以前 ipv4 的话，只需要放行指定的几个内网的 ip 段就行了，但是 ipv6 的话统统都是公网，有什么办法能仅放行同一局域网下的请求吗，每次重连前缀都会变的，不可能每次连接后都改一次 ip6tables 。
ipv6 有局域网网段 fe80 开头的。内网可以通过这个 ip 来互相访问

同一局域网又不走防火墙
ip6tables 支持后缀匹配

一般的路由器默认会拦截外部的流量吧

路由都是 nat 出去的，放心进不来，tcp/ip 原理没变朋友，ipv6 也有内网段

后缀匹配，写法是“IPv6 地址 /::ffff:ffff:ffff:ffff”

"路由都是 nat 出去"不对吧。路由是网络层（ IP 协议，这里还不涉及 TCP ）的功能； NAT 涉及 TCP,UDP 的端口号，是传输层的功能，一般都和防火墙一起实现。显然是两种东西。只是说家用路由在 IPv4 上都固化了 NAT 功能（因为是目前的民用宽带 IPv4 接入给多台设备上网所必须的功能）而已。从原理上来看，早期 IP 充足的时候，TCP/IP 没有 NAT 也是能正常运作的。
以目前的民用宽带 IPv6 部署情况来看，上公网一律用 2 开头的公网地址。fc 开头的“内网段”只能用于内网内部通信，相应的数据包永远不会进入公网，而且一般家用路由不会配置这个段。另外还有 fe80 开头的链路内地址，也是不可能上公网的。并不存在“NAT 出去”的情况。

明天早上睡醒了洗把脸，再重新看看我在说什么，你在说什么

我只是指出你说的“路由都是 nat 出去的，放心进不来”有事实错误。你上个 ipv6 测试站，再比对一下网站上显示的你的 IP 地址和本机 ipconfig 里的“临时 IPv6 地址”一不一样，就知道到底是不是“nat 出去的”了。路由器拦不拦截传入 IPv6 连接也是要看具体设备的，如果路由器或路由模式光猫碰巧不默认开启防火墙，客户端也没开防火墙，还真“进得来”


v2ex 的人谁不知道路由是传输层，nat 是会话层的东西。你去买 10 个路由器，看看是不是都带 nat，是不是都默认都把防火墙打开了。事实错误，那你把统计数据发出来，没个测试数据支撑你能说你是事实正确么小兄弟。讲碰巧，你的巧碰的也太多了，整个 V2EX 谁不知道都没有防火墙就可以进的来。
本来我是准备说 ip 层和 tcp 层的，我又改成传输层和会话层了，免得你再钻。逗号句号我也改标准了，免得你说我标点符号用的不对。


搞清楚，本贴里讨论的是**IPv6**。你说都有 NAT，那是 IPv4，跑题了。
你去买 10 个路由器，看看是不是都有 IPv6 NAT 。现在国内家用路由（不考虑刷机的），也就小米有 NAT6 （而且也是备用方案，仅推荐在 Native IPv6 不可用的时候使用），其它的 TP, ASUS, NETGEAR，对于 IPv6 都是只分配 2 开头的全球单播地址。

IPv6 相比 IPv4 一大特点就是弃用 NAT 你不知道？楼主问 IPv6 防火墙怎么设，你上来就是一句“路由都是 nat 出去”，事实上同一个路由器只有 IPv4 流量才 NAT，IPv6 无 NAT，那你这个不是事实错误？

已 block