防火墙配置供批判用。基本思路是只给内部网络开放有限的端口 i 转发。

`
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=input comment="for fail2ban" src-address-list=bad_ipv6
/ipv6 firewall filter add action=accept chain=forward comment="Allow all from LAN" in-interface-list=!WAN
/ipv6 firewall filter add action=accept chain=forward comment=Ping protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="Accept all from inner" in-interface-list=!WAN
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="Allow SSH,HTTPS" dst-port=22,443 in-interface-list=WAN protocol=tcp
/ipv6 firewall filter add action=accept chain=input comment="Inner WG" dst-port=16384 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
/ipv6 firewall filter add action=accept chain=input comment=OSPF protocol=ospf
/ipv6 firewall filter add action=accept chain=forward comment="Allow SSH WWW HTTPS from WAN" dst-port=22,443 in-interface-list=WAN protocol=tcp
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log-prefix=NotLAN
`

cwek

Oct 28, 2024

@z7356995
前面说过，接入户下发至少/64 ，/64 的扫描强度不是开玩笑的。
/128 是你接入 CPE 或者后接主路由用 DHCPv6 下发的结果，上游还是它收到的/64 下面。
现在设备都有隐私扩展，对外访问都是用隐私地址发出，那个地址也是定期刷新更换的，如果担心的话，可以自己手工在/64 下面手动定义主机号。
对于专门提供对外访问的，可以固定主机号后在接入 CPE 、后接主路由、本机用状态防火墙保护端口，定期更新安全补丁。
或者再麻烦的话，内网只分发 ULA ，用 NAT 或者 NPT 加防火墙限定对外。