配置 IPv6 以将本地设备暴露给互联网

配置 IPv6 以将本地设备暴露给互联网

我正在尝试将本地客户端暴露到网络上以托管网站。我正在努力理解 IPv6。

当前设置:

ISP --> bridged ISP router --> TP-Link router --> LAN

我已将 TP-Link 路由器配置为使用 IPv6。在路由器的菜单中,我看到:

“IPv6/WAN”下的“全局地址”是

XXXX:YYY:ZZZ:aaa:RRRR:TTTT:UUUU:VVVV

“IPv6/LAN”下的“LAN IPv6 地址”为

XXXX:YYE:ZZZ:aaa:<some local address>

我的问题:

  • 有什么区别?我以为 XXXX:YYY:ZZZ 已分配给我自己的网络。“LAN”副标题显示“配置路由器的 LAN IPv6 地址”。什么是 LAN 地址?为什么它与路由器地址几乎相同,但不完全相同?将 YYY 与 YYE 进行比较。我预计它们是相同的,因为路由器的地址是我本地网络的入口点。
  • 我不确定我的设备是否已经暴露。如果没有,我该怎么做才能暴露单个设备?我也没有看到任何与端口相关的设置,但是我如何只发布一个监听端口 8080 的应用程序,而不是所有来自该设备的应用程序?

答案1

通过 IPv6 路由器的大多数流量都有一个目标地址不是在路由器的接口上,而是在委托给它的子网中的其他主机上。IP 转发照常进行。IPv4 过去就是这样工作的,但 NAT 如此普遍,每台主机上的公共地址对许多人来说似乎很陌生。

假设您被委托2001:db8:2106::/48。服务提供商应该将所有路由路由给您。通过您的路由器,但 ISP 将如何识别与您的网络分开的路由器?当然是分配一个 IP 地址,例如2001:db8:c::954c:5cc7:7aeb:ec1d。这样的 WAN 地址是为了 ISP 的方便,它根本不需要与您的网络相关。

通过防火墙配置允许访问网络上的主机。如果应用程序主机是2001:db8:2106:5821::443,则允许 https/tcp 访问该 IP。任何值得使用的防火墙都可以通过第 4 层端口进行过滤。防火墙规则可以相对简单,因为与 NAT 不同,目标 IP 是感兴趣的主机,不需要端口转发。

相关内容