我用几个ipv6测试站点测试了我的路由器装备。我大部分时间都是10/10。但是,对于http://ipv6-test.com,我得到18/20(下面的屏幕截图)。
它基本上说我应该允许来自互联网的ICMP v6可以访问工作站。
来自互联网的未经请求的ICMP v6应该路由到工作站吗?
我使用“sollicited”ICMPv6进行区分,例如当ping -6命令从stackoverflow.com接收答案时
2
IPv6需要很多东西的ICMP。例如,IPv4可以沿路径分段数据包,但IPv6不能,并且它使用ICMP进行PMTUD。IPv6需要发现路径中最小的MTU,以便在发送之前调整数据包的MTU。一般来说,允许ICMPv6没有任何问题。这是您需要摆脱IPv4思维和IPv6思考的事情之一。
—
Ron Maupin,
我允许RELATED数据包使用网络过滤器连接跟踪机制。这应该允许ICMPv6“错误”返回来自工作站的TCP或UDP流量。在这种情况下,ICMPv6是由状态防火墙“预期”的。但是,来自互联网的完全随机的ICMPv6回声将被阻止。
—
Strangelovian
但是,您不允许主机向您发送内容,例如Web服务器,以确定路径MTU。那只是一个例子。IPv6严重依赖于ICMP,而IPv4则不然。您需要忘记IPv4思维,并进入IPv6思考。
—
Ron Maupin,
Web服务器发送哪些ICMPv6数据包类型来确定MTU?FWIW,我知道必须从WAN端口链路本地地址接受ICMPv6,以便接收邻居发现和路由器通告ICMPv6数据包。其他互联网路由被破坏!
—
Strangelovian
我会再试一次。IPv6以IPv4没有的方式使用ICMP,并且在很大程度上取决于它。你应该,一般允许ICMPv6。你真的需要放弃使用IPv6的IPv4思想。RFC 4443,用于Internet协议版本6(IPv6)规范的Internet控制消息协议(ICMPv6)说得最好:“ ICMPv6是IPv6的组成部分,基本协议(本规范要求的所有消息和行为)必须是完全由每个IPv6节点实现。 “
—
Ron Maupin