※ 引述《ggg12345 (ggg)》之銘言： : 如果隔離也要作用於 v6, 那就是要讓 6to4 router 或 native v6 : router 兼負 v6 的 NAT 作用, 此時只要 V6 router 對內通告產生的 : ipv6 address 與對外出示的 v6 ip-address 做 address translation : 的對照轉換就能防止外部機器直接與內部 V6 站來往, 也就是 V6 V4 : 各自有其 NAT , 都能防止外部直接來往, 若是 v6 孤島就可利用 V4 : NAT 的 public-ipaddress 進行 6to4 tunnel 的銜接. : 這種不擊穿 firewall 的 6to4 NAT 才是大家可接受的規格吧! : 就稱呼這種裝置為 V6-aware/passthru NAT. 我提供一個另外的想法 1.IPv4下個NAT主要是,內對外啟動的session和port對應的關係. 強調的是對外直接封鎖所有的port和內部的對應(因為一開始根本沒有對應) 所以外面的測試攻擊打不進來. 2.同理,比較簡單的方式其實就是在6to4 router上加上防火牆功能. 關閉由外對內的主動連線. (不管是指針對IPv4 or 等6to4解回ipv6後來擋) PS:如果是想要隱藏實際的IPv6位址,用臨時的IPv6位址 microsoft已經在作業系統中實作了,可以避免使用 EUI-64產生的固定IP在外留下紀錄 個人的偏好是,IPv6是想重新恢復網路的末端通透性 (回到每個點都是真實IP,理論上很多問題都會變簡單...理論啦) 如果想要擋,就乖乖用Firewall功能擋吧~ XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.145.202.144