V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cwbsw
V2EX  ›  宽带症候群

就算 IPV6 普及,端到端直连也难以实现

  •  
  •   cwbsw · 2019-04-28 11:13:13 +08:00 · 10973 次点击
    这是一个创建于 2020 天前的主题,其中的信息可能已经有所发展或是发生改变。
    虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。视 IPV6 防火墙安全策略的不同,还是会有类似锥形 NAT 对称 NAT 的访问限制。对于 P2P 应用来说,似乎也没比 IPV4 NAT 的场景好多少啊。
    36 条回复    2021-10-02 09:58:09 +08:00
    flyfishcn
        1
    flyfishcn  
       2019-04-28 13:06:12 +08:00
    你这么说搞得好像公网 IPv4 位于防火墙之后的节点就能直接访问?如果不是运营商封锁端口( 80,443 之类的),防火墙规则本来就该你(用户)自己去设置的。
    kyf0722
        2
    kyf0722  
       2019-04-28 13:26:28 +08:00 via iPhone
    我用的 openwrt 默认是外网无法直接访问内部 ipv6 主机的,可能是安全考虑,把防火墙放开就行了,我现在都可以 vnc 远程公司得 macOS
    Tianao
        3
    Tianao  
       2019-04-28 14:06:17 +08:00 via iPhone
    虽然有了全球可路由的 IP 地址,但是位于防火墙后的节点还是无法直接访问。

    所以防火墙规则为什么不放行?
    cwbsw
        4
    cwbsw  
    OP
       2019-04-28 15:10:07 +08:00
    @Tianao
    你每次开视频会议、玩联机游戏都先去配置防火墙吗?
    @kyf0722
    所以说点对点直连从来都是安全 /隐私问题,而不是网络层协议的问题。
    @flyfishcn
    很多时候防火墙你是无法控制的。
    amazingrise
        5
    amazingrise  
       2019-04-28 15:16:51 +08:00 via Android
    @cwbsw +1。前段时间鼓捣 ipv6 的时候发现了这一问题。防火墙并不是自己能配置得了的
    Tianao
        6
    Tianao  
       2019-04-28 16:06:58 +08:00
    @cwbsw 普通用户终端前的防火墙通常情况下应该只禁几个特殊端口,剩下的全开放啊。
    loveour
        7
    loveour  
       2019-04-28 16:14:49 +08:00
    是干脆没有公网地址实现直连难,还是有公网地址需要配置防火墙实现直连难?
    Cu635
        8
    Cu635  
       2019-04-28 16:15:23 +08:00
    @cwbsw
    “所以说点对点直连从来都是安全 /隐私问题,而不是网络层协议的问题。”
    在技术层面先决支持,然后才能谈安全、隐私问题。
    iwtbauh
        9
    iwtbauh  
       2019-04-28 16:36:23 +08:00 via Android   ❤️ 1
    所以才有 UPnP 之类的协议来让应用程序打开防火墙端口啊。

    你要是原来 ipv4 都是 cgn,你 UPnP 也是得不到什么改善的。
    ZRS
        10
    ZRS  
       2019-04-28 16:37:57 +08:00
    v4 有防火墙也不行啊...这和 v4v6 有关系吗
    duoguo
        11
    duoguo  
       2019-04-28 16:39:11 +08:00
    @kyf0722 我的 openwrt 默认是可以访问内网机器的,但是不能访问路由本身.要远程访问路由要设置防火墙
    https://i.loli.net/2019/04/28/5cc5658a9bcb4.jpg
    smallfount
        12
    smallfount  
       2019-04-28 16:47:00 +08:00
    额...这问题在现有的任何协议都无解吧...这根本不是协议本身做不到而是为了安全考虑不愿意啊。。。
    我以前遇到过用 v4 的公网段 IP 做内部使用地址段的,跟 10.0.0.0/8 混着用。。我一个 site 有 2 个完整的 c 段地址给客户端 DHCP 分配。。。这时候显然地址 pool 就不再是限制我直连的问题了。。。然而为啥我还要用 NAT 跟 FW 呢?不就是安全考虑嘛....
    mooncakejs
        13
    mooncakejs  
       2019-04-28 16:48:22 +08:00
    家用宽带 光猫会兼任防火墙的功能, 默认打开全部端口?嫌黑客的肉鸡不够多?
    est
        14
    est  
       2019-04-28 16:49:54 +08:00
    不是很懂 LZ 的思路,你希望有一个网络协议能突破任意防火墙???

    那防火墙干啥吃的。。。
    WordTian
        15
    WordTian  
       2019-04-28 16:52:25 +08:00 via Android
    一般防火墙都设在光猫上,如果想折腾 v6,至少就该把光猫上的防火墙策略整明白,不然造成安全风险,是得要自己负责的
    liuminghao233
        16
    liuminghao233  
       2019-04-28 16:55:40 +08:00 via iPhone
    你应该问这世界上为什么有防火墙
    cwbsw
        17
    cwbsw  
    OP
       2019-04-28 17:24:01 +08:00
    @iwtbauh
    电信 CGN 是锥形 NAT,借助 STUN 这类机制是可以直连的。将来防火墙后的 V6 节点也是需要 V6 版的 STUN 才能直连。
    cwbsw
        18
    cwbsw  
    OP
       2019-04-28 17:26:54 +08:00
    @est
    不是我希不希望,这是个客观事实啊。就算没有 NAT,要做点对点的 P2P 应用还是很蛋疼。
    est
        19
    est  
       2019-04-28 17:36:01 +08:00
    @cwbsw 网络协议设计者没法解决 middlebox 的问题。
    hanguofu
        20
    hanguofu  
       2019-04-28 17:39:00 +08:00 via Android
    我用的是移动的家庭宽带,请用这个防
    hanguofu
        21
    hanguofu  
       2019-04-28 17:40:02 +08:00 via Android
    火墙是在光猫里面设置吗?
    hanguofu
        22
    hanguofu  
       2019-04-28 17:41:08 +08:00 via Android
    光猫的登陆帐号和密码是?
    vibbow
        23
    vibbow  
       2019-04-28 17:48:24 +08:00
    ipv6 防火墙默认拦截的策略是没问题的
    要不然局域网内所有电脑就等于在互联网上端口大开了。

    至于用户会不会设置 ipv6 防火墙,那就是另外一回事了。

    可以等待路由器厂家后期优化对应的选项,比如说设置到具体 mac 地址的某端口打开 (mac 地址对应到所有 ip 地址)
    baicheng10
        24
    baicheng10  
       2019-04-28 17:54:08 +08:00
    虽然每个人都有 IP 了,但是因为黑暗森林法则,都不敢暴露自己?
    是这个意思吗 0-0 ?
    iwtbauh
        25
    iwtbauh  
       2019-04-28 18:15:48 +08:00 via Android
    @cwbsw #17

    那我可以设置防火墙直接允许进入流量啊对不对。v4 就算是对称圆锥 NAT 你也没有半个全球单播地址用,体验差别是很大的。

    更何况 ipv6 的好处可不止这一个。我更看重 ipv6 不会导致网站封 ip (比如邻居用刷票软件刷 12306 )被邻居误伤。
    jousca
        26
    jousca  
       2019-04-28 19:25:34 +08:00
    区别在于 IPV6 仅仅是因为防火墙保护,你可以让防火墙打开端口实现直连。

    但是 IPV4 NAT,你就是开了防火墙,也是直连不了的…… 区别就在这里。
    cwek
        27
    cwek  
       2019-04-28 20:55:57 +08:00
    只是现阶段的 IPv6 路由默认把转发限制打开了。当然标准制定者应该是假定了你不会开这玩意,或者知道怎样去开。
    ghjexxka
        28
    ghjexxka  
       2019-04-28 23:09:09 +08:00
    到底是难以实现,还是“懒得实现”
    acgzy
        29
    acgzy  
       2019-04-29 13:16:02 +08:00
    所以说这不是防火墙的问题吗?不关 ipv6 什么事啊
    dt743
        30
    dt743  
       2019-04-29 15:22:01 +08:00
    你是说 isp 层会对 v6 使用更严格的防火墙策略?目前使用还没发现就是了
    txydhr
        31
    txydhr  
       2019-04-29 16:48:40 +08:00
    个人持乐观态度,到时候新推出的路由器会出相应设置
    cwbsw
        32
    cwbsw  
    OP
       2019-04-30 14:20:43 +08:00
    @txydhr
    别的也不指望,只求 Linux 内核能实现 Full Cone 就知足了。
    helllkz
        33
    helllkz  
       2019-04-30 15:09:01 +08:00
    我觉得本质上来说,有个很大的不同
    对于 V4,防火墙或者路由器后面是内网地址了,所以路由器是个网关设备
    对于 V6,防火墙或者路由器后面是公网地址了,所以路由器是个路由设备
    而这两种不同对于 V4 来说,路由器上面是用的端口转发才能访问内部设备,做了 NAT,极端点如果 65535 个端口都做了转发,那后面再想访问就没办法了吧,而 V6 就不存在这个问题了
    wazon
        34
    wazon  
       2020-02-18 23:52:38 +08:00
    区别在于防火墙的控制权更多地掌握在用户的手中,从而大大提高了用户实现端到端直连的可能

    现在比较多见的是路由器对 v6 入站的阻挡( openwrt 的默认设定),光猫的阻挡也有报道但不是那么普遍

    对于有 P2P 类网络应用需求的用户而言:
    在 IPv4 环境下,仅有部分运营商在部分地区能向家宽用户提供公网 IP,很多人没有这个机会。而对于这一小部分用户,通常也都需要主动提出申请,最终实际获得的只是少数中的少数
    在 IPv6 环境下,都是公网 IP,大多数用户自行搞定路由器就行了。部分用户还要配置光猫。少数用户还需要设法联系电信或自行钻研以进行光猫的高级配置。最终无法实现的是少数中的少数

    总的来说,默认情况下 IPv6 入站开放的程度层次不齐,但显然要比 IPv4 好
    对于懂技术或有需求的用户,在 IPv6 下大多数人通过不是太多的努力,就能获得可响应入站请求的公网 IP,这相比 IPv4 的进步是很明显的
    而且对于 P2P 应用,只要有一方是响应入站的公网 IP,实现直连的难度就小很多

    顺便一提,由于主流操作系统基本都支持 SLAAC 下的 IPv6 隐私扩展标准,路由开放一切 v6 入站流量的风险也不是那么大
    cwbsw
        35
    cwbsw  
    OP
       2020-02-19 10:30:44 +08:00
    @wazon
    我之前的认识是错误的。IPv6 下 P2P 应用更容易穿透防火墙。
    dosgo
        36
    dosgo  
       2021-10-02 09:58:09 +08:00 via Android
    你们说修改防火墙的,目前中国电信的 4G 5G 网络在上级路由就有 ipv6 防火墙,用户无法控制,所有非主动发起的入站都拒绝。。公网 ip 没啥用了 ,打洞正在测试,联通的正常没墙。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3384 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:49 · PVG 18:49 · LAX 02:49 · JFK 05:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.