一旦IPv6成为标准，基于IP的规则（例如，禁止/过滤器）将受到怎样的影响？

鉴于Stack Exchange网站禁止使用IP，我想知道是否存在基于用户IP制定规则以支配行为的普遍观点或策略。

使用IPv4，您可以相当可靠地假设给定IP的几件事：

1. 共享子网的IP可能是同一用户
2. 尽管IP可以在各种实际端点中重复使用，但是相对不太可能看到来自IP的重复连接，这些连接不是同一用户，或者至少是同一家庭/组织（基本上是共享连接）
3. 用户获得新的公共IP并不容易（这里存在中等规模的进入障碍）

使用IPv6，您可以假设所有这些吗？我可以想象，至少第二点将不再成立，因为NAT'ing应该基本上会与IPv6分离，因为对于任何想要的人来说都会有足够的IP。

如果您有一套基于IP的策略，那么由于两者之间的差异，需要对IPv6进行哪些考虑？

对于IPv6，我认为没有完美的解决方案。但是有很多事情要考虑：

• ISP可能会将/64子网分配给各个客户。（将有足够的空间。）
• /64每个办公室的工作场所可能至少有一个。
• 严格提供点对点链接的ISP 可以选择使用/64和之间的前缀/126。（请查看为什么他们通常不使用/ 127）这可能是近视ISP，或者是想要为完整费用更高的ISP /64。确实没有理由每个端点（可能是完整的客户网络）都不应该是/64。
• 假设最IPv6的终端用户的子网将在一个/64，人们可以看到在接口标识符（见第6位第3.2.1节的RFC 4941），以检查它是否基于全局唯一标识符（MAC地址）中的可能产生。显然，这并非万无一失。但是如果将该位置1，则可能表明该地址是从MAC地址生成的。因此，可以基于后64位阻止IPv6地址，并且无论用户来自哪个子网，都可以阻止用户。（也许最好将其用作“提示”，因为MAC地址虽然应该是全局唯一的，但实际上并不总是这样。而且它们很容易被欺骗。但是任何精明的人都可能会发现麻烦，抓住一个/64并获得2 ^ 64个唯一地址。）
• 如果正在使用隐私地址...除了在短时间内阻止该地址外，没有什么可做的。无论如何，它很快就会改变。此时，请考虑到网络部分/64，但请注意，因为您可能会阻止某人的整个公司办公室。

我想说，最好的方法是先查看单个地址，然后考虑地址的后64位以及特定/64子网的滥用模式，以实施阻止策略。总结一下：

• 首先阻止单个/128IP地址（就像今天使用IPv4一样）
• 如果您在地址的后64位中注意到来自非隐私地址的滥用模式，则可以将其用作阻止算法中的有力指示。可能有人在ISP或子网之间跳来跳去。（再次，请注意这一点，因为MAC不一定是唯一的-有人可能会欺骗以利用您的算法）。此外，这仅适用于不知道IPv6如何工作的滥用者。;-)
• 如果您发现某个特定对象存在滥用行为/64，请/64用一个好的错误消息阻止整个对象，以便有问题的网络管理员可以完成需要进行的任何工作。

祝好运。

您列出的假设：

共享子网的IP可能是同一用户

继续存在-实际上，如果ISP将IPv6子网分配给其客户，情况将变得更加真实。

虽然IP可以在各种实际端点中重复使用，但是相对不太可能看到来自IP的重复连接，这些连接不是同一用户，或者至少是同一家庭/组织（基本上是共享连接）

继续保持（实际上如上所述适用于整个子网）。

用户获得新的公共IP并非易事（此处存在中等规模的进入障碍）

不太适用于单个IP，但适用于ISP分发的子网。

因此，基本上，我们正在研究的是我们目前拥有IP禁令的子网禁令，假设ISP将子网分发给所有用户。相反，如果用户获得单个IPv6地址（每个用户一个），那么我们正在查看单个IPv6禁令，如果存在许多行为不佳的用户，这可能导致更长的禁令表（以及相关的性能问题）。
无论哪种情况，IP禁令都将成为更精细的工具（例如，由于一个人的不当行为，阻止具有动态池的ISP阻止大量用户的风险），在我看来，这是一件好事...

Wikipedia / MediaWiki在阻止/ 64内的第五个IP时采用了阻止整个/ 64的策略。

五个似乎是其他人采用的标准经验法则-我见过的两个DNSBL都采用相同的策略。

我什至没有见过任何计划将区块聚集到/ 64以上，即使对于一个中等规模的组织来说，获取/ 48或/ 56也很容易。当然，垃圾邮件发送者当前通常具有/ 24（IPv4）左右，因此我希望他们将开始抢占较大的IPv6空间。

共享子网的IP可能是同一用户

仍然适用，对于v6甚至更适用。

尽管IP可以在各种实际端点中重复使用，但是相对不太可能看到来自IP的重复连接，这些连接不是同一用户，或者至少是同一家庭/组织（基本上是共享连接）

v6可能比v4更真实。

用户获得新的公共IP并不容易（这里存在中等规模的进入障碍）

在大多数情况下，ISP会分发地址块，而不是单个地址。客户很容易在自己的区域内移动周围的物体。很难（尽管很不可能）获得新的障碍。

最困难的一点是，分配给客户的规模千差万别。一些ISP分发单独的地址，一些/ 64块，一些/ 56块，一些/ 48块。

这将很难提出一个适用于所有ISP的明智的禁止/限制政策。是“热”电话/ 48是单个滥用者，他发现提供大量块的ISP，还是在提供单个地址的小气手机提供商上的大量用户？

PS拒绝实施IPv6也不是什么好话，因为随着IPv4耗尽，越来越多的客户将成为某种形式的ISP级别NAT的支持者。

我认为这在很大程度上取决于ISP的工作方式。他们会继续向用户提供真实的动态IP吗？如果不是，或者每个用户都独享自己的ip /子网，则IP将开始与车牌几乎相同。

当我了解到IPv6将会大大增加IP地址的数量但不会增加每个主机的端口数量时，我首先感到困惑。由于计算机变得越来越强大，从而变得更有能力来维护一个巨大的并发连接数，不限于每IPv6地址65535个端口的最大似乎“下一个瓶颈”。

然后我再考虑一下，意识到将多个IPv6分配给一个物理接口是微不足道的，这样就可以绕开可以连接到主机的端口数量的限制。实际上，考虑一下，您可以轻松地为主机分配1024或4096个IPv6地址，然后在所有地址的各个端口上随机分布服务，这给端口扫描程序带来了相当大的困难（至少在理论上如此） 。

现在，诸如主机虚拟化（在功能相对强大的物理主机上有多个较小的虚拟主机）和手持设备（将IPv6连接的移动设备连接到地球上的每个人）之类的趋势可能会对此提出反对，未来互联网上的大多数主机可能会使用端口数量很少，因此每个主机仅需要一个IPv6地址。

（但是，“隐藏”在您拥有的所有IPv6地址池中的能力仍然可以提供一定的安全性，即使在大多数情况下也可以做到这一点），这些资源都是您自己拥有的，并且可以从中随机选择。