@vhus 大部分家用路由器都自带 IPv6 防火墙默认开启，有的还不提供关闭防火墙的设置（比如 NETGEAR ）。但凡是路由器拨号用户基本都不用考虑这个安全问题。
有问题的反而是光猫自动拨号用户，光猫超级管理员页面有一个防火墙设置，设为高则默认阻断，设为低则默认暴露，这个设置都是运营商自动推送的，而且用户不破解超密也没法修改。

virtualbox 应该可以用 ubuntu 源里的开源版吧，和 Oracle 官网版本没什么区别，也支持安装那个 extension 包

另外，如果你所有网段都配置在一台 OpenWRT 路由器上（其中只有 Internet 的接口开启 NAT，其它内部网段都关闭 NAT ），即星形拓扑的情况，可以不用手动设置静态路由。

最简单的方式就是买个能刷 OpenWRT 的路由，然后防火墙设置里关闭“IP 动态伪装”就是关闭 NAT 了，再配置好静态路由和防火墙允许转发，网段之间就可以互相访问了。

@MonoLogueChi 关闭 NAT 指的是类似于计网教科书上那样的“纯路由”模式，内网里划分多个网段，相互之间没有 NAT，可以用 IP 互相访问。

@SunriseHill 需求肯定是内网划分多个可以互访的网段

@ahhui ftp 被动模式应该没问题，客户端再开一个连接 CONNECT 就行了，除非代理服务器不支持并发。

@zro DHCP Relay 单用不能实现 IPv6 中继，还需要 NDP Proxy 。

因为 iptables 在这里只是起到一个 NAT 的作用，指定从 eth8 出去的数据包需要进行 IP 伪装。
具体数据包的流向，还是由路由表负责的。

汗，写了这么多突然发现搞错了，还有个 A 网卡...

如果没有 A 网卡的话，我这个配置是没问题的。
有 A 网卡的话，就需要按照上面其它网友说的那样配置策略路由了。但是你这个 iptables 的配置应该是没有问题不需要改的。

补充一下，配置正确的话路由表里应该有这样几个条目：
网段 掩码 下一跳 接口
0.0.0.0 0.0.0.0(默认路由) 192.168.33.254 eth8
172.16.20.0 255.255.255.0 0.0.0.0(直连) eth7
192.168.33.0 255.255.255.0 0.0.0.0(直连) eth8

如果两个网卡上都有默认路由那就是配置错了。

如果不是纯手动命令配置，而是使用了某些网络配置工具（图形界面或者配置文件的），注意 eth7 （内网网卡 172 网段）上面应该只配置相应的 IP 地址，“默认网关”必须留空不配置。eth8 （ 192 外网网段）配置相应的 IP 地址，同时“默认网关”设置成下一跳 192.168.33.254 。

这个 iptable 的 NAT 设置应该没有问题
检查一下：
1. 路由表是否正确？检查路由表里面默认路由是不是从 192.那个接口出去的。如果有问题的话就要修改网络设置，172.那个网卡应该只配置 IP 不配置网关。
2. 有没有启用 IP 转发功能？命令 sysctl net.ipv4.ip_forward 输出 1 才算成功。如果输出 0 的话就要修改配置，命令 sysctl -w net.ipv4.ip_forward=1 可临时启用，要永久启用还要修改 sysctl 相关配置文件。

@wazon Relay 模式实现的透传，肯定是会改 MAC 的。应该能起到伪装 MAC 的作用。而且 traceroute 里会多路由器一跳。

如果是 NETGEAR 这种真透传，就不会改 MAC，traceroute 里也看不到路由器。

题外话，其实 IPv6 有防火墙的情况，也可以沿用以前的 NAT UDP 打洞设施来实现穿透防火墙 P2P 通信，而且成功率比穿透 NAT 更高，因为不存在某些特殊类型 NAT 打不了洞的情况。

说一下目前我知道的：

华硕(ASUS)路由器：支持 IPv6 防火墙开关和自定义放行规则； IPv6 模式里有"Passthrough"但实际上是 Relay 模式（即不是真的透传，而是通过 NDP Proxy 来实现同前缀的不同子网的联通），使用 6relayd 实现，不太稳定。（目前通过 Relay 实现 IPv6 透传只有两种方案，一种是不太稳定的 6relayd，另一种是新版 OpenWRT 专用的 odhcpd，后者比较稳定）

网件(NETGEAR)路由器：支持 Passthrough 模式（真透传，非 Relay ）；不支持防火墙配置，IPv6 标准模式下禁止传入连接，Passthrough 模式下无防火墙。

TP-Link：新固件才支持 IPv6 。支持 IPv6 透传（固件里称为“桥模式”）。应该不支持防火墙配置。

@zxc1234 “监视器”是 monitor 这一词的直译，放在这里不容易理解是什么意思。
“管程”是专有名词，特指某些编程语言内建的一种互斥同步机制（相关知识在市面上的操作系统教材中都有描述）。
所以 Java 中的 monitor 应译为管程，更加准确。

同款路由，不过我用的是原版 OpenWRT 系统，个人觉得 OpenWRT 比较干净可靠，而且性能也不赖（ mt7621 NAT 加速已经并进 Linux 主线内核，有线随便跑），无线稍差一些（协商 866Mbps 实际速度 200~300Mbps ）但是影响不大。

高恪系统现在支持 ipv6 吗？现在很多地区家庭宽带都能用 ipv6 了，所有内网设备都有公网 ipv6，配合支持 v6 的 ddns 可以免转发访问家中设备。

端口的话，路由器防火墙打开（华硕、Openwrt 默认开启防火墙，可配置；网件防火墙强制开启不可配置），默认就是禁止所有入站连接的，不用担心安全性。