Я понимаю, что внедрение IPv6 еще далеко, но я пытаюсь понять основы, чтобы не отставать от кривой, а также просто для удовольствия.
Общение с использованием IPv6 не проблема. Работает просто отлично. Но я не уверен, как защитить мою внутреннюю сеть.
Посмотрите на этот скриншот с моего роутера. Я установил флажок "Блокировать входящие соединения IPv6" (по умолчанию он не отмечен):
Как и ожидалось, маршрутизатор теперь блокирует все входящие соединения IPv6 с моими внутренними хостами. Я проверил это с помощью веб-сканера портов. Чего я не ожидал, так это того, что одноранговые приложения, работающие на внутреннем хосте, больше не могут инструктировать маршрутизатор временно открывать порты по требованию через NAT-PMP. Опять же, я проверил это с помощью сканера портов; Соединения с портом BitTorrent через IPv6 запрещены (несмотря на то, что он прослушивает IPv6, что проверено через 'lsof'), но соединения были разрешены по адресу IPv4 из-за успешного сопоставления NAT-PMP.
Поэтому следующее, что я попробовал, это снял флажок "Блокировать входящие соединения IPv6" на уровне маршрутизатора и вместо этого применил политику брандмауэра на уровне хоста. Это сработало успешно. BitTorrent смог получить входящие соединения IPv6. Но есть главный недостаток безопасности. Смотрите следующий скриншот экрана конфигурации брандмауэра хоста:
http://imgur.com/imrXyLD,Cdp310a#1
Здесь мы видим, что BitTorrent успешно открыл свой временный порт. Мы также видим, что обмен файлами и другие важные внутренние службы также прослушивают соединения. И быстрое сканирование портов IPv6 показало, что эти важные внутренние службы теперь полностью доступны для Интернета. Очевидно, это не то, что я хочу.
Я быстро перепроверил окно "Блокировать входящие соединения IPv6" на уровне брандмауэра и завершил свой эксперимент. Но я все еще не знаю, как защитить внутреннюю сеть в мире IPv6. Мы должны блокировать вещи на уровне маршрутизатора (но тогда как приложения динамически открывают порты? UPnP и NAT-PMP больше не применяются?) или, наоборот, мы должны позволить маршрутизатору пропускать трафик и применять безопасность на уровне внутреннего хоста (но тогда, как мы защищаем внутренние сервисы от Интернета?)?