目前 ipv6 对于一般家庭用户挺危险的

  我知道 ipv6 也可以有 NAT 和防火墙,不过一般家庭用户用的就是运营商给的光猫和默认设置,应该是没有 NAT 和防火墙的吧?(我修改过配置,不知道默认设置是什么样的,有条件的可以测试下)

  @des一般都支持,支持 ipv6 又不需要什么额外的成本。而且一般用户不会自己桥接路由器,都是直接用的运营商给的光猫。

  @huskar那我也给你提个醒,上一年的那个比特币的加密病毒中招的就是公安或者校园这些内网用户,公网家庭用户一点事都没.

  @121121121那时候个人的信息安全状况惨不忍睹,随便什么脚本小子就能入侵个人电脑。windows 自身的安全性是一个原因,公网 ip 也是一个很大的原因。

  总之是想提醒大家,不想或不会折腾网关防火墙的,目前还不适宜开启 ipv6,有安全风险。

  感觉运行商在大规模启用 ipv6 前会有一定的措施,否则会直接暴露大量在内网里没有防护措施的设备。

  @yexm0这病毒和 ipv6 有什么关系?家庭用户运营商直接关了 135 端口所以不影响,教育网默认开放才能在内网传播的

  @yexm0不知道你想表达什么。不想和你多说,已 B 不用回复了,请回 B 我。

  IPV4 的 IP 好枚举,IPV6 不太好枚举,其实安全性角度倒没那么大,当然,终究少了一层 NAT。

  会做出默认状态下转发所有 IPV6 流量这种事的厂家,他们造出来的路由器就算没有 IPV6,难道你就真敢用?

  @yinanc所以这安全不安全跟 ipv6 有什么关系?你自己把防火墙关了,安全软件又不装,无论公网还是内网一样能被人攻击。

  @cwbsw我是用电信给的光猫测试的,一般家庭用户都是用光猫的。如果运营商不做一些安全性的防护,感觉早晚会出事。

  深入问这个逻辑:你家里电脑网卡打开看一下,如果电脑也分了 IP v6,那么路由器是否也分了一个 v6 地址?如果电脑没分,其实应该就是 DMZ

  目前影响不大,从茫茫多的 ipv6 地址里,找到一个能被攻击的地址本来就不容易。 打开防火墙还是必要的。一般用户基本上打开防火墙也就足够了。像远程登录、共享文件夹这种默认都是关闭的。

  也不是 ipv6 的弊,只是 ipv4 的 nat 机制相当于提供了“默认“的防火墙,而 ipv6 目前却没有默认提供。这对于没有相关概念的普通用户是危险的。

  IPv6 地址不泄露的话相对来说比较安全,不过安全问题还是值得重视的,最近才突然发现江苏移动给了 ipv6,内网的文件共享,ftp,ssh 啥的全都暴露到 v6 公网去了,还好没被盯上,于是考虑再三还是做了 nat66,安全要紧。

  没有默认提供防火墙,你认真的吗? Windows 防火墙没有默认打开?

  危险,黑掉光猫及路由器直接传进内网,毕竟默认密码多啊,而且光猫的漏洞好多,其实有人试验过,桥接 tr069 去扫电信内网 IP 段

  其实真正的普通用户很安全,不安全的是那些自以为自己比微软更了解 Windows 的半桶水。恕我直言,这种人就欠被永恒之蓝教育。

  Windows 防火墙默认连 ICMPv6-In 都是关掉的 233,不要想太多。

  如果你是怪电信光猫没有配好光猫的防火墙,那么请搞清楚,是你自己用超密进光猫开启的 IPV6,而不是电信正式商用后下发配置启用的。如果你不具备相关技能,那就不要瞎折腾。

  @olaloongnat66 效率很低,你把服务器软件关闭 ipv6 访问权限不就可以了?

  @cwbsw我确实是手动改的配置,因为之前一直用的是桥接没有收到下发的配置,这一点我最后一句话说明了。但是我看了光猫的所有设置,没有和防火墙相关的。不知道你能不能测试下下发的配置是什么情况?

  还有真的拜托你看清别人的话再来杠。我没说过 windows 防火墙没有默认打开;没有任何一句表现出我比微软懂 windows(我从头到尾没提过 Windows,简直莫名其妙);我很明确说了不是默认配置,你还让我”搞清楚”什么?

  @yexm0给你提个醒,你的三句回复与本贴无关,前后矛盾,自我攻击,逻辑混乱,这实在是为了喷而喷的

  首先,楼主说宽带分配的 ipv6 默认可以从外部访问,并没有说如何在只知道 /64 的情况下找到这个可以访问的 ipv6,也没有说分配内网 ipv4 的任何问题。你这是无中生有并树靶子攻击,典型的喷子思维

  @ruimz其次,比特币病毒没有公网家庭用户感染并不能说明公网安全,而家庭用户的内网也没有问题。与其他内网的区别在于运营商关闭了相关端口。你这是因果关系的原因不成立,逻辑混乱

  V6IP 太多了。而且你用 V6 访问外网的时候是个临时 V6 IP,复制粘贴“临时 IP 虽然也是全局地址,但是它们的作用与前者不一样,它的作用是在用户对外发起连接的时候充当连接发起的 IPv6 地址,这一行为的目的在于保证主机在对外通信 时候的匿名性。这个地址是由路由前缀和由主机随机生成的接口标识组成的。这个地址是有有效期限制的,几个小时或者几天,在期间,系统一直以这个地址为主机 地址向外发出连接和请求。每一个时刻只有一个临时地址是有效的,在一个地址过期时会立刻生成一个新的地址作为新的临时地址。已经过期的地址不会立即被删 除,它会保存几个小时或者几天,此时过期的临时地址不能对外发起连接,但是可以接受外部发来的之前请求的信息。”

  @yexm0最后,是你自己首先在 8 楼提出比特币病毒的,也就是楼主提出的 ipv6 的问题曲解成病毒与内外网的关系,并在他人指出后,反咬一口 这安全不安全跟 ipv6 有什么关系。殊不知这种安全的问题一来你所提出的道理不成立,而且这与本题的初衷已经原文无关。这种反驳别人反驳你的话,难道不是自打脸吗?

  不懂 LZ 的危险怎么说,IPv6 没办法扫描的呀。。。而且有隐私扩展,IP 随机分配就算了,还会隔一段时间自动变,同时主流操作系统,比如 Windows 自带的防火墙很棒呀,Linux 自带的防火墙就更舒服了。(好像除了 macOS 没有,或者说不能自己调以外)

  @ruimz呵呵,标题你没见到?那我就再给你看看目前 ipv6 对于一般家庭用户挺危险的你自己关了防火墙然后在这里无脑黑 ipv6 怎么怎么着了还不让人反驳了是不?按你这逻辑那我完全可以把题目改成目前网络对于一般家庭用户挺危险的内容照抄一样成立.只要你连上了网线,自己不做安全措施就归咎于 ipv6 怎么怎么样的在我看来就是个笑话.

  这说明运营商的默认措施可以保护那些没有网络经验的普通用户,而这正是楼主所要提醒的内容

  @k 猫时代那时没人关心安全。 甚至我记得在 2002 年左右,我同学发给我一个 ip 段扫描器,扫出的 ip 有很大一部分(10%)可以直接在 windows 资源管理器里打 \\ip\$c 直接打开对方的 C 盘, 那时的 windows xp 完全不设防的

  我知道 ipv6 也可以有 NAT 和防火墙,不过一般家庭用户用的就是运营商给的光猫和默认设置,应该是没有 NAT 和防火墙的吧?(我修改过配置,不知道默认设置是什么样的,有条件的可以测试下)

  这段楼主就是在说公网内网的事.不然你提 nat 干嘛?再搭配标题目前 ipv6 对于一般家庭用户挺危险的看楼主就是在试图说明以前有 nat 的 ipv4 内网不危险,安全.现在 ipv6 就危险了.你自己不做安全措施就说 ipv6 那还不让人反驳了?ipv4 原本就是跟 ipv6 一样全球可达的,难道你自己搞的 ipv4 nat 就不危险了?

  这有什么提醒的?正常的互联网环境不就是这样的? 被圈养久了突然不适应自由的生活吧

  @whatever93r#28 设置防火墙本就不是运营商的义务。就像你不能想当然的因为小区有保安就不装门锁。然后呢被盗了还要去怪物业你为什么没有做好安全措施,为什么不提醒我装门锁。

  一个二个都没一点内网安全的意识,听说过网关、堡垒机、安全边界之类的概念吗?

  真那么在意内网安全的话,我推荐楼主安装一下 Symantec 企业版 SEP 启用一下 SNAC。管理员统一推送防火墙策略,不启用防火墙将不能上网,这样就足够安全了。

  @kernel那是 Windows 2000,XP 就是解决这个问题,XP 有墙的,记忆不好,不要装老~~

  人都是矛盾的,原先一直把你关在笼子里你习惯了有那层笼子的保护了,现在突然把你放出去反倒开始吐槽说把你置身于危险当中了,你要做的不是乞求别人的保护,而是自己应该主动学习防身技能保护自己。运营商本身的职责就只是给你提供上网服务而已,每个人安全意识不同各自设备的安全性也不同,人家没有义务来保护你的终端的安全。

  @yetsky虽然 windows 的临时地址是有有效期的,但是在有效期内,其实依然可以看成是个固定地址,毕竟也可以接受连接,而且我的 centos 好像就没有临时地址,估计没实现这个协议

  @flyfishcn在网关上用 iptables 阻止一切对内网的内连连接,只开放需要的端口,对我来说就足够了。你说的东西有什么优势?

  @evilangel仿佛用上了 ipv6 你就不在笼子里了?你就自由了?

  @fnscar公网 ip 不难要吧,我装宽带时和师傅说了要公网 ip,他一个电话就给改了。

  关键你要想清楚你是需要给网关公网 ip 还是给你所有的联网设备公网 ip。一般网关公网 ip+端口映射能满足绝大部分需求了。

  @evilangel我不用祈求保护,我懂相关知识。你这些话对你的爸妈、爷爷奶奶说吧,让他们好好保护自己。

  @huskar不好意思用词错误,我想表达的是“正常”的生活,就是和全球其他几十亿人口一样正常的接入互联网

  @lfzyx「和全球其他几十亿人口一样正常的接入互联网」你指的是什么?如果是指 NAT,ipv4 的 NAT 在全球都是常态,并非只有中国有,这一点中国本来就是「正常」的。

  如果你指的是 GFW 的线 都有,和本帖说的内容有什么关系?想批判 GFW 去自己开个帖子好吧。

  @huskar我说的东西就是给不懂设置防火墙的小白用的,管理员直接推送防火墙策略,不装他的防火墙就上不了网,外网不能出,也进不来。绝对的安全。

  2012 年我想买一个原生支持 v6 的路由,结果没 800 块根本买不到。

  所以靠硬件厂商去解决安全,真的不靠谱。这么说电信营运商默认不给 IPV4 公网是不是好事情呢?哈哈哈??

  我看了这么多楼,各种说 IPv6 不能扫描的,也就只有 #77 楼的兄弟提到了 shodan。

  我支持楼主,任何一项新技术带来便利的同时也不能忽视风险。多注意一点是没错的。

  @Felldeadbirdipv4 给个公网地址其实不怎么危险,因为设备都在 NAT 之后,不能被直接访问到,除非是作为网关的路由器有漏洞、后门或弱口令,不然内网还是安全的。但是 ipv6 不设防火墙的话,所有内部设备都能被外部访问到,就比较危险了。

  以前有外网 IP 的时候也是这样的,可能长时间在内网里面一下子又网了还不习惯。IP V6 确实方便多了。安全问题的线 的系统都默认有防火墙

  @huskar当然是你的内网用户啊,你不是担心内网安全么?难道你家用要上硬防 /堡垒机 /网闸 /IPS ?

  @huskar看了楼主所有的回复,楼主还是中肯和眼光长远的……相比之下某些人真的是……丑态尽出。

  我第一条回复就说了我用 iptables 足以保护内网,问你你说的东西有没有优势。有优势你就说清楚,没有优势你就别强行扯淡了行吗?一会要我给「他」装,给我的「内网用户」装,哪来的这些人啊?

  @huskar你会但你的内网用户不会啊。如果人人都会,那么你是如何判断出来内网有风险的呢?如果你用户自己都不在意安全,你不觉得你操心多了么?如果你说的不是你自己的内网用户,给你一串…………你自己体会吧。

  其实我实测 nat66 的效率还是可以的,这么说吧,我用教育网 ipv6 nat66 后的一台内网设备访问中国移动家宽 ipv6 nat66 后的一台内网设备上的 ssh,并以 ssh 隧道的形式进行代理上网可以获得< 18ms 延迟,> 50M 带宽(我家上行带宽)的表现,我觉得还是可以的

Back to Top
风格切换
颜色选择