目前 ipv6 对于一般家庭用户挺危险的

现在便宜的路由还不支持 v6 吧

给又不乐意，不给又骂。

56k猫时代一直都是公网 ip

@yexm0 给大家提个醒，骂什么了？莫名其妙。

算是有利有弊吧，我感觉很方便
不过安全也不容忽视，
这个时候建议某些用户就不要裸奔了，
安装一些安全软件还是很有必要的.

@des 一般都支持，支持 ipv6 又不需要什么额外的成本。而且一般用户不会自己桥接路由器，都是直接用的运营商给的光猫。

提醒下大家，让大家增强下安全意识还是很不错的。

@huskar 那我也给你提个醒,上一年的那个比特币的加密病毒中招的就是公安或者校园这些内网用户,公网家庭用户一点事都没.

瘟都死防火墙应该都有吧。。。。

@121121121 那时候个人的信息安全状况惨不忍睹，随便什么脚本小子就能入侵个人电脑。windows 自身的安全性是一个原因，公网 ip 也是一个很大的原因。

以后我感觉重防火墙的路由会大卖 商机！

@Phariel iptables 系统自带的

总之是想提醒大家，不想或不会折腾网关防火墙的，目前还不适宜开启 ipv6，有安全风险。
感觉运行商在大规模启用 ipv6 前会有一定的措施，否则会直接暴露大量在内网里没有防护措施的设备。

@yexm0 这病毒和 ipv6 有什么关系？家庭用户运营商直接关了 135 端口所以不影响，教育网默认开放才能在内网传播的

@yexm0 不知道你想表达什么。不想和你多说，已 B 不用回复了，请回 B 我。

IPV4 的 IP 好枚举，IPV6 不太好枚举，其实安全性角度倒没那么大，当然，终究少了一层 NAT。

会做出默认状态下转发所有 IPV6 流量这种事的厂家，他们造出来的路由器就算没有 IPV6，难道你就真敢用？

@huskar 反正我买的一百多一点的不支持

@yinanc 所以这安全不安全跟 ipv6 有什么关系？你自己把防火墙关了，安全软件又不装，无论公网还是内网一样能被人攻击。

@cwbsw 我是用电信给的光猫测试的，一般家庭用户都是用光猫的。如果运营商不做一些安全性的防护，感觉早晚会出事。

你说的对，一般路由都有做 wlan 入口的防火墙，没有的话就要小心了

能直接连上还不好吗。

插楼问一下：必须是光猫路由模式才能获取到 IPV6 吗？

楼主叙述的逻辑比较乱，推测可能是路由器 DMZ 开了。
深入问这个逻辑：你家里电脑网卡打开看一下，如果电脑也分了 IP v6，那么路由器是否也分了一个 v6 地址？如果电脑没分，其实应该就是 DMZ

目前影响不大，从茫茫多的 ipv6 地址里，找到一个能被攻击的地址本来就不容易。 打开防火墙还是必要的。一般用户基本上打开防火墙也就足够了。像远程登录、共享文件夹这种默认都是关闭的。

@gcod ipv6 肯定是更方便了，而且这个问题
也不是 ipv6 的弊，只是 ipv4 的 nat 机制相当于提供了“默认“的防火墙，而 ipv6 目前却没有默认提供。这对于没有相关概念的普通用户是危险的。

@cdwyd 不是，桥接也可以的。我为了测试特意换成路由模式。

@yexm0 给了 v6 不给解决方案的才是耍流氓

IPv6 地址不泄露的话相对来说比较安全，不过安全问题还是值得重视的，最近才突然发现江苏移动给了 ipv6，内网的文件共享，ftp，ssh 啥的全都暴露到 v6 公网去了，还好没被盯上，于是考虑再三还是做了 nat66，安全要紧。

@huskar
没有默认提供防火墙，你认真的吗？ Windows 防火墙没有默认打开？

危险，黑掉光猫及路由器直接传进内网，毕竟默认密码多啊，而且光猫的漏洞好多，其实有人试验过，桥接 tr069 去扫电信内网 IP 段

@cwbsw 你看清楚我说什么再说吧

其实真正的普通用户很安全，不安全的是那些自以为自己比微软更了解 Windows 的半桶水。恕我直言，这种人就欠被永恒之蓝教育。

Windows 防火墙默认连 ICMPv6-In 都是关掉的 233，不要想太多。

@huskar
如果你是怪电信光猫没有配好光猫的防火墙，那么请搞清楚，是你自己用超密进光猫开启的 IPV6，而不是电信正式商用后下发配置启用的。如果你不具备相关技能，那就不要瞎折腾。

@olaloong nat66 效率很低，你把服务器软件关闭 ipv6 访问权限不就可以了？

@DesignerSkyline
是的，而且默认作用域是本地子网，光启用都还不够。

adsl 拨号上网时代就一直被攻击

我家一直用的动态公网 IPV4

NAT 用久了，突然曝露在公网环境下还不适应了～～呵呵

@cwbsw 我确实是手动改的配置，因为之前一直用的是桥接没有收到下发的配置，这一点我最后一句话说明了。但是我看了光猫的所有设置，没有和防火墙相关的。不知道你能不能测试下下发的配置是什么情况？

还有真的拜托你看清别人的话再来杠。我没说过 windows 防火墙没有默认打开；没有任何一句表现出我比微软懂 windows(我从头到尾没提过 Windows，简直莫名其妙)；我很明确说了不是默认配置，你还让我”搞清楚”什么？

windows 不是自带防火墙吗？

@yexm0 给你提个醒，你的三句回复与本贴无关，前后矛盾，自我攻击，逻辑混乱，这实在是为了喷而喷的
首先，楼主说宽带分配的 ipv6 默认可以从外部访问，并没有说如何在只知道 /64 的情况下找到这个可以访问的 ipv6，也没有说分配内网 ipv4 的任何问题。你这是无中生有并树靶子攻击，典型的喷子思维
其次，比特币病毒没有公网家庭用户感染病不能说明

@ruimz 其次，比特币病毒没有公网家庭用户感染并不能说明公网安全，而家庭用户的内网也没有问题。与其他内网的区别在于运营商关闭了相关端口。你这是因果关系的原因不成立，逻辑混乱

人人都是运营商。人人掌握一个远程缓冲区溢出 0day。

V6IP 太多了。而且你用 V6 访问外网的时候是个临时 V6 IP，复制粘贴“临时 IP 虽然也是全局地址，但是它们的作用与前者不一样，它的作用是在用户对外发起连接的时候充当连接发起的 IPv6 地址，这一行为的目的在于保证主机在对外通信 时候的匿名性。这个地址是由路由前缀和由主机随机生成的接口标识组成的。这个地址是有有效期限制的，几个小时或者几天，在期间，系统一直以这个地址为主机 地址向外发出连接和请求。每一个时刻只有一个临时地址是有效的，在一个地址过期时会立刻生成一个新的地址作为新的临时地址。已经过期的地址不会立即被删 除，它会保存几个小时或者几天，此时过期的临时地址不能对外发起连接，但是可以接受外部发来的之前请求的信息。”

@yexm0 最后，是你自己首先在 8 楼提出比特币病毒的，也就是楼主提出的 ipv6 的问题曲解成病毒与内外网的关系，并在他人指出后，反咬一口 这安全不安全跟 ipv6 有什么关系。殊不知这种安全的问题一来你所提出的道理不成立，而且这与本题的初衷已经原文无关。这种反驳别人反驳你的话，难道不是自打脸吗？

不懂 LZ 的危险怎么说，IPv6 没办法扫描的呀。。。而且有隐私扩展，IP 随机分配就算了，还会隔一段时间自动变，同时主流操作系统，比如 Windows 自带的防火墙很棒呀，Linux 自带的防火墙就更舒服了。（好像除了 macOS 没有，或者说不能自己调以外）

@ruimz 呵呵,标题你没见到?那我就再给你看看"目前 ipv6 对于一般家庭用户挺危险的"你自己关了防火墙然后在这里无脑黑 ipv6 怎么怎么着了还不让人反驳了是不?按你这逻辑那我完全可以把题目改成"目前网络对于一般家庭用户挺危险的"内容照抄一样成立.只要你连上了网线,自己不做安全措施就归咎于 ipv6 怎么怎么样的在我看来就是个笑话.
最后 @Livid 内容分为多次发送,疑为刷屏,麻烦处理.

@yexm0 事实上，是你首先提出比特币病毒的问题，并以此为借口说明公网内网的安全。这本来就是一个关于是否开启端口的问题。
楼主关闭了防火墙，能从外部访问自己的机器。但是通过运营商的网络，病毒病不能通过 143 端口感染你。
这说明运营商的默认措施可以保护那些没有网络经验的普通用户，而这正是楼主所要提醒的内容

@121121121 56k 猫时代那时没人关心安全。 甚至我记得在 2002 年左右，我同学发给我一个 ip 段扫描器，扫出的 ip 有很大一部分(>10%)可以直接在 windows 资源管理器里打 \\ip\$c 直接打开对方的 C 盘, 那时的 windows xp 完全不设防的

@ruimz 是否开启端口?你到底有没有认真看他说的什么?
引用"可以通过 ipv6 地址直接访问家里 PC 的远程桌面服务。
相当于原本在 NAT 之后的 PC、路由器、手机等设备会直接暴露在公网上了。

我知道 ipv6 也可以有 NAT 和防火墙，不过一般家庭用户用的就是运营商给的光猫和默认设置，应该是没有 NAT 和防火墙的吧？（我修改过配置，不知道默认设置是什么样的，有条件的可以测试下）"
这段楼主就是在说公网内网的事.不然你提 nat 干嘛?再搭配标题"目前 ipv6 对于一般家庭用户挺危险的"看楼主就是在试图说明以前有 nat 的 ipv4 内网不危险,安全.现在 ipv6 就危险了.你自己不做安全措施就说 ipv6 那还不让人反驳了?ipv4 原本就是跟 ipv6 一样全球可达的,难道你自己搞的 ipv4 nat 就不危险了?

这有什么提醒的？正常的互联网环境不就是这样的？ 被圈养久了突然不适应自由的生活吧

@lfzyx
话糙理不糙
总结很到位

@whatever93 r#28 设置防火墙本就不是运营商的义务。就像你不能想当然的因为小区有保安就不装门锁。然后呢被盗了还要去怪物业你为什么没有做好安全措施，为什么不提醒我装门锁。

@lfzyx 用个 ipv6 你就觉得自由了？牛逼。

一个二个都没一点内网安全的意识，听说过网关、堡垒机、安全边界之类的概念吗？
你喜欢把你家内网的路由器、打印机、手机平板统统暴露出来就去做好了，还非要炫耀一番？甚至让你们体验出了“自由”的感觉，那可真是牛批。

@gcod
@lfzyx

真那么在意内网安全的话，我推荐楼主安装一下 Symantec 企业版 SEP 启用一下 SNAC。管理员统一推送防火墙策略，不启用防火墙将不能上网，这样就足够安全了。

@kernel 那是 Windows 2000，XP 就是解决这个问题，XP 有墙的，记忆不好，不要装老~~

人都是矛盾的，原先一直把你关在笼子里你习惯了有那层笼子的保护了，现在突然把你放出去反倒开始吐槽说把你置身于危险当中了，你要做的不是乞求别人的保护，而是自己应该主动学习防身技能保护自己。运营商本身的职责就只是给你提供上网服务而已，每个人安全意识不同各自设备的安全性也不同，人家没有义务来保护你的终端的安全。

@yetsky 虽然 windows 的临时地址是有有效期的，但是在有效期内，其实依然可以看成是个固定地址，毕竟也可以接受连接，而且我的 centos 好像就没有临时地址，估计没实现这个协议

普通家庭用户表示几年前的 50 元破路由器，估计都不支持 ipv6.

很多人还各种投诉，就为了要个公网 IP。

@flyfishcn 在网关上用 iptables 阻止一切对内网的内连连接，只开放需要的端口，对我来说就足够了。你说的东西有什么优势？

@evilangel 仿佛用上了 ipv6 你就不在笼子里了？你就自由了？

@fnscar 公网 ip 不难要吧，我装宽带时和师傅说了要公网 ip，他一个电话就给改了。
关键你要想清楚你是需要给网关公网 ip 还是给你所有的联网设备公网 ip。一般网关公网 ip+端口映射能满足绝大部分需求了。

@evilangel 我不用祈求保护，我懂相关知识。你这些话对你的爸妈、爷爷奶奶说吧，让他们好好保护自己。

@huskar 不好意思用词错误，我想表达的是“正常”的生活，就是和全球其他几十亿人口一样正常的接入互联网

赶紧买网络安全公司的股票，比涨

改了 ipv6 上不了网了, frp 断开,泪奔

@lfzyx 「和全球其他几十亿人口一样正常的接入互联网」你指的是什么？如果是指 NAT，ipv4 的 NAT 在全球都是常态，并非只有中国有，这一点中国本来就是「正常」的。
如果你指的是 GFW 的话，无论 v4、v6 都有，和本帖说的内容有什么关系？想批判 GFW 去自己开个帖子好吧。

@huskar 我说的东西就是给不懂设置防火墙的小白用的，管理员直接推送防火墙策略，不装他的防火墙就上不了网，外网不能出，也进不来。绝对的安全。

2012 年我想买一个原生支持 v6 的路由，结果没 800 块根本买不到。
现在不知道原生支持怎么样了。
支持 v6 的设备不普及，推了 v6 也用不来。

@flyfishcn 所以你为什么要推荐这个给我

@Mavious 刷 openwrt 和 padavan

@huskar 你担心别人不会设置防火墙不安全，推荐这个给你帮他设置有问题么？难道你发帖并不是想修复这种不安全的状态，只是为了批判一下公网用户不安全？

shodan 磨拳擦掌中

@flyfishcn 我帮他安装，“他”是谁啊，你真牛逼。

便利和危险是相对的。这问题以后会更加惨烈呢。
所以靠硬件厂商去解决安全，真的不靠谱。这么说电信营运商默认不给 IPV4 公网是不是好事情呢？哈哈哈？？

我看了这么多楼，各种说 IPv6 不能扫描的，也就只有 #77 楼的兄弟提到了 shodan。

在 shodan 的大规模扫描下，有啥发现不了的，我买了 shodan 会员，用起来非常好用。

我支持楼主，任何一项新技术带来便利的同时也不能忽视风险。多注意一点是没错的。

我有 ipv6 防火墙

@Felldeadbird ipv4 给个公网地址其实不怎么危险，因为设备都在 NAT 之后，不能被直接访问到，除非是作为网关的路由器有漏洞、后门或弱口令，不然内网还是安全的。但是 ipv6 不设防火墙的话，所有内部设备都能被外部访问到，就比较危险了。

以前有外网 IP 的时候也是这样的，可能长时间在内网里面一下子又网了还不习惯。IP V6 确实方便多了。安全问题的话现在支持 IP V6 的系统都默认有防火墙

不用操心这个，想好这么去投资做网络安全这些企业吧。

@huskar 当然是你的内网用户啊，你不是担心内网安全么？难道你家用要上硬防 /堡垒机 /网闸 /IPS ？

@huskar 看了楼主所有的回复，楼主还是中肯和眼光长远的……相比之下某些人真的是……丑态尽出。

@flyfishcn 你是怎么扯出来的「我的内网用户」的啊？我提过吗？
我第一条回复就说了我用 iptables 足以保护内网，问你你说的东西有没有优势。有优势你就说清楚，没有优势你就别强行扯淡了行吗？一会要我给「他」装，给我的「内网用户」装，哪来的这些人啊？

@huskar 你会但你的内网用户不会啊。如果人人都会，那么你是如何判断出来内网有风险的呢？如果你用户自己都不在意安全，你不觉得你操心多了么？如果你说的不是你自己的内网用户，给你一串…………你自己体会吧。
我说的东西优势就是不正确配置防火墙，检测到有风险就强制断网杜绝风险。

@flyfishcn 我没有内网用户我真是谢谢你了。你的阅读理解能力我很佩服。互 B 吧谢谢。

@huskar 自己骑着电瓶车，却一天总担心特斯拉不安全。你这人真挺有意思。

@Greenm 扫描效率怎么样？完整扫完一个 /48 要花多久？

@huskar 那叫工具小子，脚本小子算高一级的了！

一句老话用在这里还是挺适合的：

一群太监凑一起讨论性生活的危害……

？公网 ip 有什么优点？请教

@cwbsw 就你讨论得最起劲，还生怕别人听不见自己的高论喊得最大声。

@liaoyaoheng 最主要的就是可以自己在家搭建一些服务，例如 nas、vpn、rdp 等等。

@huskar bt 下载好？

@121121121 目前国内 ipv6 作用不大，若不是备用我就直接关了 v6 了
其实我实测 nat66 的效率还是可以的，这么说吧，我用教育网 ipv6 nat66 后的一台内网设备访问中国移动家宽 ipv6 nat66 后的一台内网设备上的 ssh，并以 ssh 隧道的形式进行代理上网可以获得＜ 18ms 延迟，＞ 50M 带宽(我家上行带宽)的表现，我觉得还是可以的

提醒啥？互联网的本质各个设备互联互通，你躲在一个内网中算什么互联网。

担心这个，还不如直接把网线剪了，更安全。

@oonnnoo 来来来，把你家分配到的前缀发一下，我想和你家的设备互联互通一下。