V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  LnTrx  ›  全部回复第 18 页 / 共 37 页
回复总数  740
1 ... 14  15  16  17  18  19  20  21  22  23 ... 37  
2022-03-29 19:55:16 +08:00
回复了 villivateur 创建的主题 宽带症候群 运营商是不是禁了移动数据网络 IPv6 的入站连接?
拒绝入站相当于是帮用户做决定了,而且用户想改也不能轻易改
手机还好,虽然打洞麻烦,但至少有可行性。对于物联网设备,整天发包保活就太耗电了。
2022-03-16 21:41:02 +08:00
回复了 ppbaozi 创建的主题 宽带症候群 wifi6 通常能跑多少速度
见到过协商速率 2400Mbps
2022-03-12 18:06:43 +08:00
回复了 rebecca554owen 创建的主题 宽带症候群 广西电信公网 IPv6 地址不互通的问题
光猫拨号,电脑有线直连光猫,结果如何
2022-03-09 23:47:04 +08:00
回复了 terryops 创建的主题 云计算 腾讯云云函数好用吗?
可以参考一下腾讯的专栏 https://cloud.tencent.com/developer/column/1196
2022-03-02 18:54:03 +08:00
回复了 jiobanma 创建的主题 程序员 存在 OSS 上的 mp4 文件如何加密(禁止下载)
楼主先明确一下,blob url 这种程度够不够?
2022-02-25 16:45:35 +08:00
回复了 heipipi 创建的主题 GitLab 思细级恐啊,我们自己搭的 gitlab 的都被黑了!
把服务放在封闭的内网是一种牺牲便捷性、比较偷懒的方法。但之所以这么多人推荐,正是因为其简单、有用,可以避免 IPv4 最普遍的暴力端口扫描等风险。
Gitlab 的设计初衷肯定是面向公网的。但既然面向公网,维护者就要做好相应的安全措施,而不是明知存在隐患还有侥幸心理。
权益和义务是对等的。开源免费的大型项目能及时修复无心之失的漏洞,对免费的使用者而言就已经尽到了义务。
选用小众的项目,安全性未必提升,可能反而下降。
可以参考这类监控网站 https://ping0.cc/
2022-02-19 20:47:53 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@cwek 还是没看出来,这相比公网 IPv6+防火墙的方案有什么额外的好处?
2022-02-19 20:45:46 +08:00
回复了 ggp1ot2 创建的主题 宽带症候群 直接关了路由器的防火墙有没有安全问题
@ggp1ot2 关键是 NAS 的安全配好,比如设好防火墙,或者配个证书用 HTTPS 连接。楼主家的其他设备,比如电视,它应该也不会没事去访问恶意网站,除了内网只有服务商和 ISP 知道它的公网 IPv6 。至于手机,现代操作系统的安全防护也足够了。毕竟手机连流量和公共 WIFI 的时候不可能再去装个防火墙。
2022-02-19 20:35:08 +08:00
回复了 ggp1ot2 创建的主题 宽带症候群 直接关了路由器的防火墙有没有安全问题
IPv6 是 SLAAC 的话内网设备风险不大,至于路由器本身可以扫一下看看有没有开放的端口
2022-02-19 13:49:40 +08:00
回复了 smy14520 创建的主题 宽带症候群 170 一年升级宽带到 500mb
这家是怎么做到比运营商自己 App 的提速功能便宜这么多的
2022-02-19 13:25:52 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@cwek 如果需要第三方借助打洞、或者不停包发保活,想做到低能耗低延时是困难的。对外连接总是有风险,但我前面也论述了,IPV6 下外网直连的攻击面会小很多,相比之下设备自身的风险更加凸显。我还不是太理解你的方案,增加了前缀转换的步骤,能提供什么防火墙给不了的功能?
2022-02-18 23:49:57 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@cwek 我觉得这样可能不太好,会增加物联网设备跨子网联动的复杂度和延迟
2022-02-17 23:24:53 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@abc8678 “手中的设备的 IPv6 地址” “是 ipv4 在访问我。我明明没有 ipv4 的公网”
2022-02-16 18:19:17 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@abc8678 我的群晖自从没了公网 IPv4 以后,仅有公网 IPv6 就没出过什么日志。看了下你发的其他帖子,还是建议去调查你 NAS 的地址是怎么被捅出去的。否则要么惶惶不可终日,要么使用非常不便,难以兼顾。
2022-02-15 13:04:46 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@baobao1270 我是觉得 NAT 反而让大家习惯于“安全”的内网,一定程度上忽视了终端安全的建设。这样在终端移动到陌生网络或在网关配置失误时反而会出现更大的危险。

自动化端口暴露的需求还是广泛存在的,要穿越的就是 ip6tables 。

家用场景的前缀总是会变,本来就要适配动态的 IP 报告机制,所以在这里我不当作“长期固定”。当然你表达的可能是“后缀长期固定”。正如前面所说的,在端口暴露自动配置机制还不怎么可用的现在执行白名单防火墙,配置的复杂度过高但安全提升不那么明显,对于有一定网络知识的用户也很折腾,不应该是推荐的最佳实践。所以我认为用户不必过于指望家用路由具有 v6 防火墙高级功能,但厂商把更多底层做成 UI 供高级用户选用,我并不反对。

大众使用 SLAAC 、喜欢折腾使用 DHCPv6 的分法我觉得可能不太合适。喜欢折腾的人家里还是有不参与到折腾的人和设备,统一改成 DHCPv6 反而削弱了隐私扩展,更何况还有故意不支持 DHCPv6 的 Android 。如果家里没有这样的设备,全部都是服务端,那直接固定后缀应该就可以了。当然,这种场景一般会用企业级路由器,也超出了本帖的讨论范围。
2022-02-15 01:36:48 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@v2tudnew
我也是因为曾经想沿用 IPv4 的经验,发现配置异常繁琐才产生如此见解的。比如主帖里提到的“可以根据终端 MAC 自动配置的方案”,就是曾经试图寻找但未能实现的尝试。
只不过面临这样的困难,你我设想的路线不同。你的设想是强化私网与广域网的屏障,构造一个安全的内网,通过更多功能改善用户的体验。我的设想是取消网关上的安全边界,按照公网的标准防范,通过 IPv6 的隐私扩展和强化终端的建设来维护安全。现况与这两个设想都有一定的距离,未来会怎么发展,也只能交给时间了。
2022-02-15 00:45:46 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@v2tudnew 当然,你的见解也具有启发性。可以设想未来有一天,路由器和各类应用都广泛支持 PCP 机制,用户无需手动添加例外同时又可以进行管理,那默认禁止入站会是一个更优的选项。在这一天到来之前,我还是觉得有一个 IPv6 防火墙总开关就够了。
2022-02-15 00:26:05 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@v2tudnew 没有绝对的安全,我的举例是在说明安全和方便的取舍问题
Windows RID 劫持是公网暴露端口就能被利用的漏洞么?我在说的是能使公网回访攻击产生危害漏洞出现的概率。我不是开发者,只是在实践中产生了对 IPv6 的防火墙策略的见解。

最后这个问题没看懂,什么叫“需要用户配置 IP 地址”,我什么时候提出过这个需求?
2022-02-14 23:06:28 +08:00
回复了 LnTrx 创建的主题 宽带症候群 有一个 IPv6 防火墙总开关就够了
@v2tudnew
对,是可以 UDP 打洞,只不过各环节都要增加复杂度。比如在 BT 中,就需要一个没有防火墙的 peer 做中介。( https://libtorrent-discuss.narkive.com/HqyhMO7B/libtorrent-does-libtorrent-support-hole-punching )如果大家都指望打洞方案,那可连接性就可想而知了。
顺便一提,NAT-PMP 有支持 IPv6 的后继者( Port Control Protocol ),但不太清楚目前路由支持的情况。

参考之前的永恒之蓝,微软已经发更新之后 WannaCry 才开始传播,而且主要是内网扩散。IPv6 回访攻击要能实现,对漏洞的要求应该更高。相比之下,防止应用程序漏洞的作用倒相对大一点。如果某程序开了没有限制来源的公网访问端口、通过了系统防火墙的许可、出现了未修复的危险安全漏洞、没有配置打洞机制或防火墙例外,同时用户主动访问的网站或中间的网关被攻击者掌握,且攻击者进行了扫描并正好知道这个漏洞,那有白名单防火墙会更安全。
我的意思是说,网关白名单防火墙的方案对用户和开发者增加了太多复杂性,但提升的安全性不大。操作系统的防火墙依然存在,所以掀屋顶的比喻不是很恰当,要我看更像是把围墙拆了变街区。

你提公共 WIFI 的场景我有点不理解。如果你在考虑把设备放置于陌生网络中的风险,那更应该加强设备自身的防护(零信任思想),而不是依赖网关来营造“安全”的边界。
1 ... 14  15  16  17  18  19  20  21  22  23 ... 37  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   870 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 21:07 · PVG 05:07 · LAX 14:07 · JFK 17:07
Developed with CodeLauncher
♥ Do have faith in what you're doing.