合影留念

大一的时候做过类似项目的科创 大概两人开发两个月吧 仅服务端和安卓端 十几个人用没啥问题
功能：注册、添加好友、发起会话、发送表情、图片、转发消息 其他的都没实现
可以参考下野火 IM 的实现（ https://github.com/wildfirechat/im-server ）
你要的及时是啥意思 主要是看用户量 消息走服务器存储转发 websocket 就算及时了

祝好

@mrzx #48 “说了也是白说” 指不定小白乱搞给我们所有人带来不便 复杂不是不管的理由
你还是没看之前的回复 有些傻瓜产品默认全放开了 无脑的默认设定在各个厂商之间都不一样
@Mrs4s #49 目前 ipv6 的封锁很弱 别说 445 了 80 和 443 都可以通 我就是直接用的 443

我也思考过这个问题
究竟是自学拿到的知识与经验重要
还是大学里耗费时间拿到的文凭重要
我的结论是：
同等重要
把大学里大片空白时间用来自学填充自己最重要

@LnTrx #42 好久没用过群晖了 支持双栈那确实满足要求 就是不知道 https 证书是不是免费提供 威只有国外有 lets
Docker 体验还可以 SSH 只能说体验不甚满意 其实主要还是性能太差（扯远了 本帖主要讨论网络安全问题
不管怎么来看 目前的 v6 架构都太复杂了 不过想想 v4 的发展历程 也算合理 最绝的是还有各种翻译“黑话”
像什么端口映射翻译成虚拟服务器 还有小白搞不懂的 DMZ 主机 UPnP 服务 以为是我们故弄玄虚

如果不查手册 谁知道光猫网关里 v6 配置页面 的 O 和 M 的四种组合状态都是干啥的
更不用说 OP 里 路由通告 NDP 代理 路由模式 混合模式 中继模式 各种排列组合了
我们在这聊 SLAAC 然而各家路由器还有各自不同的叫法 有的就叫“按 PD 前缀下发”
甚至有状态 DHCPv6 一般也是不提供可配置项的 分下去就是固定格式
这些“由实现而定的约定俗成” 实在是拉低了整体的安全性
所以不论是网关安全还是终端安全都应该保持警惕 期待良莠不齐的开发者才是最不现实的
现阶段最好这样 也只能这样 很多人还沉浸在 NAT4 带来的“安全性”中 没准备好“万物互联”
个人倒是期望 IP 网络回归它本身的样子 会迎来 P2P 的春天 真正的开放共享

@Bingchunmoli #43 笑死 我还确实没了解过非标 smb 在 win 下的表现 平时都是 mac

@Bingchunmoli #39 最好看看官方 wiki 开放 smb 在公网就用 slaac + 换一个非标端口是最好
端口配置 拨号的话 一般是 lan 侧显示 v6 wan 侧显示 v4 猫路由模式下是 DHCPv6 客户端 有一个 wan6
@LnTrx #40 终端不光指物联网设备 常见的 NAS 系统也算 现在群晖和威联通有官方 DDNS 对 ipv6 的支持吗
零信任是趋势 到时候应该会有一套成熟的信任标准 最主要的是现在发展的实在不尽如人意
标准是一回事 实现是另一回事 还有奇葩实现 当下只能针对所有的实现来编程
比如前面讨论的 NAT4444 就属于标准外的奇葩实现 这对那些“隐式依赖标准”的协议安全性是个打击
谁能想到七层的流量下来会被二三层的设备做分析呢

@laozhoubuluo #17 都可查的 就拿接入号来说 点进去之后就有全光路信息
至少到一级分光器这里还是所有线路都有标签的 不存在混乱
下到二级分光器可能接到 ONU 的具体物理端口和资源系统里有出入
一般来说是不会的 装维师傅安装前安装时安装后都要拍照的

@laozhoubuluo #13 都是历史遗留问题 很多协议出现的比 SSL/TLS 这一套还早
每层都加密一遍那很消耗性能的 特别是有些终端设备老旧 没有专用芯片的情况下
我们这边基本改造完成了 分光器都有 RFID 标签 每条线路跳哪个端口也都可查
在 OLT 上也可以查到对应 LOID 注册在哪个接口 online/offline 所以总体还是可控的

目前都是省主机房 往下到各市区机房 OLT
由 OLT 的一个端口 光缆下到配线架 往下走 ODN
出到一级分光器（通常在路边、小区、政企）
再往下可能到二级分光器（楼道）
由末级分光器（一二三不管）跳尾纤到用户家 ONU

从 OLT 出来的这一根光缆 其实连接了一大堆用户
无源 原理上可以在任意一个点监听全部的流量
我觉得哪怕不开启加密也没什么问题
毕竟上层协议不应该要求底层来保证安全

@laozhoubuluo #10 全光路的这些节点 以及每个节点的信息 综调系统都可查的 不存在什么不支持

@wwbfred #29 本站基本上都是 OpenWRT 用户 哪怕不是 也有基本的防火墙意识 但对小白来说就不一定了
特别是在一些路由器厂商没做 /弱化这类选项的时候 就造成了连上来的所有终端都在 v6“裸奔”的问题
比如我碰到的路由器一大半全部放开 v6 开关也不够灵活 甚至于还有“科技博主”教怎么关防火墙访问 NAS
当然 如果终端可以做到可信的认证 只监听必要端口 不留后门 不支持有状态 DHCPv6 那还是很安全的（
@Bingchunmoli #30 感觉延时问题应该出自 Zerotier 上 试试其他方式回来 比如自建 OpenVPN
@Techzero #31 用了 OP 的基本都会防火墙配置 不管是 v4 还是 v6 但还会碰到光猫那端的问题
比如前面提到的 电信和联通的光猫路由模式下在网关就阻断 v6 传入 移动的光猫在路由模式默认放通
而改桥接 由自己负责防火墙 又会碰到现在的 iPOE 改造等各种问题 最近 v2 上井喷的帖子都是互相关联的
@LnTrx #32 是的 全放通和有状态 DHCPv6 不能并存 之外考虑针对特定个人的域名攻击 DDNS 可找前缀
所以我的观点反而是有状态 DHCPv6 应当仅限于 NAT6 的情况使用 或者有合理防火墙策略的时候使用
“每台机器甚至每个虚拟环境都可以有独立的 DDNS” 不太可行 物联网终端还没见过支持 DDNS 的
这就是提到的另一个问题 如果无状态 在常作 DDNS 的网关反而是看不到终端的 v6 的 仍然待解决
对于 UDP 打洞（ BT 下载类）需求 最好是全阻断+依赖特定终端去向网关申请 UPnP 来的更实在点
“终端的安全更要认真对待” 很赞同 但是防不胜防 现状只能说是都不值得信任 还是自己挨个检查
@MNIST #33 VLAN 方案就更复杂了 哪怕玩 OP 的估计都没几个人会去搞清楚 tagged/untagged 的区别
@hanguofu #35 路由模式的光猫 真的就是这样 所以最好改桥接 自己做防火墙 不能期待不可控的外部
@erfesq #36 差不多同方案 我是白威联通异地 v4 只映射了网页端口 开了 2FA 远程回家用 OVPN
@plasmetoz #37 家用你这套方案过于先进了 哈哈 本站回帖的安全意识都很棒 应该是都有研究了

@Bingchunmoli #22 是的 其实我们不是需要 ipv6 而只是需要“可达性”而已 这种可达性应该是白名单制的
@LnTrx #23 安全与便利是矛盾 考虑大部分互联网用户其实是小白 我观点和你相反 应该默认阻止所有入站
@LnTrx #24 想一下 v4 上有没有很多暴露的 smb 服务 就明白为啥不能冒 v6 这样的风险了 不能假设协议安全
我在这个月前和你说的做法完全一样 然后发现了不能开有状态 DHCPv6 市面上一些路由器实现有安全问题
但是 仅开启无状态 DHCPv6 的话 在路由器又不好拿终端的 v6 地址做 DDNS 了 反而 DDNS 要终端自己来做
这不是脱裤子放屁么 两权相较 我选择不信任终端 毕竟信任终端意味着信任无数的开发者能做好权衡
总之 终端安全和协议安全都不能保证 那我不如回退到 v4 时代 采取现有做法 仅在网关配置 vpn/转发
@deorth #26 缩短 v6 变化的有效期其实是一定的安全手段 但只要在使用就有安全与隐私问题
@qbqbqbqb #27 嗯 我的看法和你一致 需要额外连通性的终端请自行打洞 不要依赖上级设备的配置

@duke807 #19 不是的 手机接入的 v6 都有防火墙 都是不允许传入的 所以相对安全
@Bingchunmoli #20 大胆点 方便的文件共享只有 SMB 和 WebDAV 两个 但是最佳实践是暴露组网服务
即暴露 zerotier ovpn 之类的东西在外 其他均通过这里面走 安全系数会提升很多

@hcwhan #14 ipv6 下就应该是白名单模式 万物互联是不可能的 起码在终端安全很难保证的时候
本帖就是推荐这样的做法 仅开放网关的少量接口入站 尽可能使用虚拟局域网软件连回内网

关于通过 docker 跑的独立容器确实会拿到独立的 v6 可是现有软件系统仍然对此兼容性不好
截止今天 2022 年 8 月 27 日 流行 NAS 系统 UNRAID 最新版 6.10.3 下

docker 服务仅在 host 模式下可以同时利用宿主机的所有网络接口 这会暴露宿主机 ip
在 bridge 模式下 仅可选择一个 br 接口 也就是说多路宽带没办法在客户端合理利用

同时 对于 2.5G 的 8125B 网卡来说 最新系统带的驱动还有问题 论坛已经有两篇报道
表现为开启网卡的桥接模式后 出方向可以 2.4G 入方向只有 1.1G 附近带宽
因此最好的 NAS 直接跑 PT 下载机的方案居然是把物理网卡直通给 QBit （笑死

商用的收费 UNRAID 系统都如此 其他开源的还有国产杂牌设备简直不敢想 完全没在意过终端安全

@totoro625 #16 普通人不玩 PT 和 BT 确实会安全很多 但是不排除服务商作恶
或者某些作者在自己博客里加点料 对访问的所有 ip 反向扫一遍 不过能开浏览器的设备一般都安全
域名的解析杂乱确实构成了一定的安全屏障 这方面也是进一步攻击研究的点（真实地址按周期变化

后面这一步就很安全了 在 dns 上设置重写 不过有的运营商检测到 dns 会封宽带 还需要 DoH DoT

@bytesfold #17 在本站应该用 OP 的人占大多数 所以不乱搞都是安全的 可是家用的其他路由器不是

@Bingchunmoli #5 把 smb 等高危服务直接暴露公网很危险 尽量别这么干 很容易中招
@jobmailcn #7 是的 OP 防火墙策略默认就是阻止所有 wan 传入 这样很安全
@Kunmona #8 很多客户端不具有 ip6tables 的可配置功能 还是依赖家庭网关统一防火墙
@ltkun #9 你没理解本帖 家庭宽带几天变 ip 但你只要 bt 在线就不需要扫描成本 你主动告诉 Tracker 了
换句话说 只要知道你的 v6 前缀 再加上你开了有状态 DHCPv6 只要扫几种常见路由器发的段即可
还有一种安全的方法依赖于终端安全 即监听端口的同时还监听特定域名 那种不在本帖讨论范围内
@szdosar #10 每行都是单独的一句话 而且按照段落组织了 可以试试打开阅读器模式观看
@jtshs256 #11 hhhh 实测华硕路由器也是这种配置方法 好像配一下之后所有 v6 的该端口都会开 迷惑
@sdk234 #12 是呀 帖中也说了这是在学校多人使用的需求 现在上班在家只需要考虑我的需求了

@heiher #2 +1 和你方案相同 要有人多做这方面的科普
得跟小白讲清楚这些基础的网络安全知识 不然真的都不安全

hhhh 对于运营商来说确实难做 默认设置怎么都要得罪一部分用户
而且这种高级选项也不适合出现在基础设置里 我认为还是把用户当傻子最好
默认全部阻断 需要的自己折腾桥接 让猫就做猫 光电转换就完事

@mikewang #1 是的 然而现在很多猫直接给的 v6 就是裸奔的
还有人教怎么关闭猫的“ipv6 session 保护” 不科普危害简直离谱
市面上大约一半支持 v6 的硬路由默认阻止所有传入连接
（实测华硕的带这个功能 京东云出的路由器往下分 v6 也是裸奔
其余的么 只要服务商使坏 获取所有访问他的 v6 或者通过 bt 网络拿 v6
很容易就挑选 遍历全网的脆弱 v6 终端 加之 NAS 的普及
通过以上方法拿到的下载机地址大概率开了 smb 等高危服务 后果不堪设想

@cloudsigma2022 #17 可以看一下我的帖子
/t/875719
确实 SLAAC 都在裸奔 但是比起有状态还是安全一点

可以看一下我的帖子
/t/875719
本质上还是 ipv6 也需要防火墙啊 网关做好防火墙