V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lanlandezei
V2EX  ›  宽带症候群

家庭网络开启 IPV6,该怎么提升家庭网络安全。

  •  
  •   lanlandezei · 2021-11-04 10:12:45 +08:00 · 3597 次点击
    这是一个创建于 876 天前的主题,其中的信息可能已经有所发展或是发生改变。
    虽然目前有公网 IP ,但是怕以后回收。
    自己就在路由器上做了几个测试,用的是京东无线宝。
    其他设备,armbianN1 ,装了 PVE 的笔记本,PVE 虚拟的 WIN7

    路由器开启 IPV6 防火墙状态 远程 LINUX 服务器使用 ping6 命令 PING 设备 IPV6 地址
    N1 和笔记本能 PING 通,WIN7 无法 ping 通,WIN7 关闭自带防火墙后能 PING 通。
    使用 nmap -6 -p 扫描 设备下的服务端口 closed 状态

    路由器关闭 IPV6 防火墙状态 远程 LINUX 服务器使用 ping6 命令 PING 设备 IPV6 地址
    N1 和笔记本能 PING 通,WIN7 无法 ping 通,WIN7 关闭自带防火墙后能 PING 通。
    使用 nmap -6 -p 扫描 设备下的服务端口 open 状态
    使用 ssh root@IPV6 地址 能远程 SSH 连接上设备。

    路由器开启 IPV6 防火墙后肯定是安全的,就是不清楚关闭防火墙后 IPV6 地址,这些设备会不会不安全,IPV6 地址会不会容易泄露,还有手机。
    之前用 IPV4 公网都是用路由器端口转发设备的服务端口使用。
    10 条回复    2021-11-08 09:04:25 +08:00
    fcbwalk
        1
    fcbwalk  
       2021-11-04 11:38:53 +08:00
    ipv6 防火墙不一定需要关闭,路由器支持的话是可以设置转发策略的。
    acbot
        2
    acbot  
       2021-11-04 11:42:00 +08:00
    只要你能确保设备开放的端口都已知,并且端口的服务没有逻辑漏洞和配置缺陷,那么就没有必要开防火墙。网络安全我个人觉得与是否公网 IP ,是否 v6 没有任何关系。如果非要说有什么网络不安全事件与公网 IP 有关系的,那么只能是 DDOS 。
    kxy09
        3
    kxy09  
       2021-11-04 16:33:05 +08:00
    你路由器的防火墙不能设置允许转发端口吗?
    不能的话,关闭路由器防火墙,再给你的设备设置自己的防火墙也算安全
    况且 ipv6 应该也没人扫吧,我这里还一个星期强制重拨
    v2tudnew
        4
    v2tudnew  
       2021-11-04 18:13:46 +08:00
    v6 防火墙允许设备某个端口连入就和 v4 NAT 端口转发是一样的,何来安全 /不安全一说?很多公司 IP 地址充足,每台设备都是公网 IP !
    LnTrx
        5
    LnTrx  
       2021-11-04 22:32:31 +08:00
    如果路由器下设备 IPv6 地址是 SLAAC 的话,那只有本地设备主动访问的远端对象才会获知,对个人用户来讲安全性已经挺好的了
    Atomo
        6
    Atomo  
       2021-11-05 00:00:48 +08:00
    有些人想要 v4 公网,恨不得每台设备都有一个公网 ipv4 ,安全性和你的情况是一样一样的
    fhbyljj
        7
    fhbyljj  
       2021-11-06 02:53:11 +08:00 via Android
    同问
    laozhoubuluo
        8
    laozhoubuluo  
       2021-11-06 23:36:02 +08:00
    一般来说 IPv6 + SLAAC 分配方式的话,地址随机性已经比较强了,一个是纯随机一个是需要知道网卡 MAC 地址,安全性是比较凑合的,如果不是大门大户出事的概率较低,但是不能保证绝对安全,也只是凑合。如果有条件的话最好还是能在路由器上做策略防护,这个是能保证绝对安全的,不过目前的设备大多数都不支持动态根据 DHCP-PD 的地址前缀来放通业务。

    如果有条件的话,相对凑合方案更加安全的方案是 nmap 扫描家里所有的设备,对有异常端口对外暴露的设备关闭 IPv6 功能,对主机等具备防火墙的设备开启主机防火墙并配置正确的安全策略(比如开启 ICMP 协议可以通过开启 Windows 防火墙中的虚拟机监控 ICMP 策略实现)之后关闭掉路由器 IPv6 防火墙,这样能实现一个更高的安全等级。
    fhbyljj
        9
    fhbyljj  
       2021-11-08 02:55:47 +08:00 via Android
    我现在 Ubuntu 为了方便关闭防火墙使用,但不知道安全不安全
    tankren
        10
    tankren  
       2021-11-08 09:04:25 +08:00
    我用 pfsense
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2753 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:09 · PVG 20:09 · LAX 05:09 · JFK 08:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.