@wwbfred #29 本站基本上都是 OpenWRT 用户 哪怕不是 也有基本的防火墙意识 但对小白来说就不一定了
特别是在一些路由器厂商没做 /弱化这类选项的时候 就造成了连上来的所有终端都在 v6“裸奔”的问题
比如我碰到的路由器一大半全部放开 v6 开关也不够灵活 甚至于还有“科技博主”教怎么关防火墙访问 NAS
当然 如果终端可以做到可信的认证 只监听必要端口 不留后门 不支持有状态 DHCPv6 那还是很安全的（
@Bingchunmoli #30 感觉延时问题应该出自 Zerotier 上 试试其他方式回来 比如自建 OpenVPN
@Techzero #31 用了 OP 的基本都会防火墙配置 不管是 v4 还是 v6 但还会碰到光猫那端的问题
比如前面提到的 电信和联通的光猫路由模式下在网关就阻断 v6 传入 移动的光猫在路由模式默认放通
而改桥接 由自己负责防火墙 又会碰到现在的 iPOE 改造等各种问题 最近 v2 上井喷的帖子都是互相关联的
@LnTrx #32 是的 全放通和有状态 DHCPv6 不能并存 之外考虑针对特定个人的域名攻击 DDNS 可找前缀
所以我的观点反而是有状态 DHCPv6 应当仅限于 NAT6 的情况使用 或者有合理防火墙策略的时候使用
“每台机器甚至每个虚拟环境都可以有独立的 DDNS” 不太可行 物联网终端还没见过支持 DDNS 的
这就是提到的另一个问题 如果无状态 在常作 DDNS 的网关反而是看不到终端的 v6 的 仍然待解决
对于 UDP 打洞（ BT 下载类）需求 最好是全阻断+依赖特定终端去向网关申请 UPnP 来的更实在点
“终端的安全更要认真对待” 很赞同 但是防不胜防 现状只能说是都不值得信任 还是自己挨个检查
@MNIST #33 VLAN 方案就更复杂了 哪怕玩 OP 的估计都没几个人会去搞清楚 tagged/untagged 的区别
@hanguofu #35 路由模式的光猫 真的就是这样 所以最好改桥接 自己做防火墙 不能期待不可控的外部
@erfesq #36 差不多同方案 我是白威联通异地 v4 只映射了网页端口 开了 2FA 远程回家用 OVPN
@plasmetoz #37 家用你这套方案过于先进了 哈哈 本站回帖的安全意识都很棒 应该是都有研究了

@Bingchunmoli #22 是的 其实我们不是需要 ipv6 而只是需要“可达性”而已 这种可达性应该是白名单制的
@LnTrx #23 安全与便利是矛盾 考虑大部分互联网用户其实是小白 我观点和你相反 应该默认阻止所有入站
@LnTrx #24 想一下 v4 上有没有很多暴露的 smb 服务 就明白为啥不能冒 v6 这样的风险了 不能假设协议安全
我在这个月前和你说的做法完全一样 然后发现了不能开有状态 DHCPv6 市面上一些路由器实现有安全问题
但是 仅开启无状态 DHCPv6 的话 在路由器又不好拿终端的 v6 地址做 DDNS 了 反而 DDNS 要终端自己来做
这不是脱裤子放屁么 两权相较 我选择不信任终端 毕竟信任终端意味着信任无数的开发者能做好权衡
总之 终端安全和协议安全都不能保证 那我不如回退到 v4 时代 采取现有做法 仅在网关配置 vpn/转发
@deorth #26 缩短 v6 变化的有效期其实是一定的安全手段 但只要在使用就有安全与隐私问题
@qbqbqbqb #27 嗯 我的看法和你一致 需要额外连通性的终端请自行打洞 不要依赖上级设备的配置

@duke807 #19 不是的 手机接入的 v6 都有防火墙 都是不允许传入的 所以相对安全
@Bingchunmoli #20 大胆点 方便的文件共享只有 SMB 和 WebDAV 两个 但是最佳实践是暴露组网服务
即暴露 zerotier ovpn 之类的东西在外 其他均通过这里面走 安全系数会提升很多

@hcwhan #14 ipv6 下就应该是白名单模式 万物互联是不可能的 起码在终端安全很难保证的时候
本帖就是推荐这样的做法 仅开放网关的少量接口入站 尽可能使用虚拟局域网软件连回内网

关于通过 docker 跑的独立容器确实会拿到独立的 v6 可是现有软件系统仍然对此兼容性不好
截止今天 2022 年 8 月 27 日 流行 NAS 系统 UNRAID 最新版 6.10.3 下

docker 服务仅在 host 模式下可以同时利用宿主机的所有网络接口 这会暴露宿主机 ip
在 bridge 模式下 仅可选择一个 br 接口 也就是说多路宽带没办法在客户端合理利用

同时 对于 2.5G 的 8125B 网卡来说 最新系统带的驱动还有问题 论坛已经有两篇报道
表现为开启网卡的桥接模式后 出方向可以 2.4G 入方向只有 1.1G 附近带宽
因此最好的 NAS 直接跑 PT 下载机的方案居然是把物理网卡直通给 QBit （笑死

商用的收费 UNRAID 系统都如此 其他开源的还有国产杂牌设备简直不敢想 完全没在意过终端安全

@totoro625 #16 普通人不玩 PT 和 BT 确实会安全很多 但是不排除服务商作恶
或者某些作者在自己博客里加点料 对访问的所有 ip 反向扫一遍 不过能开浏览器的设备一般都安全
域名的解析杂乱确实构成了一定的安全屏障 这方面也是进一步攻击研究的点（真实地址按周期变化

后面这一步就很安全了 在 dns 上设置重写 不过有的运营商检测到 dns 会封宽带 还需要 DoH DoT

@bytesfold #17 在本站应该用 OP 的人占大多数 所以不乱搞都是安全的 可是家用的其他路由器不是

@Bingchunmoli #5 把 smb 等高危服务直接暴露公网很危险 尽量别这么干 很容易中招
@jobmailcn #7 是的 OP 防火墙策略默认就是阻止所有 wan 传入 这样很安全
@Kunmona #8 很多客户端不具有 ip6tables 的可配置功能 还是依赖家庭网关统一防火墙
@ltkun #9 你没理解本帖 家庭宽带几天变 ip 但你只要 bt 在线就不需要扫描成本 你主动告诉 Tracker 了
换句话说 只要知道你的 v6 前缀 再加上你开了有状态 DHCPv6 只要扫几种常见路由器发的段即可
还有一种安全的方法依赖于终端安全 即监听端口的同时还监听特定域名 那种不在本帖讨论范围内
@szdosar #10 每行都是单独的一句话 而且按照段落组织了 可以试试打开阅读器模式观看
@jtshs256 #11 hhhh 实测华硕路由器也是这种配置方法 好像配一下之后所有 v6 的该端口都会开 迷惑
@sdk234 #12 是呀 帖中也说了这是在学校多人使用的需求 现在上班在家只需要考虑我的需求了

@heiher #2 +1 和你方案相同 要有人多做这方面的科普
得跟小白讲清楚这些基础的网络安全知识 不然真的都不安全

hhhh 对于运营商来说确实难做 默认设置怎么都要得罪一部分用户
而且这种高级选项也不适合出现在基础设置里 我认为还是把用户当傻子最好
默认全部阻断 需要的自己折腾桥接 让猫就做猫 光电转换就完事

@mikewang #1 是的 然而现在很多猫直接给的 v6 就是裸奔的
还有人教怎么关闭猫的“ipv6 session 保护” 不科普危害简直离谱
市面上大约一半支持 v6 的硬路由默认阻止所有传入连接
（实测华硕的带这个功能 京东云出的路由器往下分 v6 也是裸奔
其余的么 只要服务商使坏 获取所有访问他的 v6 或者通过 bt 网络拿 v6
很容易就挑选 遍历全网的脆弱 v6 终端 加之 NAS 的普及
通过以上方法拿到的下载机地址大概率开了 smb 等高危服务 后果不堪设想

@cloudsigma2022 #17 可以看一下我的帖子
/t/875719
确实 SLAAC 都在裸奔 但是比起有状态还是安全一点

可以看一下我的帖子
/t/875719
本质上还是 ipv6 也需要防火墙啊 网关做好防火墙

可以看一下我的帖子
/t/875719
其实 nat4 藏匿了防火墙的地位和重要性
反而是万物互联的 v6 暴露了这个问题
终端安全才是应该看重的

说实话 bt 目前只用来找稀有资源了 如果很难下的话我会一直保种
其他的影视需求 还有 pt 满足不了的吗

一般来说都是事后监控
云桌面也是公司办公的未来趋势
说说我的见闻吧：
1. 提供统一采购的普通办公台式机（仅内网） + 笔记本电脑（仅外网）
2. 自己在京东自营上挑链接 发给财务让财务买
3. 提供瘦终端 + 云电脑
4. 自备电脑 给每个月补贴
各有各的优缺吧 前两天才看到吐槽第四种的 hhhh

@december #35 是的 C 面要换的话是一起换的 包括触控板 键盘 touchbar 电池 还有四个雷电口

基本用不到离线功能 当超大号加密储存盘用 各种东西随便放 时间序备份 N 份都没关系

别 平板亮屏一直开着 太烫了

@Zerek #15 V2 只有帖子里可以 Markdown 在评论里不行

PY 的标准库丰富程度至少是其他语言的 10 倍
大概是 Rust 的 100 倍
（接触 Rust 我才了解到还有语言 “生成随机数” 这个需求都需要外部依赖包的

我是 unraid 配的 10 代 其实有考虑过 12 代 想了想扣具问题不太适合长期使用 而且 nas 确实没必要太高性能追求

@wyfyw #11 碟式因为机身厚度太低 换不了剪刀脚的 换下去也只能还是碟式 优点是键程非常短 干脆利落
@lamls #14 最近一年我的电脑几乎每天都在干活 用的确实够狠 毕业了才去换的 明天就可以去取了
@geekding #15 hhhh 有 AC+ 敢不带保护膜不带壳用 很喜欢方方正正的轻薄手感 现在安卓大都是背面弧度 不舒服
@lEONiNv2 #18 走直营店会好 信服是授权店 估计他们喜欢只换键盘? 我和同学在直营店都可免费换整个 ABC 面
@raykle #21 键帽是随意换的 理论上影响到你的话 打油严重 /字符磨损 去天才吧都可以免费换键帽 别滥用售后
@bbbb #22 用到掉漆了还没出现连按 /粘滞么 那可能你的工作环境空气质量比较好 没啥灰尘之类的
@27149 #25 嗯 只要别滥用天才吧售后 对比友商三包只有一年 Apple 在一些型号上保四年确实可以好评了
@kop1989smurf #26 AC+条款写了是 188 更换屏幕 我付 188 它给我换了全新整机 提供了超额服务 好评没啥问题吧
@veve #27 换键帽确实能解决问题 针对新款碟式拆下来清灰就行 就是自己拆容易拆坏 有时间还是推荐让售后帮忙
@kaidong21 #28 你的除了键盘计划 还走了 2017 15 寸固态计划 不过换个固态确实是好的 macOS 对固态用太狠了
@ke2933 #30 去送修 政策上没有备用机 如果是换手机的话会提供一个 7p 这也没啥办法 备用电脑谁也提供不起
@Anybfans #31 2017 用到现在 估计中途应该换过一次了吧 里面的电池是按换过的时间再续保三年的 还可以换