NAS IPV6问题

lij407

我内网的NAS或者 winserver 获取到公网V6地址，是不需要V4那样在路由器做端口转发的，

那对我这种小白来说，服务器的安全措施不搞好，岂不是容易噶？

之前winserver开启了MSTSC一会会就被爆破，勒索病毒文件全丢

目前公网V4还有，实验了一下V6 能用不过没开

ssl0008

这就需要一个支持ipv6防火墙的路由器了，我就把er2260t换成了爱快卵路由，爱快支持acl可以只开放nas的特定端口，其他设备都关掉外网访问
另外ipv6的ip地址数量太多了，端口被扫到的概率小很多

jjq00812

H还好，我暴露v6好几年了，一次攻击都没遇到过

shadow404

V6直接到终端的，不需要映射，在NAS配安全策略，或者路由设置ACL，常用的业务走V4

lij407

shadow404 发表于 2025-2-15 17:36
V6直接到终端的，不需要映射，在NAS配安全策略，或者路由设置ACL，常用的业务走V4 ...

好的，感谢以上各位，我比较业余，我研究研究

zengfanxiang

正常情况下不需要在路由器设置端口转发，但具体还要看你路由器防火墙配置。
windows远程桌面不要暴露在公网。

lij407

zengfanxiang 发表于 2025-2-15 17:46
正常情况下不需要在路由器设置端口转发，但具体还要看你路由器防火墙配置。
windows远程桌面不要暴露在公网 ...

如果用V6我就把远程关闭了，目前还是用的V4，没有暴露，已经翻车过一次了可不敢再。

zzyzzy0512

看你的接入方式，如果是家宽的话电信光猫会开v6防火墙，移动是没有防火墙的，商宽或者校园网的话一般都是有防火墙的

utabll

v6地址也是动态的

zasvaa

开NAS的ipv6防火墙

Earsum

现代路由器防系统大多都有v6防火墙吧，默认拦截传入链接，是在担心开nas防火墙或者做nat66。

dcl2009

扫描ipv6纯粹是自找没趣，想想看ipv4一共才32位，运营商给你的前缀是/60，也就是你有比原来ipv4大的多的多的地址空间，在这些地址里面找到一个可用IP，那是大海捞针

VariedValiance

V6太大了，一般没人扫，不过最终的安全还是要靠自己做好防护

sepuzhu

v6防火墙+端口转发+ddns完事儿 ，还担心就套个雷池。你要是不用域名的话啥也不用弄了，直连就行

tyy474

ubnt路由器有ipv6的防火墙设置，针对端口，如果是v6套了ddns，域名最好不要外发，自己用，群消息也不发，减少被记录，扫v6基本不可能，但是扫域名倒是有。

lij407

tyy474 发表于 2025-2-18 15:37
ubnt路由器有ipv6的防火墙设置，针对端口，如果是v6套了ddns，域名最好不要外发，自己用，群消息也不发，减 ...

那可以申请个域名不外发，这个不错

ruo101

我意见是IPV6 ,NAS改端口 做DDNS 然后路由器做ALC规则

反正我是这样的·

ruo101

话虽如此 但我还是在用IPV4公网端口转发＋DDNS

lij407

ruo101 发表于 2025-2-18 21:12
话虽如此 但我还是在用IPV4公网端口转发＋DDNS

我就等公网没了再换V6了。。。

gyc

感觉最近几年的 防火墙的应用没有什么太突出的产品。而企业级的都是软硬一体。

以前是 内网 v4，通过NAT上网， 然后通过 端口转发共享

如果换到V6 ，有两种情况

1. 用DHCP 分配一个私有内网，然后用NAT6 来 转发上网， 对应的也需要 转发端口。 这和以前一样。
2.直接获取公网v6， 然后 利用防火墙规则 限定只有那几个端口可以访问。

NoNo.

为了安全的话最好还是做个端口转发，毕竟不怕一万就怕万一

lij407

gyc 发表于 2025-2-19 12:11
感觉最近几年的 防火墙的应用没有什么太突出的产品。而企业级的都是软硬一体。

以前是 内网 v4，通过NAT上 ...

感谢 明白了