V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gdb
V2EX  ›  宽带症候群

单位网管说,能够给办公室电脑分配 IPV6 的地址,但是说只能访问出去,外面互联网访问不了办公室电脑,请问这是什么技术?

  •  
  •   gdb · 2023-09-12 12:59:17 +08:00 · 4497 次点击
    这是一个创建于 443 天前的主题,其中的信息可能已经有所发展或是发生改变。

    IPV6 地址可以在单位内部单独分配?

    有没有大神懂一点的,给个解释?谢谢!

    36 条回复    2023-09-21 12:35:48 +08:00
    x86
        1
    x86  
       2023-09-12 13:00:47 +08:00
    nat64 ?
    lcdtyph
        2
    lcdtyph  
       2023-09-12 13:08:35 +08:00 via iPhone
    防火墙或者 nat6 呗
    很多高校的全局 v6 也不能从外面访问,就是有防火墙
    cq65617875
        3
    cq65617875  
       2023-09-12 13:09:08 +08:00
    nat6 或者 pd
    将进来的链接挡在防火墙就好了
    deplivesb
        4
    deplivesb  
       2023-09-12 13:11:05 +08:00   ❤️ 17
    有一种在 ipv4 时代就有能技术叫防火墙,能实现只出站不许入站。我想这项技术在 IPv6 时代应该没有被淘汰
    codehz
        5
    codehz  
       2023-09-12 13:12:35 +08:00 via iPhone
    就普通防火墙
    v4 时代你也可以一台机器一个 ip ,只不过 ip 稀缺玩不了
    spediacn
        6
    spediacn  
       2023-09-12 13:31:41 +08:00 via iPhone
    类似 fe 开头的 ipv6 吧?:)
    asdgsdg98
        7
    asdgsdg98  
       2023-09-12 13:34:16 +08:00
    防火墙,阻止入站
    mantouboji
        8
    mantouboji  
       2023-09-12 13:34:33 +08:00
    /ipv6 firewall filter
    add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
    add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
    add action=accept chain=forward comment="Allow Local " in-interface-list=!WAN
    add action=accept chain=forward comment=Ping protocol=icmpv6
    add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
    add action=accept chain=input comment="accept OSPF" protocol=ospf
    add action=accept chain=input comment="accept anything from LAN" \
    in-interface-list=!WAN
    add action=accept chain=forward comment="allow SSH,HTTPS,etc" dst-port=\
    22,443,465,587,993 in-interface-list=WAN protocol=tcp
    add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
    add action=accept chain=input comment="Local Wireguard" dst-port=12345 \
    in-interface=pppoe-out1 protocol=udp
    lanlandezei
        9
    lanlandezei  
       2023-09-12 14:23:52 +08:00
    你路由器不也有 IPV6 的防火墙开关
    me1onsoda
        10
    me1onsoda  
       2023-09-12 14:26:21 +08:00
    不懂就问。
    这有什么用?不是本来就有访问外网的能力?
    qwvy2g
        11
    qwvy2g  
       2023-09-12 14:27:12 +08:00 via Android
    在 ipv4 上,防火墙和 nat 行为上都可以拦截。防火墙就不用说了可以拦截外部端口主动访问,nat 行为里面包括 nat 映射和 nat 过滤,其中 nat 过滤就定义了外部访问数据包进入内网的处理方式。比如 eif 就规定了不管远程数据是否之前与本地内网 eim 映射端口客户端通信过,只要访问这个端口一律当作 eim 映射后与之通讯的客户端数据,很明显 nat1 不是很安全。
    MeteorVIP
        12
    MeteorVIP  
       2023-09-12 14:27:49 +08:00 via iPhone
    @deplivesb #4 哈哈哈,幽默
    我也觉得是没退化干净的防火墙
    gdb
        13
    gdb  
    OP
       2023-09-12 14:28:52 +08:00
    @spediacn 这个地址应该不能用的吧?这个地址应该是一个内网(内部局域网)的 IPV6 地址吧?


    @me1onsoda 主要是家里宽带以后有可能会没有 IPV4 地址的风险,所以要提前把两边电脑都搞成 IPV6 互联,方便家里和单位的电脑互联。
    qwvy2g
        14
    qwvy2g  
       2023-09-12 14:34:07 +08:00 via Android
    到 ipv6 上,这应该算是一种防火墙,工作原理如下:状态防火墙( stateful firewall) 会对入站流量进行检测,只有在最近一段时间内曾做过目的地址的 (ip, port) 发来的流量才会被接受。理论上 wireguard tailscale 这类组网软件应该就能绕过,但是我没 ipv6 ,没法试。
    lightionight
        15
    lightionight  
       2023-09-12 14:39:58 +08:00
    @deplivesb 幽默 : )
    Jirajine
        16
    Jirajine  
       2023-09-12 14:49:34 +08:00 via Android   ❤️ 1
    这叫有状态防火墙,你用过的所有可以上网但开服务需要开放端口的机器全部都是这种防火墙。
    当然这个禁止入站并不会破坏端到端特性,相关 p2p 、打洞等应用都可以轻松穿透。
    Alwaysonline
        17
    Alwaysonline  
       2023-09-12 14:53:31 +08:00
    企业的硬件防火墙或行为管理网关,都可以的。
    lambdaq
        18
    lambdaq  
       2023-09-12 15:02:27 +08:00
    @qwvy2g 如果是 stateful 防火墙那么理论上是可以用 stateless 协议建立连接的。
    dangyuluo
        19
    dangyuluo  
       2023-09-12 15:06:04 +08:00
    防火墙太简单了
    lns103
        20
    lns103  
       2023-09-12 15:07:40 +08:00
    就是防火墙,现在的光猫和路由器都自带这个功能
    feaul
        21
    feaul  
       2023-09-12 15:10:51 +08:00 via Android
    防火墙只允许 trust 到 untrust ,不允许 untrust 到 trust ?
    fvladlpa
        22
    fvladlpa  
       2023-09-12 15:44:31 +08:00 via Android
    这就是用防火墙啊
    qingshengwen
        23
    qingshengwen  
       2023-09-12 15:46:50 +08:00
    @me1onsoda #10 有没有可能是为了访问纯 v6 的网站或者服务
    Marionic0723
        24
    Marionic0723  
       2023-09-12 15:49:01 +08:00 via Android
    防火墙或者是内网 v6+nat ,前者在网关上丢弃入站数据包就行了,小米路由器(家用)就这样,留了个 ping ,不许入只许出。
    ternice
        25
    ternice  
       2023-09-12 16:09:07 +08:00
    楼主应该补习一下小学二年级就知道 TCP 连接建立过程:IPA -->SYN --->IPB ...
    那么只要入向的 IP 的 SYN 拦截可以做的(当然防火墙或路由器上有更加复杂的处理机制)
    ppbaozi
        26
    ppbaozi  
       2023-09-12 16:17:45 +08:00
    fe80 只能在同广播域下互通,不能路由
    fd00::/8 只能在私网路由,不能到公网
    busier
        27
    busier  
       2023-09-12 17:50:13 +08:00
    两种可能!
    1 、NAT6 ,内部无公网 IPv6 ;
    2 、防火墙(也可能是路由器内置),拒绝外部网络到内部网络方向的 NEW 链接状态,仅允许 RELATED,ESTABLISHED,UNTRACKED 链接状态。简单的说就是拒绝外网到内网方向的主动建立新链接,仅允许内网访问外网已存在链接返回的链接。

    这类防火墙基础配置属于小学二年级内容,谈不上技术!
    mytsing520
        28
    mytsing520  
       2023-09-12 23:15:42 +08:00
    就只是在防火墙上开了 SNAT 而已,没有开 DNAT
    vibbow
        29
    vibbow  
       2023-09-13 08:17:22 +08:00
    就是普通的防火墙
    deorth
        30
    deorth  
       2023-09-13 21:50:57 +08:00 via Android
    什么单位,这么好
    ner
        31
    ner  
       2023-09-14 10:12:02 +08:00 via iPhone
    就是路由器的防火墙 openwrt 设置禁止转发 ipv6 连接从 wan 到 lan 区域类似
    kxy09
        32
    kxy09  
       2023-09-14 18:42:48 +08:00
    防火墙拒绝转发就行了,nat6 可能性极低
    qbqbqbqb
        33
    qbqbqbqb  
       2023-09-15 00:13:53 +08:00
    这就是最普通的(不带 NAT 功能)的防火墙,正规的企业级网络设备都支持。

    (反而是 NAT6 这种功能属于奇技淫巧,一般企业级都没有,只有 OpenWRT 这种支持)

    你的电脑上的“Windows 防火墙”也能实现这个功能。
    dream2cast
        34
    dream2cast  
       2023-09-15 09:57:05 +08:00
    @spediacn fe 开头的应该是 Local-Link ,本地自行分配的应该是 fc 或者 fd 开头的
    lxcopenwrt
        35
    lxcopenwrt  
       2023-09-20 23:22:07 +08:00
    有什么奇怪的,防火墙识别流量是内网还是外网主动发起的访问来做策略是基本要求吧,像移动的 4G/5G 核心网 IPv6 地址就是全部屏蔽来自外网的主动访问(包括 Ping )
    gdb
        36
    gdb  
    OP
       2023-09-21 12:35:48 +08:00
    @deorth 也没啥好的,暂时保密,哈哈。


    @ternice 我确实网络技术不行。。。。和这里混的高人差太多了。。。。

    不过今天问了单位的网络管理员,说用的应该是防火墙技术。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5418 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 05:58 · PVG 13:58 · LAX 21:58 · JFK 00:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.