Windowsファイアウォールモードの「プライベート」は、ホームユーザー向けのIPv6では廃止されていますか？

いいえ。Windowsファイアウォールもコンピテントルーターのファイアウォールも「オールオアナッシング」ではありません。

ホームユーザーは通常、ホームネットワークに接続するときに、Windowsファイアウォールをプライベートプロファイルに設定する必要があります。

「プライベート」モードでは、実際にはどこでもからのすべての接続が許可されません。デフォルトのルールのほとんどは「このサブネット」のみに制限されています。これは、IPv6の場合、このモードでも、内の他のホストのみを意味します。同じ/ 64（たとえば、自宅のネットワークのみ）が受け入れられます。外部接続はブロックされたままです。

（組み込みのWindowsファイアウォールは、TCPポートよりも上位のレイヤーを認識していることにも注意してください。共有ポートで実行されている場合でも、個々のRPCサービスへのアクセスを制限できます。これもSMBファイル共有アクセスは必然的に自動的にRPC-over-SMBアクセスを許可しないことを意味します。）

デフォルトの「同じサブネット」には例外があります（たとえば、MSがNLAを信頼しているため、リモートデスクトップは広く開かれています）が、それらはwf.mscを介して簡単に変更できます。

これは2番目の理由をもたらします：プロファイルのデフォルトが悪い場合でも、持っている 2つのカスタマイズ可能なプロファイルはそれ自体が多くの上級ユーザー（少なくともカスタムルールを構成できる）によって役立つ機能ですさまざまなセキュリティレベル）。

IPv4では、通常NATの間に、ファイアウォールとして機能します。

NATはファイアウォールとして機能しません。ファイアウォールに使用されますさらに。はい、インターネット上でプライベートLANアドレスをルーティングできないため、遠くの攻撃者に対して追加のレイヤーを提供すると言えますが、ファイアウォールが行う実際のパケットとは関係ありませんフィルタリング。

NATだけで、他の形式のパケットフィルタリングがない場合、すぐにWANネイバーは、ip route addだけでLAN内に到達する方法があります。

一部のルーター（私のものを含む）には、すべてのインバウンドIPv6トラフィックを単にドロップする「IPv6ファイアウォール」があります。しかし、実際に一部のアプリケーション（リモートデスクトップなど）用に少なくとも1つのインバウンドポートを開きたい場合は、すべてをすべての人に公開するしかありません。

その場合、それはルーターのファームウェアの重大な省略です。ファイアウォールが着信IPv4に対してカスタムの「allow-specific、deny-all」ルールをサポートしている場合、理由なし IPv6に対して同じルールをサポートすることはできません。

IPv4とIPv6の両方で、ルーターが特定のホストのみ、および/または特定のポートのみへのインバウンド接続を通過するファイアウォールを実装するのは簡単です。ほとんどのホームルーターは、独自のルーターを実装していません。標準のLinuxiptablesを出荷しているため、言い訳はできません。

ルーターがカスタムIPv6ルールを提供していないことを完全に確信している場合（DNATを使用していないにもかかわらず、名前付き「仮想サーバー」または「ポート転送」の場合があります）、利用可能なファームウェアアップデートがあるかどうかを確認します。