V2EX › qbqbqbqb 的所有回复 › 第 15 页 / 共 25 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 11 12 13 14 15 16 17 18 19 20 ... 25

❮

❯

2021-07-10 16:29:09 +08:00

回复了 billlee 创建的主题 › YubiKey › Windows hello 会破坏 yubikey u2f/fido2 的正确运行

@qbqbqbqb 但是如果这样做的话，网站就要为内置密钥用户和外置密钥用户做两个 UI 了，估计有些小网站懒得做。

2021-07-10 16:25:27 +08:00

回复了 billlee 创建的主题 › YubiKey › Windows hello 会破坏 yubikey u2f/fido2 的正确运行

网站确实有办法 override 这个顺序，你可以看一下这个 Demo： https://webauthn.io/
里面 Authenticator Type 选择 Cross Platform 的话，就是只能用外接密钥；选 Platform 是用 Windows Hello，这个应该是标准里已经提供的功能了。

2021-07-07 14:12:03 +08:00

回复了 acbot 创建的主题 › Linux › ip6tables 支持负网络掩码符号吗？

ip6tables 掩码本身支持两种写法，数字和完整掩码。数字就是前缀长度，完整掩码就是类似 ipv4 那样的子网掩码，但不要求必须是前缀，可以任意写。

2021-07-07 14:08:01 +08:00

回复了 acbot 创建的主题 › Linux › ip6tables 支持负网络掩码符号吗？

用完整的掩码，写成"IPv6 地址 /::ffff:ffff:ffff:ffff"这种形式

2021-07-07 13:56:31 +08:00

回复了 lolcat 创建的主题 › Linux › tcp/ip 协议栈中，子网掩码是存哪的？

“子网掩码”和“默认网关”你可以理解成一种简化的静态路由表配置，系统根据这两个参数将其展开成完整的静态路由表（即设置“IP/子网掩码”网段走接口直连路由，"0.0.0.0/0"走“默认网关”），是不会出现在具体的报文里的（当然 DHCP 这种除外）。

比如说 192.168.128.7/24 和 192.168.128.7/23，这就是一个 IP 地址，只能代表一台主机（绝对不能将其理解为两个网段中的两个不同主机，这是一种常见的误解，如果在相互连接的网络中这样配置两台主机的话会导致 IP 冲突），只是说配置前者的话系统会认为它的网段有最多 254 台主机这么大，配置后者的话系统会认为它的网段有最多 510 台主机那么大。

2021-07-07 13:43:53 +08:00

回复了 lolcat 创建的主题 › Linux › tcp/ip 协议栈中，子网掩码是存哪的？

@lolcat 系统不会也无法知道你现实中的网段配置，一切按照路由表和规则来。如果路由表写成这样，按照路由表匹配规则（最长前缀），这个报文必然是走 A 口。如果实际上这台机器在 B 网段，那这个包就丢了。

2021-07-07 13:27:45 +08:00

回复了 xieqiqiang00 创建的主题 › 信息安全 › 为什么没有基于工作量证明机制的防火墙应用？

以前是有的。臭名昭著的挖矿脚本提供商 CoinHive （现在已经倒闭），以前就提供过一款 PoW 挖矿验证码，UI 很像 reCaptcha，但它不区分人类和机器人，而是要求客户端的浏览器给站长挖几秒钟矿才能放行，不是直接阻挡而是通过消耗爬虫的计算资源来阻止爬虫，同时站长还能获得挖矿收益。这款产品后来与恶意挖矿脚本一样被一并封杀了。

2021-07-06 16:14:49 +08:00

回复了 takeshima 创建的主题 › Linux › ip6tables 怎么设置仅放行同一网络（同一前缀）的请求

@liuxu IPv6 相比 IPv4 一大特点就是弃用 NAT 你不知道？楼主问 IPv6 防火墙怎么设，你上来就是一句“路由都是 nat 出去”，事实上同一个路由器只有 IPv4 流量才 NAT，IPv6 无 NAT，那你这个不是事实错误？

2021-07-06 16:00:30 +08:00

回复了 takeshima 创建的主题 › Linux › ip6tables 怎么设置仅放行同一网络（同一前缀）的请求

@liuxu

搞清楚，本贴里讨论的是**IPv6**。你说都有 NAT，那是 IPv4，跑题了。

你去买 10 个路由器，看看是不是都有 IPv6 NAT 。现在国内家用路由（不考虑刷机的），也就小米有 NAT6 （而且也是备用方案，仅推荐在 Native IPv6 不可用的时候使用），其它的 TP, ASUS, NETGEAR，对于 IPv6 都是只分配 2 开头的全球单播地址。

2021-07-06 12:26:53 +08:00

回复了 takeshima 创建的主题 › Linux › ip6tables 怎么设置仅放行同一网络（同一前缀）的请求

@liuxu 我只是指出你说的“路由都是 nat 出去的，放心进不来”有事实错误。你上个 ipv6 测试站，再比对一下网站上显示的你的 IP 地址和本机 ipconfig 里的“临时 IPv6 地址”一不一样，就知道到底是不是“nat 出去的”了。路由器拦不拦截传入 IPv6 连接也是要看具体设备的，如果路由器或路由模式光猫碰巧不默认开启防火墙，客户端也没开防火墙，还真“进得来”

2021-07-06 11:57:35 +08:00

回复了 acbot 创建的主题 › 宽带症候群 › 基于 PPPoE 动态 IPv6 环境下 ip6tables 如何发布内网服务到公网

@acbot 放到网关设备上运行也可以。SLAAC 获取的两个地址（一个永久和一个临时）里，永久地址后缀是不会变的（除非系统或硬件有改动）。完全可以在网关上拼接前缀+固定后缀得到完整地址（需要 DDNS 软件或脚本支持相应的功能）。防火墙如果是 ip6tables 的话也可以后缀匹配。

2021-07-06 11:50:11 +08:00

回复了 takeshima 创建的主题 › Linux › ip6tables 怎么设置仅放行同一网络（同一前缀）的请求

@liuxu "路由都是 nat 出去"不对吧。路由是网络层（ IP 协议，这里还不涉及 TCP ）的功能； NAT 涉及 TCP,UDP 的端口号，是传输层的功能，一般都和防火墙一起实现。显然是两种东西。只是说家用路由在 IPv4 上都固化了 NAT 功能（因为是目前的民用宽带 IPv4 接入给多台设备上网所必须的功能）而已。从原理上来看，早期 IP 充足的时候，TCP/IP 没有 NAT 也是能正常运作的。

以目前的民用宽带 IPv6 部署情况来看，上公网一律用 2 开头的公网地址。fc 开头的“内网段”只能用于内网内部通信，相应的数据包永远不会进入公网，而且一般家用路由不会配置这个段。另外还有 fe80 开头的链路内地址，也是不可能上公网的。并不存在“NAT 出去”的情况。

2021-07-06 11:37:40 +08:00

回复了 takeshima 创建的主题 › Linux › ip6tables 怎么设置仅放行同一网络（同一前缀）的请求

后缀匹配，写法是“IPv6 地址 /::ffff:ffff:ffff:ffff”

2021-07-06 11:28:16 +08:00

回复了 acbot 创建的主题 › 宽带症候群 › 基于 PPPoE 动态 IPv6 环境下 ip6tables 如何发布内网服务到公网

@acbot 可以用 SLAAC 模式，不用 DHCPv6 有状态。SLAAC 模式下内网机器会生成一个固定地址和一个临时地址，两个都可以接受连接，上网默认用临时地址（所以 DDNS 脚本需要有获取本机固定地址并上传的功能，不能让服务商自行判断你的地址），固定地址后 64 位不会变（以前是用 MAC 地址计算，即 EUI-64 ；现在操作系统都有隐私保护功能，是用另外的不暴露 MAC 地址的算法计算，如果不重装系统不更换硬件，一般也不会变）。

2021-07-05 19:12:10 +08:00

回复了 msn1983aa 创建的主题 › Android › 国产安卓电视，没发现 wifi 被人入侵，但被人投屏了(꒪ꇴ꒪(꒪ꇴ꒪ ;)哈?

@msn1983aa Miracast 投屏，一般是系统级的功能，可以设置是否开启以及投屏是是否需要确认。如果你的电视有这个功能而且默认开启且无需确认的话，是可以直接投的。

2021-07-05 19:07:53 +08:00

回复了 msn1983aa 创建的主题 › Android › 国产安卓电视，没发现 wifi 被人入侵，但被人投屏了(꒪ꇴ꒪(꒪ꇴ꒪ ;)哈?

要看是哪种投屏。DLNA （视频投屏）是需要连接同一个 wifi 的，各种视频 App 的投屏是这种。Miracast （桌面投屏）是通过 wifi direct，不需要连接 wifi，只要 wifi 开着就能投，安卓手机和 Win10 自带的投屏是这种。你说看见“一个手机音乐 app 的界面，上下滑动选歌”，估计就是后者。

2021-07-05 18:50:45 +08:00

回复了 acbot 创建的主题 › 宽带症候群 › 基于 PPPoE 动态 IPv6 环境下 ip6tables 如何发布内网服务到公网

ip6tables 支持任意形式的掩码，规则里写成 “IPv6 地址 /::ffff:ffff:ffff:ffff” 的形式就可以匹配后 64 位了

2021-07-04 14:26:01 +08:00

回复了 CrazyBoyFeng 创建的主题 › 宽带症候群 › 为什么各运营商的光猫家庭网关下发 IPv6 都是 DHCPv6 而不是 SLAAC？

@CrazyBoyFeng 至于安卓为什么得不到，这我就不太清楚了，有可能是手机系统自身的兼容性问题

2021-07-04 14:22:59 +08:00

回复了 CrazyBoyFeng 创建的主题 › 宽带症候群 › 为什么各运营商的光猫家庭网关下发 IPv6 都是 DHCPv6 而不是 SLAAC？

@CrazyBoyFeng 按照你电脑上的显示，应该是通过 SLAAC 获取的地址。只有 SLAAC 才会获取一个固定和一个临时两个地址。如果是 DHCPv6 有状态获取的话只会显示一个，而且会像 v4 一样显示地址租期。

2021-07-02 23:09:31 +08:00

回复了 qingmuhy0 创建的主题 › 宽带症候群 › 想用公网 V6，桥接模式是否必要？访问网站显示的 V6 地址与本机地址不一致是不是意味着不是公网 IP？

应该是公网 IP，前缀都是一致的。
IP 不一样有可能是显示错误，系统自动更换了临时 IP （ Win 系统默认是启用隐私扩展，会从同一个前缀生成一个固定 IP 和一个临时 IP，上网用后者，且系统会自动定期更换），Win10 的新版设置界面显示的信息经常滞后，看 IP 最好在控制面板里看，或者 cmd 里运行命令 ipconfig /all

至于“要不要换桥接模式”，如果仅仅看 IPv6 是否可以上网，不考虑防火墙问题的话，就不用改桥接。你这个光猫算是功能比较完备的，支持子前缀下发，二级路由也能获取前缀（有的光猫不支持子前缀下发，二级路由后面就没地址了）。

但如果考虑防火墙问题的话，可能有必要改桥接。光猫自带防火墙一般是可以改成放行的，但要超级密码，如果不能拿到这个密码的话就只能通过请师傅改桥接来避免光猫内部防火墙了。

1 ... 11 12 13 14 15 16 17 18 19 20 ... 25

❮

❯