@liuxu IPv6 相比 IPv4 一大特点就是弃用 NAT 你不知道？楼主问 IPv6 防火墙怎么设，你上来就是一句“路由都是 nat 出去”，事实上同一个路由器只有 IPv4 流量才 NAT，IPv6 无 NAT，那你这个不是事实错误？

@liuxu

搞清楚，本贴里讨论的是**IPv6**。你说都有 NAT，那是 IPv4，跑题了。

你去买 10 个路由器，看看是不是都有 IPv6 NAT 。现在国内家用路由（不考虑刷机的），也就小米有 NAT6 （而且也是备用方案，仅推荐在 Native IPv6 不可用的时候使用），其它的 TP, ASUS, NETGEAR，对于 IPv6 都是只分配 2 开头的全球单播地址。

@liuxu 我只是指出你说的“路由都是 nat 出去的，放心进不来”有事实错误。你上个 ipv6 测试站，再比对一下网站上显示的你的 IP 地址和本机 ipconfig 里的“临时 IPv6 地址”一不一样，就知道到底是不是“nat 出去的”了。路由器拦不拦截传入 IPv6 连接也是要看具体设备的，如果路由器或路由模式光猫碰巧不默认开启防火墙，客户端也没开防火墙，还真“进得来”

@acbot 放到网关设备上运行也可以。SLAAC 获取的两个地址（一个永久和一个临时）里，永久地址后缀是不会变的（除非系统或硬件有改动）。完全可以在网关上拼接前缀+固定后缀得到完整地址（需要 DDNS 软件或脚本支持相应的功能）。防火墙如果是 ip6tables 的话也可以后缀匹配。

@liuxu "路由都是 nat 出去"不对吧。路由是网络层（ IP 协议，这里还不涉及 TCP ）的功能； NAT 涉及 TCP,UDP 的端口号，是传输层的功能，一般都和防火墙一起实现。显然是两种东西。只是说家用路由在 IPv4 上都固化了 NAT 功能（因为是目前的民用宽带 IPv4 接入给多台设备上网所必须的功能）而已。从原理上来看，早期 IP 充足的时候，TCP/IP 没有 NAT 也是能正常运作的。

以目前的民用宽带 IPv6 部署情况来看，上公网一律用 2 开头的公网地址。fc 开头的“内网段”只能用于内网内部通信，相应的数据包永远不会进入公网，而且一般家用路由不会配置这个段。另外还有 fe80 开头的链路内地址，也是不可能上公网的。并不存在“NAT 出去”的情况。

后缀匹配，写法是“IPv6 地址 /::ffff:ffff:ffff:ffff”

@acbot 可以用 SLAAC 模式，不用 DHCPv6 有状态。SLAAC 模式下内网机器会生成一个固定地址和一个临时地址，两个都可以接受连接，上网默认用临时地址（所以 DDNS 脚本需要有获取本机固定地址并上传的功能，不能让服务商自行判断你的地址），固定地址后 64 位不会变（以前是用 MAC 地址计算，即 EUI-64 ；现在操作系统都有隐私保护功能，是用另外的不暴露 MAC 地址的算法计算，如果不重装系统不更换硬件，一般也不会变）。

@msn1983aa Miracast 投屏，一般是系统级的功能，可以设置是否开启以及投屏是是否需要确认。如果你的电视有这个功能而且默认开启且无需确认的话，是可以直接投的。

要看是哪种投屏。DLNA （视频投屏）是需要连接同一个 wifi 的，各种视频 App 的投屏是这种。Miracast （桌面投屏）是通过 wifi direct，不需要连接 wifi，只要 wifi 开着就能投，安卓手机和 Win10 自带的投屏是这种。你说看见“一个手机音乐 app 的界面，上下滑动选歌”，估计就是后者。

ip6tables 支持任意形式的掩码，规则里写成 “IPv6 地址 /::ffff:ffff:ffff:ffff” 的形式就可以匹配后 64 位了

@CrazyBoyFeng 至于安卓为什么得不到，这我就不太清楚了，有可能是手机系统自身的兼容性问题

@CrazyBoyFeng 按照你电脑上的显示，应该是通过 SLAAC 获取的地址。只有 SLAAC 才会获取一个固定和一个临时两个地址。如果是 DHCPv6 有状态获取的话只会显示一个，而且会像 v4 一样显示地址租期。

应该是公网 IP，前缀都是一致的。
IP 不一样有可能是显示错误，系统自动更换了临时 IP （ Win 系统默认是启用隐私扩展，会从同一个前缀生成一个固定 IP 和一个临时 IP，上网用后者，且系统会自动定期更换），Win10 的新版设置界面显示的信息经常滞后，看 IP 最好在控制面板里看，或者 cmd 里运行命令 ipconfig /all

至于“要不要换桥接模式”，如果仅仅看 IPv6 是否可以上网，不考虑防火墙问题的话，就不用改桥接。你这个光猫算是功能比较完备的，支持子前缀下发，二级路由也能获取前缀（有的光猫不支持子前缀下发，二级路由后面就没地址了）。

但如果考虑防火墙问题的话，可能有必要改桥接。光猫自带防火墙一般是可以改成放行的，但要超级密码，如果不能拿到这个密码的话就只能通过请师傅改桥接来避免光猫内部防火墙了。

这种光猫是支持 SLAAC 的，只要取消勾选“地址信息是否通过 DHCP 获取”这个选项就可以了。

IPv6 地址分配不是“SLAAC/IPv6”那么简单。它把 IPv4 的 DHCP 协议拆成了两个协议：RA 和 DHCPv6，其中 RA 是必选协议，DHCPv6 是可选协议。RA 负责在局域网内公布前缀网段（起到类似 IPv4 的子网掩码和网络号的作用）和默认网关，同时可以激活特定网段的 SLAAC ； DHCPv6 可以分配 DNS 地址，以及类似 DHCPv4 的统一分配地址，但是因为 DHCPv6 相比 v4 去掉了分配“前缀（相当于子网掩码）和默认网关”的功能，所以必须配合 RA 一起使用。

所以实际分配地址一般有三种模式：
1. 纯 SLAAC 无 DHCPv6，缺点是如果客户端不支持 RDNSS 扩展的话就无法取得 DNS 地址
2. DHCPv6 Stateless，即 RA 负责公布网段并激活 SLAAC，DHCPv6 只负责分配 DNS ；客户端通过 SLAAC 配置地址，再通过 DHCPv6 配置 DNS
3. DHCPv6 Stateful，即 RA 负责公布网段但不激活 SLAAC，DHCPv6 负责分配地址和 DNS ；客户端的地址和 DNS 都是从 DHCPv6 获取的。
以上第二种兼容性最好，安卓能获取地址，也不会出现某些客户端无法获取 DNS 的情况。

回到你的光猫上，可以看到里面有两个选项“地址信息是否通过 DHCP 获取”“其他信息是否通过 DHCP 获取”，都不勾就是纯 SLAAC （客户端可能获取不到 IPv6 的 DNSdizhi ），只勾第二个就是 DHCPv6 Stateless，都勾上就是 DHCPv6 Stateful

@Liqianyu NAT 连接性和过了几层 NAT 关系不大，和具体的 NAT 设备的工作模式有关。运营商内网 IP 也有可能不是 NAT3，自己的路由器、光猫如果内置防火墙规则严格的话也有可能即使有公网 IP 也是 NAT3.

Windows 系统，可以用自带的“备份和还原（ Windows 7 ）”（注意是旧版备份功能，不是新版的“文件历史记录”，后者更改备份内容不方便）。是文件级的增量备份，每次只会备份修改过的文件。还原的时候可以选择版本。

@xlx 要看机型。现在 Android 封堵了原来的后门，不允许通过第三方安装器安装 Google 全家桶。小米手机有些型号是通过 Google 认证并内置全家桶基础服务的，这些可以用。另外一些未经 Google 认证的机型就不能用。

@daizheng1998 软路由是 OpenWRT 吗？ OpenWRT 防火墙设置 WAN 到 LAN 默认就是阻止的，不需要额外设置（除非你改过）。也不存在“只能把端口全部打开或全部关上”的问题，OpenWRT 的防火墙所有规则都是可以自定义的（注意，这里需要设置的是转发 FORWARD 规则，区域为 WAN 到 LAN，而不是传入 INPUT 规则）。

其实这些手段的正确用法是，家长先为孩子设置好手机 /电脑，机主账号设置孩子不知道的密码，然后创建一个启用了青少年管理功能的账号专门给孩子使用（电脑 Windows 系统，手机上的国产安卓 UI 都有这类功能；现在的手机都有 BL 锁不能随便刷机，基本上杜绝了各种绕过方法；电脑也可以采取一定手段来保护）。不能让孩子直接使用机主账号。像视频网站这些账号也绑定家长手机，由家长设置青少年模式的退出密码。（其实现在很多网站都建议孩子的账号由家长管理，比如 Steam 的 EULA 里就声明了只为 13 岁以上的用户提供服务）

然而现在多数人的计算机知识不丰富，实践上把手机 /电脑的多用户 OS 当单用户 OS 用，直接把手机 /电脑丢给孩子玩，任由孩子随便安装软件和注册账号。自然这些软件内置的青少年管理机制起到的作用大打折扣。