使用 ipv6 有什么风险？

ipv6 是直连，直通的，如果没有防火墙，可以说直接在公网上裸奔

至于 http/https ，80 和 443 端口家用宽带是不通的

1 和 2：不会。正常的路由器（比如 openwrt ）默认会禁用 IPv6 入站，包括设备自己也有防火墙，只要不手贱去关掉，默认都不会允许外部访问本机开的服务，甚至局域网内的设备都无法访问其他设备开的端口。

3 、相比 IPv4 也许是糟糕了一点，但你举的例子和 IPv6 没有关系。没接自己的路由器的情况下，光猫就是你家局域网的 DHCP 服务器和路由器，电信 app 就相当于远程管理光猫的软件，当然能看到下面有多少台设备。你用手机打开你自己的路由器后台，不也能看到路由器下面有几台设备？

adsl 时代几乎所有家宽都是公网 ip 直接到电脑，也没遇到过啥事。

http://[2409:8a5c:2e02:a844:3500:60da:c345:95c]
我个人觉得没有风险,大佬可以尝试攻破我的路由器,毕竟我除了路由器没有别的服务器.攻破了 at 我.
对了,我们村 ipv6 可以用 80 端口.大佬们试试能不能访问?我用流量可以访问.

不用常用端口问题不大吧

@MeteorVIP #4
这位来自广西桂林叠彩区中国移动 的网友对外提供这些服务
53/tcp domain Cloudflare public DNS
80/tcp http nginx 1.25.0
443/tcp ssl/http nginx 1.25.0

举报一下，你的宽带就得停了，openwrt 的登录爆破需要时间

你不能把 IPv4 的 NAT 当做防火墙啊，普通用户用默认配置别乱改，专业用户自己配置好防火墙

@MeteorVIP 我之前的 v6 也是 80 ，443 开放的，然后就 g 了，偷偷用吧，别声张

对于知道 ipv6 的人，风险比较大，因为他们会主动关闭防火墙，更容易被攻击

对于不知道 ipv6 的人，没任何大于 ipv4 的风险

@ppbaozi
>> adsl 时代几乎所有家宽都是公网 ip 直接到电脑，也没遇到过啥事。
那个时代的人单纯

@weiqk 用 ipv6 等于没有 nat 了。你可以理解为你所有的终端获取的都是公网 IP ，外面直接可以通过这个 ipv6 地址访问到你终端设备。当然你可以在你的网关上做安全策略或者 ACL ，防止未经授权的访问。

我的路由器默认是对 IPv6 （包括用 PD 送进 LAN 里的网段）启用防火墙规则的，需要对外放开啥端口要自己配置。当然，IPv4 也是默认启用，就像#7 说的，防火墙和 NAT 是两回事。

地址本身没有风险吧，风险在于打开的端口和运行的服务和相关的防火墙及系统的安全策略。

@MeteorVIP #4 打开了是 openwrt 的登录页面。 我在家里弄了个 nas ，也是用的 ipv6 。挺方便，不用像 ipv4 一样头疼公网 ip

https://www.v2ex.com/t/474318
https://www.v2ex.com/t/608821
类似的贴子还有许多，规则风险高于技术风险

你新增一个防火墙规则，阻止所有的入站请求，然后优先级设置为最高，就没有端口暴露了

v6 以后个人家宽可能也就只能拿来做 nas 的 webui 了

@renfei #6 哇，你是扫了这个 IP 开放的端口吗？应该还有别的开放端口。

@MeteorVIP 你再阴阳怪气的，我去 广西通信管理局 参你一本啊 🐶

@renfei #19 别别，除了 80 ，没想到 443 和 53 也能访问。我都不知道。所以 ipv6 对普通人来说是危险的

路由器感受到了来至"北京市 海淀区 联通"用户的关爱,负载从 0 飙升到 1.2

用 openvpn 或者 wireguard 回去就好，我跑了一些服务没啥事

电信光猫，超级管理账号密码进去，大概找了一下，没找到入站之类的选项。只好用软路由拨号

windows 有防火墙，linux 有防火墙，macos 有防火墙，freebsd 有防火墙，所以直连又如何？

@MeteorVIP
>> 路由器感受到了来至"北京市 海淀区 联通"用户的关爱,负载从 0 飙升到 1.2
所以 ipv6 对普通人来说是危险的

还有“上海市 崇明区 联通”网友的关爱 ai🥳

支持楼上反渗透一波

突然想到有些软件厂商检测到 http 探测会友情提醒不是 http ，这又是坑

不会的操作系统的 ipv6 地址不是一个点，而是一个段，操作系统默认会用一个临时 IP 点来访问外部服务，这个 IP 不能反向直接访问你局域网开机的服务，同时还有一个临时公网 IP 点可以对外提供公网直接访问服务，

@renfei 没有备案怎么可以开启出来 80 服务，Web 服务可以用域名判断隐藏，怎么点的 9 没有备案

你连电信光猫上网，那你的电信光猫不就是充当家用路由器的角色了么，当然能看到你有几台设备上网，跟 ipv6 有啥关系？

@ppbaozi 还记得熊猫烧香不

最大风险是 ipv6 时能用时不能用

@dode 怎么不能，只要你监听了::，那就能被反向访问。
以 ipv6 地址的复杂性再加上动态前缀，指定地址监听是很麻烦的事。

风险当然是绕美、绕欧啦

在电信 app 上看到我机器时用的是 ipv4 ，光猫上能看到我信息很正常，但 app 上能看到说明电信在收集我个人信息，这让我感觉到很害怕？？？？？？

你用的宽带账号他们不就是联网的嘛 你怕啥。。。。。

@tril 用的 linksys 路由，看到里面有 IPv6 SPI firewall protection 打开着。想问下大佬，这是不是意味着路由器上已经打开着对于 ipv6 的防火墙了？

@yzc27 没用过 Linksys 的设备，不过从官方的支持文档来看，是的，这就是 Linksys 设备的防火墙。

楼主这么害怕的话那就让你多害怕一点，很多家用路由器和网管交换机都可以在 app 上管理以及查看设备连接情况，和电信的 APP 一样的道理。运营商的 APP 里甚至可以自助查询你在几点到几点使用流量访问了哪个网站。以上功能均不需要 IPv6 支持。^_^

你都在大陆了 还有什么好矫情的 正常用就是了！

安全问题，不论是操作系统还是运营商早就考虑过了，在这个层面根本不需要你担心，比如：有风险的端口，协议运营商就给你封了，操作系统都带防火墙基本的安全防护都没有问题，隐私扩展也是打开的等等！ 大多数安全问题是除在了用户自身这个层面，比如：无脑直接关闭系统防火墙，无脑开放端口，无脑安装了带木马的程序等！端口开放是否安全完全是你服务本身是否安全，是否有漏洞与端口开放本身没有多大关系。

至于运营商获取用户内网设备信息这个是基操，与是否 v6 没有关系。

有点好奇啊，我记得之前看到说 IPv6 的地址也是会隔一段时间换一下？使用对外服务还需要 DDns ？这块我不是很清楚，不知道有没有大佬解释下。

@Frankcox 大部分是随 V4 重新拨号一起刷新的，现在 V4 公网 IP 稀少，有些地方如果你享受 V4 公网，V4 地址重拨不会变，但是 V6 还没听说过不变的，毕竟分给你的 /64 段理论上都能分配几兆兆个地址了……

@dude4 谢谢，那我这样理解是不是现在即使关了防火墙也没法实现利用 IPv6 获取稳定的公网 IP （不考虑向运营商申请这种情况）？

@Frankcox
关闭系统保护 ipv6 地址功能，就可以直接使用一个相对固定的公网 IPv6 地址，
netsh int ipv6 set privacy state=disable

@Jirajine
这个是操作系统按算法提供的隐私服务，会定期切换 ip 保护隐私，可以关闭

[禁用临时 IPv6 地址 how to diable Temporary IPv6 Address]
https://www.51-n.com/t-4593-1-1.html

https://blog.csdn.net/sinat_20184565/article/details/114292301

[RFC 4864 《 IPv6 的本地网络保护》]
https://www.ipv6-cn.com/references/RFCs/RFC4864.html
一句话总结本 RFC：NAT 不是安全措施！ IPv4 + NAT 给你带来的好处，IPv6 环境下不仅能实现，而且效果更好更安全。

临时 IPv6 地址用于保护用户隐私，通常在启用 IPv6 后，会自动分配两个 IPv6 公网地址，一个临时 IPv6 地址，一个固定 IPv6 地址。IPv6 临时网址有效期较短，一定时间后会自动换成其他临时 IPv6 地址，而 IPv6 固定地址会保持不变，对于不同的运营商，有可能固定 IPv6 地址也会被收回重新分配。当使用 IPv6 连接外网时，暴露给公网的是 IPv6 地址是临时 IPv6 地址。设备不停变更临时 IPv6 地址可以有效防止外网攻击。

@dode 你没理解我在说什么。只要你暴露了监听::的服务，又没有专门配置防火墙，别管什么临时还是长期地址都能访问到。

以及 ipv4+nat 最大的好处是 stable address 和对外不透明（比如你的运营商紧禁止热点）。共享地址本身也有一定的隐私保护作用。

@Jirajine ...

在 IPv4 网络不要以为只有运营商能知道地址，一样可以全网都知道，哪怕没有公网 IP 。

如果关注过 V 站的这个节点的话，就该知道 PCDN 玩家一点都不少，他们照样可以在没有公网 IPv4 的情况下玩出花，通过 NAT1 打洞让用户连过来。

还有某些视频网站及其 App ，在检测到用户正在使用家宽时，直接把用户设备临时变成 PCDN：
/t/745365
/t/774680
有 NAT 都没用，厂商们偷偷地就把用户 IP 泄露出去了。要是厂商们愿意，还真能做到“全网都知道你的 IPv4 地址”。
于是在“全网都知道你的 IP 地址”这方面，IPv4 和 IPv6 扯平了。

在 IPv6 的情况下，各种设备的防火墙默认阻挡来自外部的主动入站连接，至少可以做到 NAT1 的效果（只有出过站的端口才全盘放行），严格的话可以做成 NAT3 的效果（只有自己连接过的机器才可以跟自己通信）。

为了保险起见，运营商们甚至早就在光猫那里开启了 IPv6 防火墙，不管你设备防火墙怎么设置，都一律阻止主动入站。
V 站就有现成案例：
/t/701004
/t/808068
/t/825486
既然那么多 V 站用户都注意到这种情况，那么应该是大多数光猫都已经这样配置了。
这么一操作，也就只有非小白的群体才会主动关掉 IPv6 防火墙。

至于政策风险什么的，无论 IPv4 还是 IPv6 都是一视同仁，实际上没区别。

@turan12 一个原版 xp+默认防火墙暴露在公网能中这毒吗？不能

我觉得风险比 ipv4 小
ipv6 有 临时 IPv6 地址
和你本机不一致

@dode 我老家的 ipv6 就开放的，之前开起来扫过一次。

@kuaner 加 1 我这里之前就是能用的快半年 低调点

@Frankcox 想啥呢，固定 IP 都是商宽标配，V4 家宽固定 IP 是地址不够而已，大部分地区就算有公网 V4 ，地址其实还是变动的，只是 IP 段就那几个而已
你需要的是 DDNS 解析。

@ppbaozi 当年都公网，可刷 q 币

v6 恐怖的其实是机顶盒电视机智能音箱啥的，没有任何防护措施的。

反而电脑要好点，默认开了个防火墙，入站协议默认都关了

@gearfox 扫 IP 刷钻

我来晚了，扫不到了

@tril 大佬，再想问下，假如路由器开了 ipv6 防火墙，那么是不是意味着这个路由器下面的设备都处于被它保护的状态？刚刚刷到 V2EX 之前有人说路由器有 ipv6 防火墙也只是保护路由器自身，它下面的设备还是“裸奔”。

@yzc27 得看具体的防火墙规则，禁止转发和禁止本机入站是不同的规则，以 iptables 为例，一个在 forward 链一个在 input 链。路由器一般会默认禁止主动入站访问，也就是保护了局域网里的所有设备。

@tril 补丁：路由器一般会默认禁止*所有*主动入站访问。包括转发和本机入站。