※ 引述《ggg12345 (ggg)》之銘言:
: 如果隔離也要作用於 v6, 那就是要讓 6to4 router 或 native v6
: router 兼負 v6 的 NAT 作用, 此時只要 V6 router 對內通告產生的
: ipv6 address 與對外出示的 v6 ip-address 做 address translation
: 的對照轉換就能防止外部機器直接與內部 V6 站來往, 也就是 V6 V4
: 各自有其 NAT , 都能防止外部直接來往, 若是 v6 孤島就可利用 V4
: NAT 的 public-ipaddress 進行 6to4 tunnel 的銜接.
: 這種不擊穿 firewall 的 6to4 NAT 才是大家可接受的規格吧!
: 就稱呼這種裝置為 V6-aware/passthru NAT.
我提供一個另外的想法
1.IPv4下個NAT主要是,內對外啟動的session和port對應的關係.
強調的是對外直接封鎖所有的port和內部的對應(因為一開始根本沒有對應)
所以外面的測試攻擊打不進來.
2.同理,比較簡單的方式其實就是在6to4 router上加上防火牆功能.
關閉由外對內的主動連線.
(不管是指針對IPv4 or 等6to4解回ipv6後來擋)
PS:如果是想要隱藏實際的IPv6位址,用臨時的IPv6位址
microsoft已經在作業系統中實作了,可以避免使用 EUI-64產生的固定IP在外留下紀錄
個人的偏好是,IPv6是想重新恢復網路的末端通透性
(回到每個點都是真實IP,理論上很多問題都會變簡單...理論啦)
如果想要擋,就乖乖用Firewall功能擋吧~ XD