V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
abcbuzhiming
V2EX  ›  宽带症候群

ipv6 到底是没有端口映射和 DMZ 主机?还是说这功能不是天然就支持的

  •  
  •   abcbuzhiming · 2023-10-28 21:12:25 +08:00 · 3251 次点击
    这是一个创建于 398 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近想搞家庭监控和 NAS ,确定自己的电信宽带有 ipv6 ,在线测试通过,然而奇怪的是,猫拿到的那个对外的 ipv6 地址,从外面是 ping 不通的。

    费了一番劲进入猫的超级管理员,自己翻了一遍,发现即使是超管,也找不到 ipv6 防火墙设置,也就是没法关 ipv6 的防火墙了。
    于是遵循 ipv4 时代留下的经验,首先试了一下 dmz ,不行,再次测试端口映射,还是不行。这个过程中我注意到不论 dmz 还是端口映射,都不支持 ipv6 的地址。所以我在想,难道 ipv6 的 dmz 和端口映射,和 ipv4 是不一样的?找了一下网上,发现众说纷纭,有人 ipv6 不需要 dmz 和端口映射。但是我就是没有找到:到底是 ipv6 就没有这个两个东西?还是说这两个东西是高级货,不是说支持 ipv4 版本的就天然支持 ipv6 的?
    21 条回复    2023-10-30 13:35:35 +08:00
    2kCS5c0b0ITXE5k2
        1
    2kCS5c0b0ITXE5k2  
       2023-10-28 21:14:27 +08:00
    IPv6 一般来说都不需要端口映射 和 DMZ
    yyzh
        2
    yyzh  
       2023-10-28 21:15:54 +08:00 via Android
    端口映射和 dmz 是内网才要 ipv6 没内网
    julyclyde
        3
    julyclyde  
       2023-10-28 21:22:26 +08:00
    首先是不需要
    但是居然真的没做出来也是很奇怪的事
    neos2014
        4
    neos2014  
       2023-10-28 21:30:27 +08:00
    我的移动猫虽然有 ipv6 防火墙,但是开关都没用,就是开死了的。
    最后我换成路由器桥接拨号,路由器上的 v6 开关就生效了,然后外网可以链接本地设备,看来 IPv6 的确可以做到每粒沙子都分配一个真正的公网 IP
    wangwaner
        5
    wangwaner  
       2023-10-28 21:34:38 +08:00 via iPhone
    到光猫超级后台-安全-防火墙-勾选掉启用 ipv6session (如果有这个选项的话试试看?)
    ontry
        6
    ontry  
       2023-10-28 21:45:27 +08:00
    不是光猫没有 IPV6 防火墙设置,是家宽猫没有,专线就有了,桥接就能解决的事干嘛去折腾一个猫
    vcn8yjOogEL
        7
    vcn8yjOogEL  
       2023-10-28 21:58:28 +08:00
    映射就是个转发功能,做肯定是能做出来的,但 IPv6 的核心目标就是无须 NAT ,所有设备都能直通公网,因此理论上来讲对什么映射是没有需求的
    你的问题应该是连接被运营商设备的防火墙挡住了,如楼上所述改桥接即可,没必要在一个随时可被远程控制的设备上浪费时间
    DefoliationM
        8
    DefoliationM  
       2023-10-28 22:07:59 +08:00
    ipv6 只有公网 ip ,一般都是 isp 限制了,需要里面先向外面发个请求外面的才能连进来,可以使用比如 tailscale 和 zerotier 这种工具进行组网。
    cnbatch
        9
    cnbatch  
       2023-10-28 22:29:26 +08:00   ❤️ 3
    1 、大多数光猫都有 IPv6 防火墙,默认开启,阻挡 IPv6 入站连接
    1.1 、某些光猫的 IPv6 防火墙无法关闭
    1.2 、换成支持关闭 IPv6 防火墙的光猫可以解决这个问题
    1.3 、改桥接最好,路由器接管这一切
    1.4 、除非是运营商在更前方主动丢弃入站连接,这就不是“修理”自家设备可以解决的事情了,只能运营商解决

    2 、只要使用者愿意,IPv6 可以有端口映射(比如用手动使用 iptables 配置转发),只不过绝大多数情况下并不需要。都已经有公网 IP ,直接连过去就可以了。

    3 、DMZ 分两种。
    3.1 、家用路由器的那种“DMZ”,也就是所有端口默认映射到某台机器,在 IPv6 环境下并不需要。原因同上,直接连过去就可以了。
    3.2 、真正的 DMZ ,也就是企业架构常用的那种 DMZ ,并非 IPv4 专属。不但 IPv4 可以用,IPv6 同样也可以用。
    比如拿到了/60 的网段,可以分成 2 个/61 网段。DMZ 的做法可以是,第一个 /61 允许外界随意访问,所有对外服务部署到这里;第二个 /61 使用防火墙阻挡主动入站连接,只允许内部机器对外发起连接。
    luoshengdu
        10
    luoshengdu  
       2023-10-28 23:33:33 +08:00 via iPhone
    1 。IPv6 地址获取了即可被访问,你要访问哪个设备,就要看哪个设备地址,而不是看网关或者光猫的 v6 地址,不需要做映射这些配置!!

    2 。 a ,光猫拨号的,管理页面,安全里面,可以关闭 IPv6 防火墙 or 防火墙(有些没有单独 v6 防火墙),关闭后,即可正常访问
    b ,openwrt ,padanvan 等设备作为网关的,配置防火墙转发 or 关闭防火墙,内网的设备 ipv6 即可被正常访问

    3 。检查需要被访问设备本身的防火墙,可以在局域网内访问其 IPv6 地址和公网访问对比测试
    NEPv5NA6R8R3Y11u
        11
    NEPv5NA6R8R3Y11u  
       2023-10-28 23:55:43 +08:00
    桥接
    路由器或者电脑拨号就是,光猫防火墙基本上不给关的
    abcbuzhiming
        12
    abcbuzhiming  
    OP
       2023-10-29 00:38:47 +08:00
    谢谢各位,确认是光猫上的防火墙无法关闭,导致无法通过 ipv6 从外部进来。已经准备打客服改桥接模式了
    sky96111
        13
    sky96111  
       2023-10-29 00:38:59 +08:00 via Android
    @cnbatch 我想请教一下关于 IPv6 的 UPnP 的问题。虽然本质上 UPnP 也是创建映射,但还有一个自动打开防火墙的功能。
    像 OpenWRT 这类固件默认会阻止所有的 IPv6 入站,而 qb 这类需要需要允许入站的软件,在 v4 上可以通过 UPnP 来开放一个高位端口映射。
    为了自动化维护一个开放的端口,在 v6 上也应该使用 UPnP 吗?
    OP 的防火墙规则只允许指定 IP 而不能指定设备,在 v6 前缀变动时规则会失效。或者设置通信规则,允许指定端口所有 v6 转发,但这样感觉也不妥
    kingpo
        14
    kingpo  
       2023-10-29 00:41:57 +08:00
    关闭光猫和路由器防火墙,光猫网页不能关就进入 telnet 关。

    我遇见过一种情况是,光猫关了防火墙,光猫拨号,网络有 ipv6 ,但经过下级路由器后就没 ipv6 了(路由器的 ipv6 开启的状态)。而改桥接后路由器拨号就有了。有点奇怪。试了两个设备两条宽带都是这种情况。
    JensenQian
        15
    JensenQian  
       2023-10-29 00:53:18 +08:00 via Android
    我那台华为光猫得去改配置文件才可以关闭防火墙,不是在你网页设置里面相关就能关,建议直接改桥接
    cnbatch
        16
    cnbatch  
       2023-10-29 01:08:31 +08:00
    @sky96111 不清楚 OpenWRT 的设置,我很久没用过了。
    像是 pfSense 、OpnSense 这类防火墙系统,都可以指定单独给某个 MAC 地址设置策略,不清楚 OpenWRT 能否根据 MAC 地址设置相关策略,也许可以看看设置页面是否有类似的配置
    hqzx21
        17
    hqzx21  
       2023-10-29 01:13:24 +08:00 via Android
    光猫桥接,让路由器下发 ipv6 地址,找个 ipv6 测试网站测试下
    Tink
        18
    Tink  
       2023-10-29 16:23:39 +08:00
    没必要做,所以就没做
    znsb
        19
    znsb  
       2023-10-29 16:32:50 +08:00 via Android
    tplink 的路由器有 v6 DMZ 这个功能
    godall
        20
    godall  
       2023-10-30 13:08:55 +08:00
    不用 dmz 和端口转发,但是光猫和路由器都有 ipv6 防火墙,对于 openwrt 来说,必须设置防火墙策略(包括 icmp ,包括 icmp 转发,端口开放),不然还是进不来。
    peasant
        21
    peasant  
       2023-10-30 13:35:35 +08:00
    上海联通给的光猫型号是 PT939E ,这个垃圾光猫就默认阻止 IPv6 ,并且关闭不了,哪怕 telnet 进去把 ip6tables 的规则全清了都任何反应,不管添加什么规则都不生效,只有改桥接才能正常从外面访问 IPv6 ,老家联通的烽火光猫就比较好弄了,telnet 进去执行一下 ip6tables -t filter -I FORWARD 1 -j ACCEPT 就能正常从外面访问内网的 IPv6 了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2910 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 03:37 · PVG 11:37 · LAX 19:37 · JFK 22:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.