随着家庭光纤宽带的普及家庭智能设备服务的增多，有时我们需要从外面通过互联网远程访问使用家里的设备及服务，比如路由器网关、家庭存储、家庭视频监控、BT/PT下载服务等等。这时我们需要家庭宽带有公网IP支持互联网的外部访问。随着IPv4地址的逐渐耗尽，很多运营商默认不再提供公网的IP地址(IPv4)。即使通过努力拿到公网的IPv4地址，也只是在家庭宽带拨号网关上(光猫或者路由器)有了公网IP，家庭接入的其它设备，像电脑、家庭存储NAS、家庭NVR(网络视频存储)等等还是只有内部网络地址，需要在网关上正确配置端口映射、防火墙等一系列网络服务配置。如果从运营商争取不到公网IPv4地址，那只能考虑内网穿透等更复杂的方案了。这些方案已经不是普通的家庭宽带用户能掌握的。

与此同时，各大运营商也纷纷开通了IPV6服务。现在家庭宽带一般都会支持IPv6了。IPv6可以让家里每一个设备都有独立的公网地址，方便家庭设备及服务的访问和使用。前几天，也写了一篇文章介绍家庭宽带IPv6的配置，让家里的智能设备可以有公网IPv6地址 (合理配置电信宽带IPv6，家里的每个设备都可以有IPv6公网地址)，方便用户通过IPv6访问使用家庭设备及服务。

但有些友友会担心设备配置公网的IPv6地址会使用家里的设备暴露在互联网上，存在安全隐患。这些担心是合理的，如果完全没有外部互联网的访问需求，可以选择使用内部局域网IP地址，无需追求公网IP地址。但IPv6的公网地址也并非意味着不安全，IPv6作为新一代的IP地址协议，有着更多的安全设计属性。我们需要在家庭网关上正确设置IPv6防火墙，只允许确实需要外部访问的设备服务能够通过互联网访问，没有配置允许访问的家庭设备及服务无法从互联网访问。

一般情况下，家庭网关默认都会开启IPv6的防火墙，我们会发现，即使家庭网络中的设备有了公网的IPv6地址，依然无法从互联网访问。本文以家里使用的华硕路由器为例，介绍一下如何配置家庭IPv6防火墙。其它品牌的防火墙配置一般也大同小异。

下图是华硕路由器IPv6防火墙的配置界面，默认情况下，IPv6防火墙会是启用状态，也没有配置任何传入防火墙规则。这种情况下，是无法从互联网上访问家里的IPv6服务的。

IPv6防火墙配置界面

我们以一个在家庭存储上的BT/PT下载服务qBittorrent为例来看如何配置IPv6防火墙的传入规则配置。此处qBittorrent是使用IPv6地址及8085端口提供访问的。在默认的IPv6防火墙配置下，是无法从互联网使用其IPv6地址访问到该服务，

qBittorrent

一个IPv6传入防火墙规则需要填写以下几个字段：

服务名称：名称可以随意取，容易识别就好。

Remote IP/CIDR：远程允许访问的地址，可以是单个IPv6地址，也可以是一个IPv6网段；如果不限制从哪里访问，可以不填；比如要限制只能f从2408开始IPv6地址访问，可以输入 2408::/16。

本地IP：允许访问的家庭网络中的IPv6公网地址。可以是具体的一个IPv6地址，也可以是网段或者掩码地址段。如2408:8207:1924:1234::1001, 2408:8207:1924:1234::1/64，2408::1001/::ffff等。2408:8207:1924:1234::1001是一个具体的IPv6地址，2408:8207:1924:1234::1/64表示以2408:8207:1924:1234为前缀的所有IPv6地址，2408::1001/::ffff表示以1001结尾的所有IPv6地址。

通信端口范围：可以是单个端口（如8085)，可以一个端口范围（如 8088:8099），或者混合（如 8085, 8088:8099)。

通信协议：可以选择 TCP、UDP、BOTH和OTHER。

以前面的qBittorrent服务为例，设置的防火墙规则可以如下:

服务名称：qBittorrent

Remote IP/CIDR: 空白 （允许从所有地址访问）

本地IP：2408::c7ed/::ffff （允许访问家庭网络中c7ed结尾的IPv6地址）

通信商品范围：8085

通信协议: TCP

qBittorent服务IPv6防火墙规则配置

添加好防火墙规则，点击应用本页面设置，等待设置应用成功后，我们就可以通过IPv6从互联网访问家庭网络中的qBittorrent服务了。

有一点需要解释说明的是为什么没有在本地IP中填写qBittorrent服务具体的完整IPv6地址。这是因为家庭宽带运营商一般不提供固定的IPv6地址前缀给家庭用户，前缀地址每次拨号而且定期会发生改变，家庭设备服务的IPv6地址也会随之改变。但无论是有状态还是无状态的IPv6自动配置设置，我们是可以控制一个家庭设备服务的IPv6地址后缀。这样就可以在路由器网关重启或者运营商分配的IPv6地址前缀发生变化时防火墙规则依然有效。

为方便从互联网的访问，可以配合DDNS动态域名服务，包括华硕路器的很多智能设备都有内置的DDNS服务。这样我们就可以通过域名方便访问服务了。没法设置DDNS动态域名的家庭设备，我们也可以从路由器网关的动态域名中得到当前的运营商动态IPv6地址前缀，连接上分配给设备IPv6地址后缀后也就可以得到完整的设备动态IPv6地址了。