V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  qbqbqbqb  ›  全部回复第 16 页 / 共 26 页
回复总数  510
1 ... 12  13  14  15  16  17  18  19  20  21 ... 26  
2021-07-14 18:32:04 +08:00
回复了 acbot 创建的主题 宽带症候群 PPPoE IPv6-PD SLAAC 模式下如何实现服务端口转发?
@qbqbqbqb 更正一下,REDIRECT 会将数据包重定向到本机,所以如果配置在路由器上就不管用了。

还是只能用 DNAT 。如果前缀不固定的话,可以给内网配置一个 ULA 前缀,重定向的时候用 ULA 作为目的地址。
2021-07-14 18:19:08 +08:00
回复了 acbot 创建的主题 宽带症候群 PPPoE IPv6-PD SLAAC 模式下如何实现服务端口转发?
如果只是改端口的话,应该可以用 REDIRECT 规则来时间
2021-07-14 18:12:40 +08:00
回复了 lolcat 创建的主题 Linux tcp/ip 协议栈中,子网掩码是存哪的?
@Nerv 电脑可以。例如双网卡同时接入一个 LAN 中,两个接口通过 DHCP 获取同一网段的两个不同地址。这种配置完全合法,不会导致网络故障。而且对于 NAS 用户使用 SMB3 多通道传输几乎必须这么配置。
2021-07-14 17:51:42 +08:00
回复了 lolcat 创建的主题 Linux tcp/ip 协议栈中,子网掩码是存哪的?
@Tianao 但是楼主提到的两个网络掩码分别是 24 和 23,不属于“去往同一目的网络(即网络地址和掩码均完全相同)的路由”,因而如果没有其它冲突的话两者都会被选为活动路由写入全局路由表,最终还是走最长匹配原则。
2021-07-10 16:29:09 +08:00
回复了 billlee 创建的主题 YubiKey Windows hello 会破坏 yubikey u2f/fido2 的正确运行
@qbqbqbqb 但是如果这样做的话,网站就要为内置密钥用户和外置密钥用户做两个 UI 了,估计有些小网站懒得做。
2021-07-10 16:25:27 +08:00
回复了 billlee 创建的主题 YubiKey Windows hello 会破坏 yubikey u2f/fido2 的正确运行
网站确实有办法 override 这个顺序,你可以看一下这个 Demo: https://webauthn.io/
里面 Authenticator Type 选择 Cross Platform 的话,就是只能用外接密钥;选 Platform 是用 Windows Hello,这个应该是标准里已经提供的功能了。
2021-07-07 14:12:03 +08:00
回复了 acbot 创建的主题 Linux ip6tables 支持负网络掩码符号吗?
ip6tables 掩码本身支持两种写法,数字和完整掩码。数字就是前缀长度,完整掩码就是类似 ipv4 那样的子网掩码,但不要求必须是前缀,可以任意写。
2021-07-07 14:08:01 +08:00
回复了 acbot 创建的主题 Linux ip6tables 支持负网络掩码符号吗?
用完整的掩码,写成"IPv6 地址 /::ffff:ffff:ffff:ffff"这种形式
2021-07-07 13:56:31 +08:00
回复了 lolcat 创建的主题 Linux tcp/ip 协议栈中,子网掩码是存哪的?
“子网掩码”和“默认网关”你可以理解成一种简化的静态路由表配置,系统根据这两个参数将其展开成完整的静态路由表(即设置“IP/子网掩码”网段走接口直连路由,"0.0.0.0/0"走“默认网关”),是不会出现在具体的报文里的(当然 DHCP 这种除外)。

比如说 192.168.128.7/24 和 192.168.128.7/23,这就是一个 IP 地址,只能代表一台主机(绝对不能将其理解为两个网段中的两个不同主机,这是一种常见的误解,如果在相互连接的网络中这样配置两台主机的话会导致 IP 冲突),只是说配置前者的话系统会认为它的网段有最多 254 台主机这么大,配置后者的话系统会认为它的网段有最多 510 台主机那么大。
2021-07-07 13:43:53 +08:00
回复了 lolcat 创建的主题 Linux tcp/ip 协议栈中,子网掩码是存哪的?
@lolcat 系统不会也无法知道你现实中的网段配置,一切按照路由表和规则来。如果路由表写成这样,按照路由表匹配规则(最长前缀),这个报文必然是走 A 口。如果实际上这台机器在 B 网段,那这个包就丢了。
2021-07-07 13:27:45 +08:00
回复了 xieqiqiang00 创建的主题 信息安全 为什么没有基于工作量证明机制的防火墙应用?
以前是有的。臭名昭著的挖矿脚本提供商 CoinHive (现在已经倒闭),以前就提供过一款 PoW 挖矿验证码,UI 很像 reCaptcha,但它不区分人类和机器人,而是要求客户端的浏览器给站长挖几秒钟矿才能放行,不是直接阻挡而是通过消耗爬虫的计算资源来阻止爬虫,同时站长还能获得挖矿收益。这款产品后来与恶意挖矿脚本一样被一并封杀了。
2021-07-06 16:14:49 +08:00
回复了 takeshima 创建的主题 Linux ip6tables 怎么设置仅放行同一网络(同一前缀)的请求
@liuxu IPv6 相比 IPv4 一大特点就是弃用 NAT 你不知道?楼主问 IPv6 防火墙怎么设,你上来就是一句“路由都是 nat 出去”,事实上同一个路由器只有 IPv4 流量才 NAT,IPv6 无 NAT,那你这个不是事实错误?
2021-07-06 16:00:30 +08:00
回复了 takeshima 创建的主题 Linux ip6tables 怎么设置仅放行同一网络(同一前缀)的请求
@liuxu

搞清楚,本贴里讨论的是**IPv6**。你说都有 NAT,那是 IPv4,跑题了。

你去买 10 个路由器,看看是不是都有 IPv6 NAT 。现在国内家用路由(不考虑刷机的),也就小米有 NAT6 (而且也是备用方案,仅推荐在 Native IPv6 不可用的时候使用),其它的 TP, ASUS, NETGEAR,对于 IPv6 都是只分配 2 开头的全球单播地址。
2021-07-06 12:26:53 +08:00
回复了 takeshima 创建的主题 Linux ip6tables 怎么设置仅放行同一网络(同一前缀)的请求
@liuxu 我只是指出你说的“路由都是 nat 出去的,放心进不来”有事实错误。你上个 ipv6 测试站,再比对一下网站上显示的你的 IP 地址和本机 ipconfig 里的“临时 IPv6 地址”一不一样,就知道到底是不是“nat 出去的”了。路由器拦不拦截传入 IPv6 连接也是要看具体设备的,如果路由器或路由模式光猫碰巧不默认开启防火墙,客户端也没开防火墙,还真“进得来”
@acbot 放到网关设备上运行也可以。SLAAC 获取的两个地址(一个永久和一个临时)里,永久地址后缀是不会变的(除非系统或硬件有改动)。完全可以在网关上拼接前缀+固定后缀得到完整地址(需要 DDNS 软件或脚本支持相应的功能)。防火墙如果是 ip6tables 的话也可以后缀匹配。
2021-07-06 11:50:11 +08:00
回复了 takeshima 创建的主题 Linux ip6tables 怎么设置仅放行同一网络(同一前缀)的请求
@liuxu "路由都是 nat 出去"不对吧。路由是网络层( IP 协议,这里还不涉及 TCP )的功能; NAT 涉及 TCP,UDP 的端口号,是传输层的功能,一般都和防火墙一起实现。显然是两种东西。只是说家用路由在 IPv4 上都固化了 NAT 功能(因为是目前的民用宽带 IPv4 接入给多台设备上网所必须的功能)而已。从原理上来看,早期 IP 充足的时候,TCP/IP 没有 NAT 也是能正常运作的。

以目前的民用宽带 IPv6 部署情况来看,上公网一律用 2 开头的公网地址。fc 开头的“内网段”只能用于内网内部通信,相应的数据包永远不会进入公网,而且一般家用路由不会配置这个段。另外还有 fe80 开头的链路内地址,也是不可能上公网的。并不存在“NAT 出去”的情况。
2021-07-06 11:37:40 +08:00
回复了 takeshima 创建的主题 Linux ip6tables 怎么设置仅放行同一网络(同一前缀)的请求
后缀匹配,写法是“IPv6 地址 /::ffff:ffff:ffff:ffff”
@acbot 可以用 SLAAC 模式,不用 DHCPv6 有状态。SLAAC 模式下内网机器会生成一个固定地址和一个临时地址,两个都可以接受连接,上网默认用临时地址(所以 DDNS 脚本需要有获取本机固定地址并上传的功能,不能让服务商自行判断你的地址),固定地址后 64 位不会变(以前是用 MAC 地址计算,即 EUI-64 ;现在操作系统都有隐私保护功能,是用另外的不暴露 MAC 地址的算法计算,如果不重装系统不更换硬件,一般也不会变)。
@msn1983aa Miracast 投屏,一般是系统级的功能,可以设置是否开启以及投屏是是否需要确认。如果你的电视有这个功能而且默认开启且无需确认的话,是可以直接投的。
要看是哪种投屏。DLNA (视频投屏)是需要连接同一个 wifi 的,各种视频 App 的投屏是这种。Miracast (桌面投屏)是通过 wifi direct,不需要连接 wifi,只要 wifi 开着就能投,安卓手机和 Win10 自带的投屏是这种。你说看见“一个手机音乐 app 的界面,上下滑动选歌”,估计就是后者。
1 ... 12  13  14  15  16  17  18  19  20  21 ... 26  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3857 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 27ms · UTC 04:15 · PVG 12:15 · LAX 20:15 · JFK 23:15
Developed with CodeLauncher
♥ Do have faith in what you're doing.