无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: 不点
打印 上一主题 下一主题

您家的公网 IPv6 会得而复失吗?

  [复制链接]
31#
发表于 2023-11-15 00:21:48 | 只看该作者
h1ttp:/1/ww1w.ipv6scanner.com/cgi-bin/main.py
这个是ipv6在线端口扫描,可以试试。

点评

测试步骤应该是: 第一步,先确定自己的 IPv6 地址。 第二步,用别人的电脑 ping -6 自己的 IPv6 地址。 第三步,用 http://www.ipv6scanner.com/ 来测试本机端口是否开放。 第四步,在自己电脑上安装一  详情 回复 发表于 2023-11-15 12:04
回复

使用道具 举报

32#
 楼主| 发表于 2023-11-15 06:25:36 | 只看该作者
echang88 发表于 2023-11-15 00:18
直接暴露在ipv6下,据说是很危险,描述说是全世界任何地方都能直连你的设备。非常危险。。我路由上做了ALC ...

一道防火墙阻挡以后,该用户没有资格被外网攻击。只有像您这种已经有资格被攻击的线路,才可能被攻击。我宁愿(一次性)花一千元来买 “能够被攻击” 的线路,而且是 “能够永久被攻击” 的那种。

点评

尖酸刻薄  发表于 2023-11-15 08:14
回复

使用道具 举报

33#
发表于 2023-11-15 07:49:29 | 只看该作者
个人用户用得少
回复

使用道具 举报

34#
发表于 2023-11-15 08:40:09 | 只看该作者
家里移动宽带的IPV6不是每次都能MSTSC到单位的V6,但只要反复重启网卡,最终还是能连上的。
连上后,可以用单位电脑访问家里电脑的WEB服务,端口设的大于5000
不知道应该选择哪个了。
回复

使用道具 举报

35#
发表于 2023-11-15 09:02:18 | 只看该作者
反正我的电信没有访问成功过
回复

使用道具 举报

36#
发表于 2023-11-15 09:10:23 | 只看该作者
能上IPv6,不过境外有些不通
回复

使用道具 举报

37#
发表于 2023-11-15 09:15:00 | 只看该作者
不知道,没关注过
回复

使用道具 举报

38#
发表于 2023-11-15 09:28:10 | 只看该作者
回复

使用道具 举报

39#
发表于 2023-11-15 09:33:55 | 只看该作者
话说这件事情还真的没有注意过,等回家了可以看看
回复

使用道具 举报

40#
发表于 2023-11-15 09:57:26 | 只看该作者
应该都 是真的24开头的

点评

这要看你如何定义 “真”。如果认为 24 开头的都是真的,那么,全都是真的,就不存在假的了。那么这个投票也就没有意义了。  详情 回复 发表于 2023-11-15 11:22
回复

使用道具 举报

41#
发表于 2023-11-15 09:58:40 | 只看该作者
我用的移动的,一直是真的,就是动态分布 ,不固定!!!

点评

按照你的定义,只要 24 开头都是真的。你不适合在这个帖子里面投票。因为按照你这个定义,没有假的,全是真的,那么投票的行为也就是 “多此一举”、“无意义的” 了。  详情 回复 发表于 2023-11-15 11:34
回复

使用道具 举报

42#
发表于 2023-11-15 10:24:19 | 只看该作者
等级不够无法投票,家里移动宽带,前段时间折腾了黑裙,看到内网有ip6【动态变化的】,应该是假ip,之前没关注过

点评

首先,你能用别人的电脑 ping 通你的电脑吗?如果连 ping -6 都不通,那就别指望你的电脑还能提供其他服务了。妥妥的内网 IP。ping 通之后,再看有没有端口放开。如果全部端口都被封,那也是内网 IP。测试端口是否开  详情 回复 发表于 2023-11-15 11:29
回复

使用道具 举报

43#
 楼主| 发表于 2023-11-15 11:22:34 | 只看该作者
rbwrbw 发表于 2023-11-15 09:57
应该都 是真的24开头的

这要看你如何定义 “真”。如果认为 24 开头的都是真的,那么,全都是真的,就不存在假的了。那么这个投票也就没有意义了。
回复

使用道具 举报

44#
 楼主| 发表于 2023-11-15 11:29:19 | 只看该作者
Longyu 发表于 2023-11-15 10:24
等级不够无法投票,家里移动宽带,前段时间折腾了黑裙,看到内网有ip6【动态变化的】,应该是假ip,之前没 ...

首先,你能用别人的电脑 ping 通你的电脑吗?如果连 ping -6 都不通,那就别指望你的电脑还能提供其他服务了。妥妥的内网 IP。ping 通之后,再看有没有端口放开。如果全部端口都被封,那也是内网 IP。测试端口是否开放,稍稍有些麻烦。但 ping -6 非常简单,人人都能测试。
回复

使用道具 举报

45#
 楼主| 发表于 2023-11-15 11:34:55 | 只看该作者
rbwrbw 发表于 2023-11-15 09:58
我用的移动的,一直是真的,就是动态分布 ,不固定!!!

按照你的定义,只要 24 开头都是真的。你不适合在这个帖子里面投票。因为按照你这个定义,没有假的,全是真的,那么投票的行为也就是 “多此一举”、“无意义的” 了。
回复

使用道具 举报

46#
发表于 2023-11-15 11:47:09 | 只看该作者
最近搞了个黑群晖。电信现在的IPV6.不是全部都能用。而且IPV6地址会变动。跟以前的IPV4差不多
回复

使用道具 举报

47#
 楼主| 发表于 2023-11-15 12:04:36 | 只看该作者
本帖最后由 不点 于 2023-11-16 10:14 编辑
echang88 发表于 2023-11-15 00:21
h1ttp:/1/ww1w.ipv6scanner.com/cgi-bin/main.py
这个是ipv6在线端口扫描,可以试试。

测试步骤应该是:

第一步,先确定自己的 IPv6 地址。

第二步,用别人的电脑 ping -6 自己的 IPv6 地址。

第三步,用 http://www.ipv6scanner.com/ 来测试本机端口是否开放。

【“第三步更新】找到了一个更全面的测试网站:
https://www.itdog.cn/

第四步,在自己电脑上安装一个测试用的 http 服务器,比如 tiny web server。

第五步,用别人的电脑上网,测试自己主机上的网页能否被别人的电脑访问成功。



点评

俺光猫拨号,后面设备的地址都是光猫分配。电脑开WEB服务,手机关wifi用流量访问。  详情 回复 发表于 2023-11-15 16:08
回复

使用道具 举报

48#
发表于 2023-11-15 12:18:53 | 只看该作者
fe80::/10为本地链路地址,类似于169.254.0.0/16这种自动分配的地址;fc00::/7一般用作局域网分配的地址,详见IANA:www点iana点org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml
回复

使用道具 举报

49#
发表于 2023-11-15 12:22:08 | 只看该作者
本帖最后由 2013qwaszx 于 2023-11-15 12:23 编辑

另外,通过ping测试IPv6是否能通,大概率是会被运营商、用户侧网络设备防火墙拦截的,并不能用作判断“真、假”的依据。
建议直接在高位端口(大于1万)上开一个网络服务,注意关闭电脑、路由器、光猫对该端口的拦截,然后测试异地异网下IPv6能否访问。
---
ps. 论坛程序有问题么我看到的最后一条回复还是显示14小时前,一刷新多出来好几条回复……

回复

使用道具 举报

50#
发表于 2023-11-15 12:33:25 来自手机 | 只看该作者
一句话,未来终将会是美好的,可惜是末来?

点评

未来是啥样,现在并不知道。未来有可能发生大规模病毒、细菌、生物(以及核)战争。霍金说在不久的未来人类要自毁。有个电影说,人类灭绝以后,猫会飞。宇宙学家说,太阳系在几十亿年后也将毁灭。未来,有可能把个人  详情 回复 发表于 2023-11-16 02:27
回复

使用道具 举报

51#
发表于 2023-11-15 14:19:28 | 只看该作者
我联通的网,ping -6 能通  就是不能访问.

点评

我的路由器刷的padavan,要开启ip6tables的转发和INPUT ip6tables -A INPUT -p tcp --dport XXXXX -j ACCEPT ip6tables -A FORWARD -p tcp --dport XXXXX -j ACCEPT  详情 回复 发表于 2023-11-15 14:58
回复

使用道具 举报

52#
发表于 2023-11-15 14:58:00 | 只看该作者
chunlei233 发表于 2023-11-15 14:19
我联通的网,ping -6 能通  就是不能访问.

我的路由器刷的padavan,要开启ip6tables的转发和INPUT   
ip6tables -A INPUT -p tcp --dport XXXXX -j ACCEPT
ip6tables -A FORWARD -p tcp --dport XXXXX -j ACCEPT
回复

使用道具 举报

53#
发表于 2023-11-15 16:04:18 | 只看该作者
公网ip是v4时申请的,自己开了v6后也保持有公网IP
回复

使用道具 举报

54#
发表于 2023-11-15 16:08:00 | 只看该作者
不点 发表于 2023-11-15 12:04
测试步骤应该是:

第一步,先确定自己的 IPv6 地址。

俺光猫拨号,后面设备的地址都是光猫分配。电脑开WEB服务,手机关wifi用流量访问。
回复

使用道具 举报

55#
发表于 2023-11-15 16:31:00 | 只看该作者
没有访问成功过
回复

使用道具 举报

56#
发表于 2023-11-15 21:03:55 | 只看该作者
不点 发表于 2023-11-14 21:43
你被这个测试网页愚弄了。

请不要用这个测试网页来测试。因为,三大运营商早都开始支持 IPv6 了。所以 ...

好吧!
回复

使用道具 举报

57#
发表于 2023-11-15 21:28:04 | 只看该作者
学习学习
回复

使用道具 举报

58#
 楼主| 发表于 2023-11-16 02:27:36 | 只看该作者
dsc 发表于 2023-11-15 12:33
一句话,未来终将会是美好的,可惜是末来?

未来是啥样,现在并不知道。未来有可能发生大规模病毒、细菌、生物(以及核)战争。霍金说在不久的未来人类要自毁。有个电影说,人类灭绝以后,猫会飞。宇宙学家说,太阳系在几十亿年后也将毁灭。未来,有可能把个人用户的公网IP全都消灭,都变成内网的。未来,一切皆有可能,不一定是美好的。
回复

使用道具 举报

59#
发表于 2023-11-16 09:09:29 | 只看该作者
把这功能加上去没啥用,主拔路由卡得一批
最后接二级路由用ipv4才畅顺

屏幕截图 2023-11-16 084702.png (39.51 KB, 下载次数: 147)

屏幕截图 2023-11-16 084702.png

屏幕截图 2023-11-16 084837.png (65.28 KB, 下载次数: 158)

屏幕截图 2023-11-16 084837.png

屏幕截图 2023-11-16 085028.png (78.33 KB, 下载次数: 160)

屏幕截图 2023-11-16 085028.png
回复

使用道具 举报

60#
 楼主| 发表于 2023-11-16 21:16:42 | 只看该作者
找到一篇文章,转贴一下:

正确地配置 IPv6 防火墙和 DDNS 以在公网访问设备

发表于 2021-08-06 更新于 2023-03-10

IPv6 已经相当普及,无论是家宽、校园网,抑或是蜂窝移动网络,获得 /64 的 IPv6 子网已经不是难事。本文意在解决:在获得 IPv6 公网地址(全球单播地址)且 ISP 未阻止入站连接的前提下,如何在路由器上配置防火墙及如何配置 DDNS,以便于在公网访问自己的设备。

环境

  • 路由器:OpenWrt 21.02.0-rc3
    • 绝大部分厂商的原厂固件的 IPv6 防火墙都是残缺的,请不要使用原厂固件
    • 光猫应当配置为桥接模式并使用路由器拨号,请不要让光猫承担它不该承受之重
  • 需要暴露的主机:Debian GNU/Linux 11
    • 当然也通用于其他 Linux 发行版



准备工作

确认已经取得 /64 的 IPv6 子网

一般可在路由器管理页面确认,也可通过其他方式确认。

如果获得的子网大小不是 /64 ,本文仍可供参考,但需要有一些小改动。

如果只能取得 /128 的子网(整个子网只有一个地址),这种梦回 IPv4 时代的情况通常出现在校园网,考虑到没法换 ISP,要不……行而上学,不行退学?

下文中,我们假定取得的子网是 2001:2002:2003:2004::/64。

确认 ISP 没有阻止入站连接

如果路由器使用的是 OpenWrt,默认的防火墙规则不会阻止 ICMP 入站连接;如果是其他路由器固件,请先完全关闭防火墙。

本文假设系统防火墙已经被恰当配置,不会阻止需要暴露的端口的入站连接。

  • 访问 ip.sb,取得当前设备的 IPv6 临时公网地址,我们假设它是 2001:2002:2003:2004::1234。
  • 尝试在外部网络 ping 上述 IPv6 公网地址。
    • 最简单的方式是,在 Android 手机上通过 Termux 使用蜂窝移动网络 ping。(应当先确定 Termux 能连接到 IPv6)
  • 如果能 ping 通,则进行下一步。如果不能,通常没有必要再进行下一步。
  • 向 OpenWrt 添加一条通信规则(访问 cgi-bin/luci/admin/network/firewall/rules)以临时允许入站连接:
    • 允许 TCP 和 UDP,源区域为 wan (包含 wan, wan6),目标区域为 lan,操作为接受,其余留空,保存并应用。
  • 在本机挂载一个 web 服务,如 python3 -m http.server 8321,8321 可以替换为自己选定的端口(如为 80, 443 等端口,可能需要 root 权限)。
  • 尝试在外部网络访问这个端口,如 curl http://[2001:2002:2003:2004::1234]:8321。
  • 更换端口重试几遍,重点留意 80, 443, 8080 等常见端口有无被封锁;如被封锁,尝试不常见的端口。
  • 关闭 web 服务,删除先前创建的通信规则,保存并应用。如果是其他路由器固件,请重新打开防火墙,并想办法刷入 OpenWrt。


如果 ISP 阻止了入站连接,请考虑换一家 ISP。

有些路由器的原厂固件可能无法关闭 IPv6 防火墙并造成假阳性结果,请考虑使用 OpenWrt


取得设备的不变后缀

选项一:EUI-64(推荐)
EUI-64 地址有着我们需要的优点:后缀固定不变、前缀实时更新。一般情况下,我们应该使用它。如果获得的子网大小不是 /64,可能不按预期工作。


Linux:

  1. sudo ifconfig
复制代码


Windows(需要提权):

  1. set-netipv6protocol -RandomizeIdentifiers Disabled  # Windows 默认不使用 EUI-64,启用它
  2. ipconfig /all
复制代码



选项二:不使用不变后缀,使用临时 IPv6 地址

并不推荐使用临时地址,这将导致防火墙规则难以编写。

请直接跳到下一节。

选项三:DHCPv6

并不推荐使用 DHCPv6,因为它总是落后于网络变化。如果家宽重拨导致分配到的 v6 子网变化,它根本不会自动更新,只有等到租约到期(一般是 12h)续租时才会更新。
首先选定一个 IPv6 后缀如 a1cd(也可不选定。默认分配的后缀一般是设备特定且不变的,不选定则自行记录默认分配的后缀)。
注意:有时候,在系统的默认配置下并没有完整的 stateful DHCPv6 支持,此时请使用其他方法。本文亦不含有打开 stateful DHCPv6 的教学。(DHCPv6 坏坏)
  • 在 OpenWrt 为需要的设备创建一个静态地址分配(访问 cgi-bin/luci/admin/network/dhcp),指定租期如 5m(因租约到期才会自动刷新,必须设定为较短的值以确保 DHCPv6 分配维持最新),填写选定的 IPv6 后缀(也可留空),保存并应用。
  • 物理上重新连接目标设备。
  • 刷新页面,在页面底部的 已分配的 DHCPv6 租约 里确认确实为该设备正确分配了需要的后缀和租期
  • 如果租期没有被正确分配,仍为默认的 12h,则该设备不适合该方法。(除非能获得不变的 IPv6 子网)


配置防火墙



向 OpenWrt 添加一条通信规则(访问 cgi-bin/luci/admin/network/firewall/rules):

  • 协议:TCP 和 UDP
  • 源区域:wan (包含 wan, wan6)
  • 目标区域:lan
  • 目标地址:
    • 使用 EUI-64 或 DHCPv6:::<需要暴露的主机的后缀>/::ffff:ffff:ffff:ffff,如 ::1:20ff:fe77:2077/::ffff:ffff:ffff:ffff 或 ::a1cd/::ffff:ffff:ffff:ffff(如果子网大小不是 /64,请自行改变掩码)
    • 使用临时地址:留空(注意:这会导致其他主机一并暴露,请避免同时留空目标端口)

  • 目标端口:
    • 暴露特定端口:<需要暴露的端口或端口范围>
    • 整台主机暴露:留空

  • 操作:接受
  • 高级设置

    • 限制地址类型:仅 IPv6

  • 其余维持默认

    • 特别提醒:源端口留空,只填目标端口


配置 DDNS


编写更新脚本

以 Cloudflare API 为例。

替换如下脚本中的环境变量,存放至合适的位置。

DNS ID 需要通过 Cloudflare API 查询获得,也可通过审查元素抓包获得。

使用 EUI-64 或 DHCPv6

在需要暴露的主机上运行,也可在同一子网下别的主机(含路由器)上运行,因此适合需要暴露的主机为 Windows 等比较坏坏的操作系统的情况。


  1. CURRENT_IP=$(curl -s ipv6.ip.sb)
  2. CURRENT_PREFIX=$(echo $CURRENT_IP | cut -d : -f 1-4)  # 如果子网大小不是 /64,此处需要修改
  3. SUFFIX=<固定后缀>
  4. DNS_RECORD=<域名>
  5. ZONE_ID=<Zone ID>
  6. DNS_ID=<DNS 记录 ID>
  7. TOKEN=<API token>
  8. if [ "$(cat /run/current_prefix 2>/dev/null)" != "$CURRENT_PREFIX" ]; then
  9.     echo $CURRENT_PREFIX > /run/current_prefix
  10.     curl -s \
  11.          -X PUT "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records/$DNS_ID" \
  12.          -H "Content-Type:application/json" \
  13.          -H "Authorization: Bearer $TOKEN" \
  14.          --data '{"type":"AAAA","name":"'$DNS_RECORD'","content":"'$CURRENT_PREFIX:$SUFFIX'","ttl":1,"proxied":false}'
  15. fi
复制代码



使用临时地址

只能在需要暴露的主机上运行。

  1. CURRENT_IP=$(curl -s ipv6.ip.sb)
  2. DNS_RECORD=<域名>
  3. ZONE_ID=<Zone ID>
  4. DNS_ID=<DNS 记录 ID>
  5. TOKEN=<API token>
  6. if [ "$(cat /run/current_ip 2>/dev/null)" != "$CURRENT_IP" ]; then
  7.         echo $CURRENT_IP > /run/current_ip
  8.         curl -s \
  9.              -X PUT "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records/$DNS_ID" \
  10.              -H "Content-Type:application/json" \
  11.              -H "Authorization: Bearer $TOKEN" \
  12.              --data '{"type":"AAAA","name":"'$DNS_RECORD'","content":"'$CURRENT_IP'","ttl":1,"proxied":false}'
  13. fi
复制代码



定时执行


使用 crontab

1
crontab -e

增加一行如下,注意替换 /path/to/script/。示例为每分钟执行一次,如需修改,可参考 crontab.guru

1
* * * * * /path/to/script/setDNS.sh

使用 systemd


setDNS.service

放置到 /etc/systemd/system/ 下,注意替换 /path/to/script/。

1
2
3
4
5
[Unit]
Description=check IPv6 address and set DNS record

[Service]
ExecStart=/bin/sh /path/to/script/setDNS.sh

setDNS.timer


放置到 /etc/systemd/system/ 下。

1
2
3
4
5
6
7
8
9
[Unit]
Description=monitor IPv6 address and set DNS record minutely

[Timer]
OnBootSec=1min
OnUnitActiveSec=1min

[Install]
WantedBy=timers.target

即时启动并添加到开机启动。

1
2
3
sudo systemctl daemon-reload
sudo systemctl start setDNS.timer
sudo systemctl enable setDNS.timer



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-28 01:06

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表