Ho bisogno di inoltrare le porte se il mio computer ha un indirizzo IPv6?

Buona domanda.

Anche se la risposta sembra banale, in realtà non lo è.

Prima di tutto, vorrei dire che la maggior parte dei router domestici sono in realtà router+firewall. E allora, vi chiederete?

Questo ha delle implicazioni. Quando si usa IPv4, quando si fa il port-forward, si fa l'intera impostazione della regola NAT, ma anche, in aggiunta (e di solito invisibilmente nella configurazione web), si apre il firewall interno per consentire il traffico attraverso la regola del port-forward! Chiunque abbia mai fatto port-forwarding su un ASA o dispositivo simile sa che il port forwarding richiede 2 azioni: NAT-rule e access- rule.

Quando si fa port-forwarding IPv4 di solito si usano indirizzi IP privati sulla rete interna. Questo significa che questi indirizzi IP interni non cambiano indipendentemente dall'IP dinamico sulla tua interfaccia internet, sia attraverso un IP statico o una prenotazione DHCP sul tuo server DHCP. Grande!

IPv6 è diverso. La maggior parte delle implementazioni eseguono qualcosa sulla falsariga della configurazione stateless o della delega del prefisso IPV6. In altre parole, il provider ti dà una sottorete IP pubblicamente instradabile che puoi usare nella tua rete interna. Questo è fantastico! Niente più NAT. Tuttavia, cosa facciamo con il firewall...

Perché per default, il firewall sul tuo router domestico bloccherà qualsiasi connessione in entrata da internet (come dovrebbe, è un firewall!). Ma questo implica che dovete creare manualmente delle voci nel firewall per permettere il traffico verso il vostro server in ascolto. Ma come si fa a mantenere questo se per natura il vostro indirizzo di destinazione ipv6 (il vostro server interno) non è statico e può cambiare a momenti? Fondamentalmente, il grande caso d'uso per gli utenti domestici sono le applicazioni torrent.

Onestamente, non ho ancora trovato una soluzione discendente per questo. Il mio router di casa è pfsense, e mentre sembra avere alcune funzionalità per questo, non sono ancora riuscito a farlo funzionare correttamente.