隨著家庭光纖寬帶的普及家庭智能設(shè)備服務(wù)的增多，有時(shí)我們需要從外面通過互聯(lián)網(wǎng)遠(yuǎn)程訪問使用家里的設(shè)備及服務(wù)，比如路由器網(wǎng)關(guān)、家庭存儲(chǔ)、家庭視頻監(jiān)控、BT/PT下載服務(wù)等等。這時(shí)我們需要家庭寬帶有公網(wǎng)IP支持互聯(lián)網(wǎng)的外部訪問。隨著IPv4地址的逐漸耗盡，很多運(yùn)營(yíng)商默認(rèn)不再提供公網(wǎng)的IP地址(IPv4)。即使通過努力拿到公網(wǎng)的IPv4地址，也只是在家庭寬帶撥號(hào)網(wǎng)關(guān)上(光貓或者路由器)有了公網(wǎng)IP，家庭接入的其它設(shè)備，像電腦、家庭存儲(chǔ)NAS、家庭NVR(網(wǎng)絡(luò)視頻存儲(chǔ))等等還是只有內(nèi)部網(wǎng)絡(luò)地址，需要在網(wǎng)關(guān)上正確配置端口映射、防火墻等一系列網(wǎng)絡(luò)服務(wù)配置。如果從運(yùn)營(yíng)商爭(zhēng)取不到公網(wǎng)IPv4地址，那只能考慮內(nèi)網(wǎng)穿透等更復(fù)雜的方案了。這些方案已經(jīng)不是普通的家庭寬帶用戶能掌握的。

與此同時(shí)，各大運(yùn)營(yíng)商也紛紛開通了IPV6服務(wù)?，F(xiàn)在家庭寬帶一般都會(huì)支持IPv6了。IPv6可以讓家里每一個(gè)設(shè)備都有獨(dú)立的公網(wǎng)地址，方便家庭設(shè)備及服務(wù)的訪問和使用。前幾天，也寫了一篇文章介紹家庭寬帶IPv6的配置，讓家里的智能設(shè)備可以有公網(wǎng)IPv6地址 (合理配置電信寬帶IPv6，家里的每個(gè)設(shè)備都可以有IPv6公網(wǎng)地址)，方便用戶通過IPv6訪問使用家庭設(shè)備及服務(wù)。

但有些友友會(huì)擔(dān)心設(shè)備配置公網(wǎng)的IPv6地址會(huì)使用家里的設(shè)備暴露在互聯(lián)網(wǎng)上，存在安全隱患。這些擔(dān)心是合理的，如果完全沒有外部互聯(lián)網(wǎng)的訪問需求，可以選擇使用內(nèi)部局域網(wǎng)IP地址，無需追求公網(wǎng)IP地址。但I(xiàn)Pv6的公網(wǎng)地址也并非意味著不安全，IPv6作為新一代的IP地址協(xié)議，有著更多的安全設(shè)計(jì)屬性。我們需要在家庭網(wǎng)關(guān)上正確設(shè)置IPv6防火墻，只允許確實(shí)需要外部訪問的設(shè)備服務(wù)能夠通過互聯(lián)網(wǎng)訪問，沒有配置允許訪問的家庭設(shè)備及服務(wù)無法從互聯(lián)網(wǎng)訪問。

一般情況下，家庭網(wǎng)關(guān)默認(rèn)都會(huì)開啟IPv6的防火墻，我們會(huì)發(fā)現(xiàn)，即使家庭網(wǎng)絡(luò)中的設(shè)備有了公網(wǎng)的IPv6地址，依然無法從互聯(lián)網(wǎng)訪問。本文以家里使用的華碩路由器為例，介紹一下如何配置家庭IPv6防火墻。其它品牌的防火墻配置一般也大同小異。

下圖是華碩路由器IPv6防火墻的配置界面，默認(rèn)情況下，IPv6防火墻會(huì)是啟用狀態(tài)，也沒有配置任何傳入防火墻規(guī)則。這種情況下，是無法從互聯(lián)網(wǎng)上訪問家里的IPv6服務(wù)的。

IPv6防火墻配置界面

我們以一個(gè)在家庭存儲(chǔ)上的BT/PT下載服務(wù)qBittorrent為例來看如何配置IPv6防火墻的傳入規(guī)則配置。此處qBittorrent是使用IPv6地址及8085端口提供訪問的。在默認(rèn)的IPv6防火墻配置下，是無法從互聯(lián)網(wǎng)使用其IPv6地址訪問到該服務(wù)，

qBittorrent

一個(gè)IPv6傳入防火墻規(guī)則需要填寫以下幾個(gè)字段：

服務(wù)名稱：名稱可以隨意取，容易識(shí)別就好。

Remote IP/CIDR：遠(yuǎn)程允許訪問的地址，可以是單個(gè)IPv6地址，也可以是一個(gè)IPv6網(wǎng)段；如果不限制從哪里訪問，可以不填；比如要限制只能f從2408開始IPv6地址訪問，可以輸入 2408::/16。

本地IP：允許訪問的家庭網(wǎng)絡(luò)中的IPv6公網(wǎng)地址。可以是具體的一個(gè)IPv6地址，也可以是網(wǎng)段或者掩碼地址段。如2408:8207:1924:1234::1001, 2408:8207:1924:1234::1/64，2408::1001/::ffff等。2408:8207:1924:1234::1001是一個(gè)具體的IPv6地址，2408:8207:1924:1234::1/64表示以2408:8207:1924:1234為前綴的所有IPv6地址，2408::1001/::ffff表示以1001結(jié)尾的所有IPv6地址。

通信端口范圍：可以是單個(gè)端口（如8085)，可以一個(gè)端口范圍（如 8088:8099），或者混合（如 8085, 8088:8099)。

通信協(xié)議：可以選擇 TCP、UDP、BOTH和OTHER。

以前面的qBittorrent服務(wù)為例，設(shè)置的防火墻規(guī)則可以如下:

服務(wù)名稱：qBittorrent

Remote IP/CIDR: 空白 （允許從所有地址訪問）

本地IP：2408::c7ed/::ffff （允許訪問家庭網(wǎng)絡(luò)中c7ed結(jié)尾的IPv6地址）

通信商品范圍：8085

通信協(xié)議: TCP

qBittorent服務(wù)IPv6防火墻規(guī)則配置

添加好防火墻規(guī)則，點(diǎn)擊應(yīng)用本頁面設(shè)置，等待設(shè)置應(yīng)用成功后，我們就可以通過IPv6從互聯(lián)網(wǎng)訪問家庭網(wǎng)絡(luò)中的qBittorrent服務(wù)了。

有一點(diǎn)需要解釋說明的是為什么沒有在本地IP中填寫qBittorrent服務(wù)具體的完整IPv6地址。這是因?yàn)榧彝拵н\(yùn)營(yíng)商一般不提供固定的IPv6地址前綴給家庭用戶，前綴地址每次撥號(hào)而且定期會(huì)發(fā)生改變，家庭設(shè)備服務(wù)的IPv6地址也會(huì)隨之改變。但無論是有狀態(tài)還是無狀態(tài)的IPv6自動(dòng)配置設(shè)置，我們是可以控制一個(gè)家庭設(shè)備服務(wù)的IPv6地址后綴。這樣就可以在路由器網(wǎng)關(guān)重啟或者運(yùn)營(yíng)商分配的IPv6地址前綴發(fā)生變化時(shí)防火墻規(guī)則依然有效。

為方便從互聯(lián)網(wǎng)的訪問，可以配合DDNS動(dòng)態(tài)域名服務(wù)，包括華碩路器的很多智能設(shè)備都有內(nèi)置的DDNS服務(wù)。這樣我們就可以通過域名方便訪問服務(wù)了。沒法設(shè)置DDNS動(dòng)態(tài)域名的家庭設(shè)備，我們也可以從路由器網(wǎng)關(guān)的動(dòng)態(tài)域名中得到當(dāng)前的運(yùn)營(yíng)商動(dòng)態(tài)IPv6地址前綴，連接上分配給設(shè)備IPv6地址后綴后也就可以得到完整的設(shè)備動(dòng)態(tài)IPv6地址了。