现在是有公网 Ipv6 地址的,家里有一个 nas ,因为有需要就用公网 IPv6 地址做了 ddns ,安全方面用 nginx 配置了反向代理,只开放了特定端口访问+用户名密码登录。但是家用 tplink 路由器的 ipv6 防火墙只有开和关两个选项,没法开放特定端口,要用的话只能关闭 ipv6 ,允许所有入站流量,这样对家里其他设备的风险大吗?
This topic created in 48 days ago, the information mentioned may be changed or developed.
 |
1
vivid666 Apr 11
你要是 ipv4 的话关防火墙分分钟有人扫你 ip ,ipv6 应该没人扫 ip 吧
|
 |
2
xqzr Apr 11
IPv6 SSH 端口,几乎无尝试; IPv4 SSH 端口,无时无刻都有尝试
|
 |
3
totoro625 Apr 11
多套一层路由器,其他设备连接二级路由器,开启 ipv6 防火墙
|
 |
4
a9htdkbv Apr 12 via Android
ipv6 地址范围大不意味着别人扫不到,你 bt 做种,上网的时候,你设备的 ipv6 地址就泄露了
我现在已经用邪修了,ipv6 nat ,还方便分流 |
|
5
a9htdkbv Apr 12 via Android
建议楼主直接换掉 tp 路由器😉,换成 ikuai ,openwrt 之类的路由
另外 ikuai 默认没开 ipv6 防火墙,需要自己配一下,并且似乎不支持 nat6 openwrt 默认开 ipv6 防火墙并只放行 icmp 流量,nat6 开启也很方便😊 |
 |
6
datocp Apr 12 via Android
一直 openwrt 直接关闭 ipv6 支持,应该连不上来吧。
|
 |
7
CHNTDCS Apr 12 via Android
设置定时 12 个小时重启路由器拨号换 ipV6 地址。
|
 |
8
mm2x Apr 12
其实没啥危险,最起码目前还没有扫 V6 的。/64 段都是一个天文数字的数量。
|
 |
9
chqome Apr 12
在国内能有啥风险,几道墙给你护航呢
|
 |
10
yinmin Apr 12 via iPhone
可以改用 tailscale + 开启 ipv6 防火墙。tailscale 在 ipv6 防火墙下支持直连。
|
 |
11
opengps Apr 12
tcp 问题不大,因为仅有的入口你自己知道。
udp 则不大行,因为可以“打洞”,收到不该收的数据,但也没多大意义,因为 udp 几乎不会在家用设备上用作服务端,作为客户端则无非是收到几条数据解析不了报错或者忽略而已 结论就是问题不大,只要路由器的系统本身没太大漏洞对外暴露就行 |
 |
12
369908633 Apr 12 via Android
tp 路由海外版自带趋势杀毒软件,防火墙光猫路由都关闭
|
 |
14
Zarhani Apr 12
在 NAS 侧上防火墙,我就是只开放了 lucky 反代端口 和 tailscale 的 41641 端口,其他的全封死了
|
 |
16
fstab Apr 12
我一般 ipv6 设置的 nat ,然后开启防火墙
虽然 IPv6 的地址无限,但是访问网站,下载 BT ,某些 APP , 都可能暴露 IPv6 的真实地址,我只是需要 IPv6 访问外网, 但是我不想别人通过 IPv6 访问我的内网 |
 |
17
dbit Apr 12
建议在闲鱼上花几十块买个能刷 openwrt 的,可以控制 ipv6 开放和端口转发
|
 |
19
xing7673 Apr 12
换路由器
|
 |
20
kekylin Apr 13
风险大不大我不太了解,但我对这方面是遵循最小暴露规则来。所以我换了华硕路由器,它的固件防火墙能设置 IPv6 放行指定端口。
|
 |
21
bao3 Apr 14
上面的朋友只考虑了 nas ,如果家里有其他家电也有 ipv6 ,那你关闭 ipv6 防火墙,就要考虑风险成本了,比如摄像头、灯的开关
|
 |
22
bdingtech Apr 15
我记得 tp 连防火墙开关都没有吧,要找客服要固件才能有开关
|
 |
23
LnTrx Apr 15
没有必要过度焦虑:
1. 终端 IPv6 只要是 SLAAC 分配的,就几乎没有“被扫到”这个公网 IPv4 下最大的隐患 2. 尽管 IPv6 地址可以主动暴露,但只要是现代操作系统,不瞎搞乱关防火墙、乱开端口,也极难被攻陷。能攻陷的 0day 通常价值很高,不至于扫射普通用户。 3. 充分利用 IPv6 地址空间大的优势。对于 BT 、DDNS 这种主动+公开的、更加危险的暴露,可以给通过容器等方式给一个专属的 IPv6 地址。外部只知道这个地址(和路由路径),无法获知局域网内其它设备的地址后缀。 |
 |
24
Aaron325 Apr 17
运营商对 ipv6 有防火墙防护,路由器开关问题不大
|
 |
25
hxdyxd Apr 17 via Android
几乎没风险,电脑手机都有好几个 ipv6 ,访问外面默认是用临时地址
|
Select Language