理论上只要是支持 API 的 DNS 服务商都可以实现 DDNS

拒绝入站相当于是帮用户做决定了，而且用户想改也不能轻易改
手机还好，虽然打洞麻烦，但至少有可行性。对于物联网设备，整天发包保活就太耗电了。

光猫拨号，电脑有线直连光猫，结果如何

可以参考一下腾讯的专栏 https://cloud.tencent.com/developer/column/1196

楼主先明确一下，blob url 这种程度够不够？

把服务放在封闭的内网是一种牺牲便捷性、比较偷懒的方法。但之所以这么多人推荐，正是因为其简单、有用，可以避免 IPv4 最普遍的暴力端口扫描等风险。
Gitlab 的设计初衷肯定是面向公网的。但既然面向公网，维护者就要做好相应的安全措施，而不是明知存在隐患还有侥幸心理。
权益和义务是对等的。开源免费的大型项目能及时修复无心之失的漏洞，对免费的使用者而言就已经尽到了义务。
选用小众的项目，安全性未必提升，可能反而下降。

可以参考这类监控网站 https://ping0.cc/

@cwek 还是没看出来，这相比公网 IPv6+防火墙的方案有什么额外的好处？

@ggp1ot2 关键是 NAS 的安全配好，比如设好防火墙，或者配个证书用 HTTPS 连接。楼主家的其他设备，比如电视，它应该也不会没事去访问恶意网站，除了内网只有服务商和 ISP 知道它的公网 IPv6 。至于手机，现代操作系统的安全防护也足够了。毕竟手机连流量和公共 WIFI 的时候不可能再去装个防火墙。

IPv6 是 SLAAC 的话内网设备风险不大，至于路由器本身可以扫一下看看有没有开放的端口

这家是怎么做到比运营商自己 App 的提速功能便宜这么多的

@cwek 如果需要第三方借助打洞、或者不停包发保活，想做到低能耗低延时是困难的。对外连接总是有风险，但我前面也论述了，IPV6 下外网直连的攻击面会小很多，相比之下设备自身的风险更加凸显。我还不是太理解你的方案，增加了前缀转换的步骤，能提供什么防火墙给不了的功能？

@cwek 我觉得这样可能不太好，会增加物联网设备跨子网联动的复杂度和延迟

@abc8678 “手中的设备的 IPv6 地址” “是 ipv4 在访问我。我明明没有 ipv4 的公网”

@abc8678 我的群晖自从没了公网 IPv4 以后，仅有公网 IPv6 就没出过什么日志。看了下你发的其他帖子，还是建议去调查你 NAS 的地址是怎么被捅出去的。否则要么惶惶不可终日，要么使用非常不便，难以兼顾。

@baobao1270 我是觉得 NAT 反而让大家习惯于“安全”的内网，一定程度上忽视了终端安全的建设。这样在终端移动到陌生网络或在网关配置失误时反而会出现更大的危险。

自动化端口暴露的需求还是广泛存在的，要穿越的就是 ip6tables 。

家用场景的前缀总是会变，本来就要适配动态的 IP 报告机制，所以在这里我不当作“长期固定”。当然你表达的可能是“后缀长期固定”。正如前面所说的，在端口暴露自动配置机制还不怎么可用的现在执行白名单防火墙，配置的复杂度过高但安全提升不那么明显，对于有一定网络知识的用户也很折腾，不应该是推荐的最佳实践。所以我认为用户不必过于指望家用路由具有 v6 防火墙高级功能，但厂商把更多底层做成 UI 供高级用户选用，我并不反对。

大众使用 SLAAC 、喜欢折腾使用 DHCPv6 的分法我觉得可能不太合适。喜欢折腾的人家里还是有不参与到折腾的人和设备，统一改成 DHCPv6 反而削弱了隐私扩展，更何况还有故意不支持 DHCPv6 的 Android 。如果家里没有这样的设备，全部都是服务端，那直接固定后缀应该就可以了。当然，这种场景一般会用企业级路由器，也超出了本帖的讨论范围。

@v2tudnew
我也是因为曾经想沿用 IPv4 的经验，发现配置异常繁琐才产生如此见解的。比如主帖里提到的“可以根据终端 MAC 自动配置的方案”，就是曾经试图寻找但未能实现的尝试。
只不过面临这样的困难，你我设想的路线不同。你的设想是强化私网与广域网的屏障，构造一个安全的内网，通过更多功能改善用户的体验。我的设想是取消网关上的安全边界，按照公网的标准防范，通过 IPv6 的隐私扩展和强化终端的建设来维护安全。现况与这两个设想都有一定的距离，未来会怎么发展，也只能交给时间了。

@v2tudnew 当然，你的见解也具有启发性。可以设想未来有一天，路由器和各类应用都广泛支持 PCP 机制，用户无需手动添加例外同时又可以进行管理，那默认禁止入站会是一个更优的选项。在这一天到来之前，我还是觉得有一个 IPv6 防火墙总开关就够了。