1

У меня есть два маршрутизатора, один предоставляется моим провайдером и имеет встроенный модем (отныне: "модем"), другой - netgear r7000 (отныне: "маршрутизатор"), который я купил.

Я хотел подключить маршрутизатор к модему, поэтому я подключил интернет-порт маршрутизатора к модему и настроил его следующим образом:

  • Интернет статический IP: 192.168.1.1
  • Шлюз: 192.168.1.254 (это IP-адрес модема).
  • LAN IP: 192.168.2.1

Затем я приступил к настройке модема следующим образом:

  • Я настроил DMZ, указывающую на 192.168.1.1 (IP-адрес маршрутизатора)
  • отключил все DHCP

Все работает как положено (как в: я могу просматривать Интернет), но, когда я тестировал свою сеть с помощью онлайн-сканера портов ipv6, меня несколько удивило:

  • Если я не отключу брандмауэр на модеме, сканер сообщает, что все

STLTH (Ответ не был получен от вашего компьютера в течение выделенного периода времени. Это идеальный ответ, так как никто не может определить присутствие ваших машин по этой комбинации IPv6-адрес / порт.)

что в порядке [РЕДАКТИРОВАТЬ: это на самом деле НЕ в порядке, так как DMZ, как настроено выше, должен обойти брандмауэр модема, верно?]

  • если бы я отключил брандмауэр на модеме, я бы ожидал таких же результатов, так как думал, что весь трафик будет фильтроваться моим маршрутизатором (с включенной фильтрацией NAT), НО это не так! Сканер сообщает

RFSD (При попытке открыть этот порт было получено сообщение об отказе (TCP RST/ACK или ICMPv6, тип 1, код 4). Кто-то может убедиться, что ваша машина отвечает на эту комбинацию IPv6-адрес / порт, но не может установить TCP-соединение.)

за исключением порта 22, который фактически открыт на моей машине, где сканеры говорят ОТКРЫТО. Это не нормально

  • Даже если сканер сообщает, что мой 22 открыт, я не могу заставить никого подключиться к нему из-за пределов сети. Мой друг пытался подключиться к нему с

ssh -6 myipv6

и он получает сообщение о недоступности хоста, НО, когда я попросил его попробовать

nmap -6 -p22 -Pn - трассировка myipv6

ему действительно удалось добраться до моей машины, и nmap сказал, что порт 22 "отфильтрован".

Напомним мои вопросы:

  • Почему брандмауэр на роутере не работает?
  • Почему я не могу подключиться к своей сети извне?

Как отмечает @Gordon Davisson в комментарии, виновником может быть IPv6, поэтому я обновляю вопрос, чтобы объяснить, как я его настроил:

  • Я зашел на страницу своего провайдера и включил IPv6
  • мой провайдер несколько перезагрузил мой модем и включил IPv6 (есть также новый раздел конфигурации на панели модема, который я оставил без изменений)
  • Я вошел в свой маршрутизатор и в разделе IPv6 я выбрал опцию автоматической настройки IPv6. Маршрутизатор выбрал метод PassThrough (было много других вариантов конфигурации, из которых он мог выбрать, на самом деле я не помню и не могу проверить это прямо сейчас).
    Это подозрительно. Может быть, PassThrough означает обход брандмауэра, как, по-видимому, говорит Гордон в комментарии?

1 ответ1

0

Трудно сказать, не глядя на специфику конфигурации модема и маршрутизатора, но похоже, что модем, вероятно, маршрутизирует нормальную (общедоступную) подсеть IPv6, а "маршрутизатор" фактически действует как мост для IPv6 - то есть , это вовсе не маршрутизация IPv6, просто прохождение через модем подсети. (Это означает, что мое предположение о Тередо неверно.)

Что нужно знать об IPv6, независимо от того, что это за конфигурация, так это то, что он не использует NAT. NAT был "нормальным" вариантом в IPv4 так долго, что люди склонны думать о нем как о части того, как работает интернет-маршрутизация: ваш провайдер предоставляет вашему маршрутизатору (/ модему) один публичный адрес, а ваш маршрутизатор предоставляет частную подсеть (196.168. Что-то, 10. что-то, или, может быть, 172.16-31. Что-то), которое скрыто за этим единственным публичным адресом. Так как ваши компьютеры не имеют общедоступных адресов, они не могут быть адресованы из общедоступного Интернета, если вы не настроили какую-либо пересылку с публичного адреса маршрутизатора (через DMZ, сопоставление портов и т.д. В настройках маршрутизатора). Это означает, что все в частной сети находится за тем, что составляет базовый брандмауэр, автоматически, если только вы специально не пробиваете дыры в этом брандмауэре (с настройками DMZ, сопоставлением портов и т.д.).

IPv6 не работает таким образом вообще. Если вы используете IPv6 для Интернета, это в значительной степени означает, что у вас есть хотя бы один публичный (2xxx: что-то или, возможно, 3xxx: что-то) адрес и личный (fe80: что-то) адрес. В отличие от IPv4, ваши общедоступные адреса доступны по умолчанию из любой точки Интернета IPv6.

Другими словами, IPv6 не имеет автоматического брандмауэра, к которому вы привыкли с IPv4. С IPv4 вы защищены огнем, если не предпримете шаги, чтобы пробить дыру в нем; с IPv6 вы не защищены брандмауэром, если не предпримете шаги для его установки.

Так как ваш "маршрутизатор" работает по протоколу IPv6, он, вероятно, не способен работать в качестве какого-либо брандмауэра IPv6. Модем может иметь какие-то возможности межсетевого экрана IPv6. Или нет, или у него могут быть безнадежно слабые варианты, или ... К сожалению, IPv6 является достаточно новым, чтобы (по крайней мере, IMO) мы на самом деле не договорились о безопасности на нем. На данный момент, я думаю, моя лучшая рекомендация - запускать какой-нибудь программный брандмауэр на вашем компьютере.

(И для вещей, которые не имеют возможности программного брандмауэра, таких как ваши интернет-устройства, у вас могут быть проблемы.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .