Setelah menggunakan IPv6 untuk bagian yang lebih baik dari satu dekade sekarang, dan menyaksikan perubahan berlalu, saya memiliki sedikit perspektif tentang ini.
Poin paling penting di sini adalah ini: NAT bukan firewall. Ini adalah dua hal yang sangat berbeda. Di Linux itu kebetulan diimplementasikan sebagai bagian dari kode firewall, tetapi ini hanyalah detail implementasi, dan belum tentu demikian pada sistem operasi lain.
Setelah Anda benar-benar mengerti bahwa hal di router yang melindungi jaringan rumah Anda adalah firewall , dan bukan NAT, maka sisanya akan jatuh ke tempatnya.
Untuk menjawab sisa pertanyaan Anda, mari kita lihat firmware router IPv6 nyata, OpenWrt versi 14.07 Barrier Breaker. Di router ini, IPv6 diaktifkan secara default dan bekerja di luar kotak menggunakan DHCPv6 dengan delegasi awalan, cara paling umum bahwa ISP akan memberikan ruang alamat kepada pelanggan.
Konfigurasi firewall OpenWrt, seperti firewall yang masuk akal, memblokir semua lalu lintas masuk secara default. Ini berisi cara untuk mengatur aturan port forwarding untuk koneksi IPv4 NATted, karena kebanyakan router lainnya sudah bertahun-tahun. Ini juga memiliki bagian aturan lalu lintas untuk memungkinkan lalu lintas tertentu untuk diteruskan; ini yang Anda gunakan sebagai gantinya untuk memungkinkan lalu lintas IPv6 masuk.
Sebagian besar router rumah yang saya lihat dengan dukungan IPv6 juga firewall inbound IPv6 secara default, meskipun mereka mungkin tidak menyediakan cara mudah untuk memajukan lalu lintas masuk, atau mungkin membingungkan. Tetapi karena saya tidak pernah benar-benar menggunakan firmware pabrik pada router rumah mana pun, (OpenWrt jauh lebih baik ) itu tidak pernah memengaruhi saya.
Memang, banyak orang menggunakan IPv6 sekarang dan sama sekali tidak tahu bahwa ini adalah masalahnya. Ketika ISP mereka mengaktifkannya, router rumah mereka mengambil tanggapan DHCPv6 dan menyediakan alamat dan semuanya Hanya Bekerja. Seandainya saya tidak membutuhkan lebih dari a / 64, saya bisa saja memasangnya dengan konfigurasi nol. Saya harus melakukan satu perubahan untuk mendapatkan delegasi awalan yang lebih besar, meskipun ini cukup mudah.
Akhirnya ada satu hal lagi: Jika Anda memiliki sistem di Internet IPv4 hari ini, ia mendapatkan segala macam upaya koneksi masuk pada berbagai port, mencoba untuk mengeksploitasi kerentanan yang diketahui atau kata sandi brute-force. Kisaran alamat IPv4 cukup kecil sehingga dapat dipindai secara keseluruhan dalam waktu kurang dari sehari. Tetapi pada IPv6, dalam hampir satu dekade saya belum pernah melihat upaya koneksi pada port apa pun. Ukuran yang jauh lebih besar dari bagian host dari alamat membuat pemindaian jangkauan hampir tidak mungkin. Tetapi Anda masih membutuhkan firewall; fakta bahwa Anda tidak dapat ditemukan dari pemindaian alamat IP tidak berarti Anda tidak dapat ditargetkan oleh seseorang yang sudah mengetahui alamat Anda karena mereka mendapatkannya di tempat lain.
Singkatnya, secara umum, tidak, Anda tidak perlu terlalu khawatir tentang lalu lintas IPv6 yang masuk karena akan diblokir secara default, dan karena rentang alamat IPv6 tidak dapat dengan mudah dipindai. Dan bagi banyak orang IPv6 akan menyala secara otomatis dan mereka tidak akan pernah menyadarinya.