V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xmadao
V2EX  ›  宽带症候群

使用 ipv6 需要注意哪些事项,以保证网络设备的安全呢

  •  
  •   xmadao · 18 天前 · 1968 次点击
    过去没用 ipv6,在内网设备中开了很多服务并暴露出很多端口;
    不做映射的话,外网一般访问不聊,不用担心安全问题.
    现在新装了宽带,换了光猫支持 ipv6 了.我用手机网络都能通过 ipv6 临时 ip 访问到所有的内网服务.
    过去为了方便我直接将防火墙都关了,现在是否要一个个给端口加上入站规则.或者有其他什么好的建议呢
    请问大家是如何保护内网的服务的呢.
    21 条回复    2024-10-28 20:34:40 +08:00
    intoext
        1
    intoext  
       18 天前
    知道 ipv6 为啥要使用/64 作为最小子网吗,就是防止被扫描的。 你自己试试,如果你的 ipv6 地址不是自己知道,而是仅仅知道前 64 位,用软件扫描该子网 ipv6 地址时,假定软件可以牛到开 1000 线程,每线程 1s 可以扫描 1024 个地址。 你算算/64 的子网全扫描一遍,需要多少时间。
    JensenQian
        2
    JensenQian  
       18 天前
    搞个 vpn 回家
    完事
    yyzh
        3
    yyzh  
       18 天前 via Android
    @intoext dhcpv6 是 128
    busier
        4
    busier  
       18 天前
    路由器上配置个防火墙很困难么?

    将 WAN 到 LAN 的数据包,state 为 NEW 的全部 DROP ;
    将 WAN 到 LAN 的数据包,state 为 ESTABLISHED,RELATED,UNTRACKED 全部放行。

    即可禁止 WAN 设备主动向 LAN 设备发起连接,又不影响正常的 LAN 出站访问数据的返回响应。
    intoext
        5
    intoext  
       18 天前
    @yyzh …… 你没有明白我的意思。
    跟你普及一下。/32 是运营商能拿到的最小块。/48 是一般企业拿到的地址段。/56 是一般家庭拿到的最小块。/64 是个人子网的最小范围。
    你说的/128 只是表明获得到这个地址是确切的。
    可是从任何地方刻意暴露出去的。始终是比/64 还小的前缀段。
    前缀暴露的情况下,都扫描不到(扫描完需要几年的需要关注吗?)。
    你这/128 也无需担心。
    还不理解,再举个例子。你去取快递,没有任何安全措施。6 位数的快递码,也不担心别人用穷举给你试出来。才是 1/10^6 的概率。 而 ipv6 的地址,在不主动暴露的情况下,被扫描到的概率,是 1/2^64 。
    z7356995
        6
    z7356995  
       18 天前 via Android
    @intoext pt 下载和 bt 下截 peer 那里可以暴露 ipv6 全址,你用 ipv6 访问一个网站,你的 ipv6 可以被网站记录然后开始扫描端口
    vcn8yjOogEL
        7
    vcn8yjOogEL  
       18 天前
    防火墙全部挡掉, 用 VPN 进内网
    和 v4 一样的, 只不过 v4 的 nat 可以当半个防火墙用
    intoext
        8
    intoext  
       18 天前
    @z7356995 IPv6 如果没有考虑这一点还叫 v6 ? 你访问外部时的 ip 地址。与你回访的 IP 地址,根本不是一回事。 自己多留意一下。 啥叫临时地址,啥叫短租约地址,啥叫永久地址。
    ashong
        9
    ashong  
       18 天前 via iPhone
    现在 ipv6 速度怎么样?之前开了 v6 微信朋友圈和支付宝小程序很多打不开或者超时
    shenyuzhi
        10
    shenyuzhi  
       18 天前
    状态防火墙一定要开启
    外面连回家用 VPN
    alex8
        11
    alex8  
       18 天前 via iPhone
    路由开启 Nat6 就好了;你们那 ipv6 能被公网访问么,我们这给的 ipv6 只能上网,无法在公网上被访问
    shenguna
        12
    shenguna  
       18 天前
    @z7356995 ipv6 有临时地址,上网大部分都是临时地址,每次重新接入网络都随机变化的,隐私性很高
    sleepm
        13
    sleepm  
       18 天前
    opnsense 需要外部访问的加允许规则
    zleong
        14
    zleong  
       18 天前
    @busier 正解,通过防火墙关闭全锥网络。
    neroxps
        15
    neroxps  
       18 天前 via Android
    @intoext 意思是只要我门牌号足够多,我家就算不关门你也找不到路。

    我选择关门
    neroxps
        16
    neroxps  
       18 天前 via Android
    @ashong v2 搜索 ipv6 mss 黑洞 3 年前的老黄历
    bobryjosin
        17
    bobryjosin  
       18 天前 via Android
    @intoext bt 这类不一样,它是监听所有分配的 ipv6 地址,有些系统不做特殊设置临时地址也是可以入站的,等于自爆你家所有门牌号,都直接到你家门口了,验证也很简单,热门种子找个 peer 地址 ssh ,有些 22 端口都是开的,甚至 qbt 管理页面,还是要做好基本的防火墙配置的,扫描是很少,但不是没有。
    dude4
        18
    dude4  
       18 天前
    IPV6 地址多是一方面
    另一方面,目前国内普及 V6 吼了 N 年,实际上支持 V6 防火墙的光猫和路由屈指可数,大部分有防火墙的都是没开关的,直接全部挡住,小部分直接没 V6 防火墙裸奔……

    目前比较可靠的“家用”V6 防火墙,只能选自己刷官方 openwrt 稳定版的,可用,可自定义开口
    peasant
        19
    peasant  
       18 天前


    要用 IPv6 就不能用那种只有一个简单防火墙开关的路由器了。
    dalaoshu25
        20
    dalaoshu25  
       18 天前
    偶的 IPv6 防火墙配置供批判用。基本思路是只给内部网络开放有限的端口 i 转发。

    `
    /ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    /ipv6 firewall filter add action=drop chain=input comment="for fail2ban" src-address-list=bad_ipv6
    /ipv6 firewall filter add action=accept chain=forward comment="Allow all from LAN" in-interface-list=!WAN
    /ipv6 firewall filter add action=accept chain=forward comment=Ping protocol=icmpv6
    /ipv6 firewall filter add action=accept chain=input comment="Accept all from inner" in-interface-list=!WAN
    /ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
    /ipv6 firewall filter add action=accept chain=input comment="Allow SSH,HTTPS" dst-port=22,443 in-interface-list=WAN protocol=tcp
    /ipv6 firewall filter add action=accept chain=input comment="Inner WG" dst-port=16384 protocol=udp
    /ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
    /ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
    /ipv6 firewall filter add action=accept chain=input comment=OSPF protocol=ospf
    /ipv6 firewall filter add action=accept chain=forward comment="Allow SSH WWW HTTPS from WAN" dst-port=22,443 in-interface-list=WAN protocol=tcp
    /ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    /ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
    /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
    /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
    /ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
    /ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log-prefix=NotLAN
    `
    cwek
        21
    cwek  
       17 天前
    @z7356995
    前面说过,接入户下发至少/64 ,/64 的扫描强度不是开玩笑的。
    /128 是你接入 CPE 或者后接主路由用 DHCPv6 下发的结果,上游还是它收到的/64 下面。
    现在设备都有隐私扩展,对外访问都是用隐私地址发出,那个地址也是定期刷新更换的,如果担心的话,可以自己手工在/64 下面手动定义主机号。
    对于专门提供对外访问的,可以固定主机号后在接入 CPE 、后接主路由、本机用状态防火墙保护端口,定期更新安全补丁。
    或者再麻烦的话,内网只分发 ULA ,用 NAT 或者 NPT 加防火墙限定对外。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5496 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 55ms · UTC 06:02 · PVG 14:02 · LAX 22:02 · JFK 01:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.