写作绅士,读作丧尸 X岛揭示板
顺猴者昌 逆猴者亡 首页版规 |用户系统 |移动客户端下载 | 丧尸路标 | | 常用图串及路标 | 请关注 官方公众号:【X岛揭示板】 官方微博: 【@X岛极速版】| 人,是会思考的芦苇
常用串:·豆知识·跑团板聊天室·公告汇总串·X岛路标

No.61487819 - 无标题 - 技术宅


回应模式
No.61487819
名 称
E-mail
标题
颜文字
正文
附加图片
•程序语言、压制投稿、视频制作以及各计算机领域的技术问题
•我觉得还是CSDN靠谱一点
•本版发文间隔为15秒。

无标题 无名氏 2024-03-04(一)09:15:02 ID:C62uXdC [举报] [订阅] [只看PO] No.61487819 [回应] 管理
肥哥们,想咨询下有关公网v6的事项。
问了下电信,能给动态公网v6但没有v4,需求是想要在外面能ssh到家里的一台主机。
想问下可不可以公网v6局域网v4,然后把我机器的ssh端口映射到路由器下面是不是就行了呀,会换成不常用端口+密钥的方式,这种情况机器需不需要防火墙啥的呀?
无标题 无名氏 2024-03-04(一)09:17:29 ID:C62uXdC (PO主) [举报] No.61487845 管理
另外我理解这样操作是不是只暴露了一个端口在公网呀?机器有没有被暴力扫的风险呀?那只要我保证光猫固件&ssh没漏洞,就不会被入侵?
无标题 无名氏 2024-03-04(一)10:51:26 ID:YdWBvB8 [举报] No.61488861 管理
ipv6就不需要端口映射的说法,除非你是明确指定路由器用nat模式,不过一般家用路由器有没有这种功能就不清楚了,我个人都是openwrt( ゚∀。)7

运营商分给你的是一个前缀 比如 2001:1111:1111:0123::0/64
然后native模式下连接到路由器的设备可能就会获得2001:1111:1111:0123::0002之类的全球唯一的“公网“ipv6地址,第二个设备可能就是2001:1111:1111:0123::0003,以此类推

简单理解就是只要路由器不是nat6模式那么所有设备都会获得一个独立的公网ip,根本也就不需要端口映射,但同时所有设备都可以直接被扫到,当然可以在路由器级别配置ipv6防火墙,不过也很麻烦而且多数路由器固件应该只有防火墙全开和全关两个选项
无标题 无名氏 2024-03-04(一)11:05:56 ID:CzzTJVo [举报] No.61489120 管理
你怕全暴露有问题建议还是做成跳板的方式,我是路由器支持docker,上面挂了一个vmess协议代理,访问内网服务的时候直接连路由器当跳板再访问局域网机器。这样好处除了安全之外,使用wol开机后能直接连接到内网机器,而不用等内网机器更新ddns。
无标题 无名氏 2024-03-04(一)13:16:31 ID:C62uXdC (PO主) [举报] No.61490731 管理
>>61488861
这样的吗,那岂不是所有设备都需要单独安装防火墙?
但是我理解现在手机走电信/联通这样的网络也会直接给你下发ipv6的地址的对吧,那手机会暴露很多端口在公网吗?岂不是也比较危险?
我认识的大部分人手机都不会安装杀毒软件。。跟别提防火墙了?
无标题 无名氏 2024-03-04(一)13:29:57 ID:C62uXdC (PO主) [举报] No.61490918 管理
>>61489120
目前家里是 光猫(没做桥接) + 红米的ax5400 的形式,我理解这两个设备都是有防火墙的
现在的设备是192.168.31.201,会挂一个ssh的端口+pt的传输端口,这台机器会挂一些乱七八糟的服务,总感觉全暴露很危险,担心自己会不小心暴露一些默认密码的端口出去。
如果设备允许的话,我是不是光猫+路由器的防火墙放行这两个端口就行?
无标题 无名氏 2024-03-04(一)15:36:42 ID:YdWBvB8 [举报] No.61492413 管理
>>No.61490731
手机根本就不会主动监听多少端口,也就一些软件会udp打个洞来推送通知。我看了下我自己手机就微信监听了一个tcp高端口不知道干啥的,其它就没了。而且以v6地址的数量级想通过穷举扫到指定设备很难的,当然bt这种主动暴露自己ip的就没办法了

如果是只需要几个端口的情况的话直接路由器上防火墙全开然后正常做端口转发也是可以的
无标题 无名氏 2024-03-04(一)15:52:13 ID:ptSuNkj [举报] No.61492585 管理
>>No.61490918
光猫一定要先改桥接,不然默认情况下开启nat,其它设备根本分配不到公网ip
无标题 无名氏 2024-03-04(一)16:11:18 ID:ptSuNkj [举报] No.61492889 管理
>>No.61492585
其实也不用改桥接,我认为最简单的方法其实是光猫开upnp和dmz,这样除了河南以及少数几个省份都可以拿到只有nat1的ipv4,用zerotier或者其它p2p软件直接组网就行,一般同城tcp连接延迟在20ms左右,跨大半个中国延迟也还低于40ms,只暴露一个端口,安全性高,就是速度慢点,但是ipv4组网兼容性可比ipv6高多了

UP主: