ipv6 到底是没有端口映射和 DMZ 主机?还是说这功能不是天然就支持的
abcbuzhiming · 2023-10-28 21:12:25 +08:00 · 3105 次点击这是一个创建于 373 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近想搞家庭监控和 NAS ,确定自己的电信宽带有 ipv6 ,在线测试通过,然而奇怪的是,猫拿到的那个对外的 ipv6 地址,从外面是 ping 不通的。
费了一番劲进入猫的超级管理员,自己翻了一遍,发现即使是超管,也找不到 ipv6 防火墙设置,也就是没法关 ipv6 的防火墙了。
于是遵循 ipv4 时代留下的经验,首先试了一下 dmz ,不行,再次测试端口映射,还是不行。这个过程中我注意到不论 dmz 还是端口映射,都不支持 ipv6 的地址。所以我在想,难道 ipv6 的 dmz 和端口映射,和 ipv4 是不一样的?找了一下网上,发现众说纷纭,有人 ipv6 不需要 dmz 和端口映射。但是我就是没有找到:到底是 ipv6 就没有这个两个东西?还是说这两个东西是高级货,不是说支持 ipv4 版本的就天然支持 ipv6 的?
费了一番劲进入猫的超级管理员,自己翻了一遍,发现即使是超管,也找不到 ipv6 防火墙设置,也就是没法关 ipv6 的防火墙了。
于是遵循 ipv4 时代留下的经验,首先试了一下 dmz ,不行,再次测试端口映射,还是不行。这个过程中我注意到不论 dmz 还是端口映射,都不支持 ipv6 的地址。所以我在想,难道 ipv6 的 dmz 和端口映射,和 ipv4 是不一样的?找了一下网上,发现众说纷纭,有人 ipv6 不需要 dmz 和端口映射。但是我就是没有找到:到底是 ipv6 就没有这个两个东西?还是说这两个东西是高级货,不是说支持 ipv4 版本的就天然支持 ipv6 的?
 |
1
2kCS5c0b0ITXE5k2 2023-10-28 21:14:27 +08:00
IPv6 一般来说都不需要端口映射 和 DMZ
|
 |
2
yyzh 2023-10-28 21:15:54 +08:00 via Android
端口映射和 dmz 是内网才要 ipv6 没内网
|
 |
3
julyclyde 2023-10-28 21:22:26 +08:00
首先是不需要
但是居然真的没做出来也是很奇怪的事 |
 |
4
neos2014 2023-10-28 21:30:27 +08:00
我的移动猫虽然有 ipv6 防火墙,但是开关都没用,就是开死了的。
最后我换成路由器桥接拨号,路由器上的 v6 开关就生效了,然后外网可以链接本地设备,看来 IPv6 的确可以做到每粒沙子都分配一个真正的公网 IP |
 |
5
wangwaner 2023-10-28 21:34:38 +08:00 via iPhone
到光猫超级后台-安全-防火墙-勾选掉启用 ipv6session (如果有这个选项的话试试看?)
|
 |
6
ontry 2023-10-28 21:45:27 +08:00
不是光猫没有 IPV6 防火墙设置,是家宽猫没有,专线就有了,桥接就能解决的事干嘛去折腾一个猫
|
 |
7
vcn8yjOogEL 2023-10-28 21:58:28 +08:00
映射就是个转发功能,做肯定是能做出来的,但 IPv6 的核心目标就是无须 NAT ,所有设备都能直通公网,因此理论上来讲对什么映射是没有需求的
你的问题应该是连接被运营商设备的防火墙挡住了,如楼上所述改桥接即可,没必要在一个随时可被远程控制的设备上浪费时间 |
 |
8
DefoliationM 2023-10-28 22:07:59 +08:00
ipv6 只有公网 ip ,一般都是 isp 限制了,需要里面先向外面发个请求外面的才能连进来,可以使用比如 tailscale 和 zerotier 这种工具进行组网。
|
 |
9
cnbatch 2023-10-28 22:29:26 +08:00  3
1 、大多数光猫都有 IPv6 防火墙,默认开启,阻挡 IPv6 入站连接
1.1 、某些光猫的 IPv6 防火墙无法关闭 1.2 、换成支持关闭 IPv6 防火墙的光猫可以解决这个问题 1.3 、改桥接最好,路由器接管这一切 1.4 、除非是运营商在更前方主动丢弃入站连接,这就不是“修理”自家设备可以解决的事情了,只能运营商解决 2 、只要使用者愿意,IPv6 可以有端口映射(比如用手动使用 iptables 配置转发),只不过绝大多数情况下并不需要。都已经有公网 IP ,直接连过去就可以了。 3 、DMZ 分两种。 3.1 、家用路由器的那种“DMZ”,也就是所有端口默认映射到某台机器,在 IPv6 环境下并不需要。原因同上,直接连过去就可以了。 3.2 、真正的 DMZ ,也就是企业架构常用的那种 DMZ ,并非 IPv4 专属。不但 IPv4 可以用,IPv6 同样也可以用。 比如拿到了/60 的网段,可以分成 2 个/61 网段。DMZ 的做法可以是,第一个 /61 允许外界随意访问,所有对外服务部署到这里;第二个 /61 使用防火墙阻挡主动入站连接,只允许内部机器对外发起连接。 |
 |
10
luoshengdu 2023-10-28 23:33:33 +08:00 via iPhone
1 。IPv6 地址获取了即可被访问,你要访问哪个设备,就要看哪个设备地址,而不是看网关或者光猫的 v6 地址,不需要做映射这些配置!!
2 。 a ,光猫拨号的,管理页面,安全里面,可以关闭 IPv6 防火墙 or 防火墙(有些没有单独 v6 防火墙),关闭后,即可正常访问 b ,openwrt ,padanvan 等设备作为网关的,配置防火墙转发 or 关闭防火墙,内网的设备 ipv6 即可被正常访问 3 。检查需要被访问设备本身的防火墙,可以在局域网内访问其 IPv6 地址和公网访问对比测试 |
 |
11
NEPv5NA6R8R3Y11u 2023-10-28 23:55:43 +08:00
桥接
路由器或者电脑拨号就是,光猫防火墙基本上不给关的 |
 |
12
abcbuzhiming OP 谢谢各位,确认是光猫上的防火墙无法关闭,导致无法通过 ipv6 从外部进来。已经准备打客服改桥接模式了
|
 |
13
sky96111 2023-10-29 00:38:59 +08:00 via Android
@cnbatch 我想请教一下关于 IPv6 的 UPnP 的问题。虽然本质上 UPnP 也是创建映射,但还有一个自动打开防火墙的功能。
像 OpenWRT 这类固件默认会阻止所有的 IPv6 入站,而 qb 这类需要需要允许入站的软件,在 v4 上可以通过 UPnP 来开放一个高位端口映射。 为了自动化维护一个开放的端口,在 v6 上也应该使用 UPnP 吗? OP 的防火墙规则只允许指定 IP 而不能指定设备,在 v6 前缀变动时规则会失效。或者设置通信规则,允许指定端口所有 v6 转发,但这样感觉也不妥 |
 |
14
kingpo 2023-10-29 00:41:57 +08:00
关闭光猫和路由器防火墙,光猫网页不能关就进入 telnet 关。
我遇见过一种情况是,光猫关了防火墙,光猫拨号,网络有 ipv6 ,但经过下级路由器后就没 ipv6 了(路由器的 ipv6 开启的状态)。而改桥接后路由器拨号就有了。有点奇怪。试了两个设备两条宽带都是这种情况。 |
 |
15
JensenQian 2023-10-29 00:53:18 +08:00 via Android
我那台华为光猫得去改配置文件才可以关闭防火墙,不是在你网页设置里面相关就能关,建议直接改桥接
|
|
16
cnbatch 2023-10-29 01:08:31 +08:00
@sky96111 不清楚 OpenWRT 的设置,我很久没用过了。
像是 pfSense 、OpnSense 这类防火墙系统,都可以指定单独给某个 MAC 地址设置策略,不清楚 OpenWRT 能否根据 MAC 地址设置相关策略,也许可以看看设置页面是否有类似的配置 |
 |
17
hqzx21 2023-10-29 01:13:24 +08:00 via Android
光猫桥接,让路由器下发 ipv6 地址,找个 ipv6 测试网站测试下
|
 |
18
Tink 2023-10-29 16:23:39 +08:00
没必要做,所以就没做
|
 |
19
znsb 2023-10-29 16:32:50 +08:00 via Android
tplink 的路由器有 v6 DMZ 这个功能
|
 |
20
godall 2023-10-30 13:08:55 +08:00
不用 dmz 和端口转发,但是光猫和路由器都有 ipv6 防火墙,对于 openwrt 来说,必须设置防火墙策略(包括 icmp ,包括 icmp 转发,端口开放),不然还是进不来。
|
 |
21
peasant 2023-10-30 13:35:35 +08:00
上海联通给的光猫型号是 PT939E ,这个垃圾光猫就默认阻止 IPv6 ,并且关闭不了,哪怕 telnet 进去把 ip6tables 的规则全清了都任何反应,不管添加什么规则都不生效,只有改桥接才能正常从外面访问 IPv6 ,老家联通的烽火光猫就比较好弄了,telnet 进去执行一下 ip6tables -t filter -I FORWARD 1 -j ACCEPT 就能正常从外面访问内网的 IPv6 了。
|
Select Language