NAS直接用IPV6在公网，危险性大不大？

jiano · 发表于 2024-3-27 10:25

本帖最后由 jiano 于 2024-3-27 13:54 编辑

这几天升级了千兆宽带，恶心的是必须绑定FTTR，反手一个投诉，现在跟我说可选，没绑定，mmp。

升级完千兆，就开始动手升级家里的内网了，前几天论坛里发了把弱电箱给砸了换了个大点的，因为给绑定了FTTR，所以暂时先用着，跟NAS群里聊天的时候突然说起IPV6、域名的使用，然后查了下自己的ipv6情况，因为以前软路由拨号都是直接关闭v6。恶心的事就来了，光猫拨号，然后光猫界面太烂，差不了下属设备的ip，包括v4也查不到。

重点来了，通过AP查了ip，光猫有公网IPv4，也有公网ipv6，然后内网设备包括主机、ap、NAS，可以说支持ipv6的设备全部都有v6地址，而且这个地址直接是公网地址，根据网友的提示，可以用ipv6直接访问nas，不要光猫开端口映射，而且所有服务都可以访问，包括默认的nas主页面8080，包括其他的比如emby的8096，还有QB的6363。

虽然早就知道了v6，而且大概知道啥情况，但网络这块很久没研究了，依旧停留在v4时代，所以现在就担心，即便v6数量大，被扫描概率很低，但应该依旧能被扫描到吧？这样直接把内网设备完全公布在外网，有没有危险呢？

根据群里网友的说法，联通、电信给的都是公网v6，也就是网内设备都有独立公网ip，移动部分区域还是给大内网ipv6。

增加一下信息：
1、FTTR设备为华为F30，另有中兴设备，具体型号未知。
2、光猫系统是联通定制，跟哪家公司没关系，原来的千兆光猫也几乎是同样界面。
3、光猫系统内无IPv6关闭选项，防火墙也属于不可设置状态。

QQ截图20240327111853.png

再次补充信息：
1、今天路由器改DHCP路由模式，然后为了测试v6又改回ap模式，但这次通过手机流量外网访问ipv6，是无法访问的，不知道上次是确实能访问还是有可能wifi没关，这个记不清了。
2、今天又联系装维小哥，咋还没改回桥接，小哥纳闷改了呀，但我的猫还是路由模式，然后小哥说了下门牌号，完了，改错了。刚把光猫改桥接模式了，这会改对了。

alph · 发表于 2024-3-27 10:42

我的nas就是在公网v6，目前没有遇到什么问题，不放心的话可以手动设置nas关闭v6吧

ssl0008 · 发表于 2024-3-27 10:43

本帖最后由 ssl0008 于 2024-3-27 10:45 编辑

风险很大，要开防火墙，如果防火墙简陋，就把防火墙关了，外部访问用v4
风险大不是nas的风险大，是你家全部的台式机、摄像头之类的暴露公网，光是所有电脑的3389就已经很危险了

nn1122 · 发表于 2024-3-27 10:50

虽然v6地址被扫描的机会不大，但是你设备的v6地址被特定的程序（如PT）暴露给别人，这样被干坏事的风险就很大，所以还是开防火墙阻止入站端口，然后连威皮恩回家

itteam · 发表于 2024-3-27 11:00

用的什么光猫啊？目前大部分光猫都是ipv6防火墙转发数据啊，禁制所有外联，连ping都不行的。实在不行弄个路由器桥接吧。不过现在很多路由器的ipv6或多或少都有点问题，随缘吧。

tankren · 发表于 2024-3-27 11:09

IPV6一定要配置防火墙

StevenG · 发表于 2024-3-27 11:18

没硬件防火墙，就别折腾公网IP了，除非家里电脑没有重要资料，隐私信息，家里没有摄像头

jiano · 发表于 2024-3-27 11:22

alph 发表于 2024-3-27 10:42
我的nas就是在公网v6，目前没有遇到什么问题，不放心的话可以手动设置nas关闭v6吧 ...

FTTR光猫，刚才重新看了一遍，关不了。

jiano · 发表于 2024-3-27 11:25

itteam 发表于 2024-3-27 11:00
用的什么光猫啊？目前大部分光猫都是ipv6防火墙转发数据啊，禁制所有外联，连ping都不行的。实在不行弄个路 ...

但是我这个内部设备全是外网ipv6。

FTTR设备是华为的，问过装维师傅，也有中兴，但他过来的时候拿的华为就用华为了。

光猫内界面是联通定制界面，除了wifi名称密码、内网设备ip、端口映射这类基础的东西，其他几乎都没啥能设置的。

jiano · 发表于 2024-3-27 11:42

StevenG 发表于 2024-3-27 11:18
没硬件防火墙，就别折腾公网IP了，除非家里电脑没有重要资料，隐私信息，家里没有摄像头 ...

还真有摄像头，刚把ap改成路由模式了，还是过一下吧，然后看了下nas的v6地址，首段是 fe80:: 开头，这应该是内网v6了吧，用手机访问了下地址是访问不了的。

这不扯犊子了吗，那联通直接内网大直通了。

港城钢铁侠 · 发表于 2024-3-27 12:45

v6本身地址数量非常大，几乎不可能被扫描到，但是一般用v6的肯定都会做DDNS绑定域名，扫描域名的难度可太低了。更别提ipv6没有NAT，每台设备相当于直接暴露在公网，一旦地址泄露，比v4网络更容易收到攻击。所以尽量选择支持ipv6防火墙规则自定义的路由器，爱快的ACL规则，openwrt的Firewall都是可以的，可以根据机器的mac地址或者v6后缀放行部分端口的访问权限，默认还是推荐拒绝所有ipv6的input流量

声色茶马 · 发表于 2024-3-27 13:21

港城钢铁侠发表于 2024-3-27 12:45
v6本身地址数量非常大，几乎不可能被扫描到，但是一般用v6的肯定都会做DDNS绑定域名，扫描域名的难度可太低 ...

路由器上加比较简单的几句防火墙规则就可以挡住99%的恶意，就比如Microtik RouterOS随机带那几条。就算我这种纯小白学习成本也低于8小时，很值得。

zcy0521 · 发表于 2024-3-27 13:23

光猫桥接，路由拨号，把路由的ipv6防火墙打开，只允许指定的端口进来。

港城钢铁侠 · 发表于 2024-3-27 13:28

声色茶马发表于 2024-3-27 13:21
路由器上加比较简单的几句防火墙规则就可以挡住99%的恶意，就比如Microtik RouterOS随机带那几条。就算我 ...

你说的没啥问题。关键是很多家用路由器的ipv6防火墙做的很烂，基本上只能切换全关/全开，像楼主这种开放某个地址的部分端口的需求完全做不了

港城钢铁侠 · 发表于 2024-3-27 13:31

声色茶马发表于 2024-3-27 13:21
路由器上加比较简单的几句防火墙规则就可以挡住99%的恶意，就比如Microtik RouterOS随机带那几条。就算我 ...

要不就是需要在设备上的操作系统的防火墙里单独设置，挺蛋疼的，v6都这么多年了，家用路由器系统没几个v6防火墙做的功能齐全的，逼着别人自己刷机

jiano · 发表于 2024-3-27 14:00

港城钢铁侠发表于 2024-3-27 13:31
要不就是需要在设备上的操作系统的防火墙里单独设置，挺蛋疼的，v6都这么多年了，家用路由器系统没几个v6 ...

我这前几天买的中兴AX3000pro，主要是拿来当ap用，因为有两个2.5g接口，也能当个2口2.5的交换机。

刚把光猫改到桥接模式，路由先用这个ax3000pro，看了下关于v6的设置，哎，真像你说的，光猫上啥也设置不了就不说了，这路由没多哪去，首先v6地址看不了，ap模式下也分配了v6地址，但界面里只能看到v4，看不到v6，到拨号模式依旧，然后仔细找了下，居然在系统信息里面还有个ipv6的开关，合着拨号界面那个是个假开关。

paochu_2007 · 发表于 2024-3-27 14:07

先说结论：

如果能公网或穿墙方式访问，不建议折腾IPV6

IPV6应用比之前多了些，但TB居然打不开，IPV6 DNS的问题

同时，一定要设置好防火墙，以免被扫，貌似V6比V4被扫的更容易

jiano · 发表于 2024-3-27 14:14

paochu_2007 发表于 2024-3-27 14:07
先说结论：

如果能公网或穿墙方式访问，不建议折腾IPV6

嗯，就是因为联通方便要公网ip，所以才继续联通，要不就换电信了，我这联通双千兆加手机套餐带FTTR要170一个月，还要599调测费。楼下电信才110，差挺多。

这几天一直找小哥改桥接，结果这货记错门牌号，给别人家改了，今天刚改过来，继续用回桥接模式了。

greney · 发表于 2024-3-27 14:36

paochu_2007 发表于 2024-3-27 14:07
先说结论：

如果能公网或穿墙方式访问，不建议折腾IPV6

TB打不开是mss问题
ipv4 mss 1452
ipv6 mss 1432

itteam · 发表于 2024-3-27 14:51

jiano 发表于 2024-3-27 11:25
但是我这个内部设备全是外网ipv6。

FTTR设备是华为的，问过装维师傅，也有中兴，但他过来的时候拿的华为 ...

ipv6 很少用nat了，一般都是直接分公网ip。你说的是设备获得了ipv6公网地址而已，并不代表路由器就允许随便连了，你可以再外网连一下你的设备，应该是不行的。我这有台华为星光f30的fttr光猫啥都不能连的，得自己开放端口。如果你的设备啥都能连上，可能是这个设置

"高级设置--ipv6防火墙设置--使能IPv6防火墙控制转发报文"这个选项关闭了，选择打开就好，光猫后面的用户名密码可能没有这个设置，需要用管理员权限，河北联通光需要用cuadmin登录，现在cuamdin密码得找装维人员要。

xhqpp · 发表于 2024-3-27 15:06

paochu_2007 发表于 2024-3-27 14:07
先说结论：

如果能公网或穿墙方式访问，不建议折腾IPV6

移动网络支持ipv6 你用流量难道打不开淘宝吗

lasx · 发表于 2024-3-27 15:11

公网v4跑了10几年了

paochu_2007 · 发表于 2024-3-27 15:20

greney 发表于 2024-3-27 14:36
TB打不开是mss问题
ipv4 mss 1452
ipv6 mss 1432

ok,

这个我试试去

paochu_2007 · 发表于 2024-3-27 15:21

xhqpp 发表于 2024-3-27 15:06
移动网络支持ipv6 你用流量难道打不开淘宝吗

流量当然能打开

paochu_2007 · 发表于 2024-3-27 15:21

jiano 发表于 2024-3-27 14:14
嗯，就是因为联通方便要公网ip，所以才继续联通，要不就换电信了，我这联通双千兆加手机套餐带FTTR要170 ...

南电信
北联通

alph · 发表于 2024-3-27 15:34

学习了，去路由器把v6出允许入阻断了，这下不在公网裸奔了

jiano · 发表于 2024-3-27 15:42

paochu_2007 发表于 2024-3-27 15:21
南电信
北联通

现在好多了，南联通不知道咋样，但我这北电信至少比移动好点吧，今天去撤移动宽带了，一直有但没用。

jiano · 发表于 2024-3-27 15:44

itteam 发表于 2024-3-27 14:51
ipv6 很少用nat了，一般都是直接分公网ip。你说的是设备获得了ipv6公网地址而已，并不代表路由器就允许随 ...

我的就是星光F30，不知道换其他光猫或者猫棒行不。

那个v6转发报文的，默认确实是灰色不可更改，超密也问小哥了，说不是固定的，是动态的。不过恩山啥的有获取超密的方法，是在不行就得研究一下了，现在这个F30两个设备都是只有千兆口没有2.5g。

itteam · 发表于 2024-3-27 16:07

jiano 发表于 2024-3-27 15:44
我的就是星光F30，不知道换其他光猫或者猫棒行不。

那个v6转发报文的，默认确实是灰色不可更改，超密也 ...

那个选项只要选上了就没问题的，你的默认没选上吗？

xhqpp · 发表于 2024-3-27 16:34

paochu_2007 发表于 2024-3-27 15:21
流量当然能打开

那就是你的问题不是ipv6的问题

账号		自动登录	找回密码
密码			加入我们

[网络] NAS直接用IPV6在公网，危险性大不大？

浏览过的版块