Нет. Ни брандмауэр Windows, ни брандмауэр компетентного маршрутизатора не "все или ничего".
Домашние пользователи обычно устанавливают брандмауэр Windows в профиль Private, когда они подключены к своей домашней сети.
«Частный» режим на самом деле не разрешает все соединения отовсюду : большинство правил по умолчанию ограничены только «Эта подсеть», что для IPv6 означает, что даже в этом режиме только другие хосты в том же / 64 (например, просто Ваша домашняя работа) будет принята. Внешние соединения остаются заблокированными.
(Обратите внимание также, что встроенный брандмауэр Windows знает о более высоких уровнях, чем просто порты TCP: он также может ограничивать доступ к отдельным службам RPC, даже если они работают на общем порту. Это также означает, что доступ к файлу SMB для совместного использования файлов не ' t обязательно автоматически предоставляет доступ RPC-over-SMB.)
Существуют исключения из «той же подсети», которые используются по умолчанию (например, удаленный рабочий стол широко открыт, поскольку MS доверяет NLA), но их легко изменить wf.msc.
Это приводит ко второй причине: даже если в профиле были неправильные значения по умолчанию, наличие двух настраиваемых профилей само по себе является функцией, полезной для многих опытных пользователей (которые по-прежнему могут настраивать как минимум настраиваемые правила для разных уровней безопасности).
В случае IPv4 между ними обычно есть NAT, который действует как брандмауэр.
NAT не действует как межсетевой экран; он используется в дополнение к брандмауэру. Да, вы могли бы сказать, что он обеспечивает дополнительный уровень для удаленных злоумышленников - из-за того, что частные адреса локальной сети не доступны в Интернете - но это не имеет ничего общего с реальной фильтрацией пакетов, которую делает брандмауэр.
Если у вас есть только NAT, но нет другой формы фильтрации пакетов, то у ваших ближайших соседей по глобальной сети все еще есть способы проникновения в вашу локальную сеть с помощью всего лишь одного ip route add.
Некоторые маршрутизаторы (включая мой) имеют «брандмауэр IPv6», который просто отбрасывает весь входящий трафик IPv6. Но если я действительно хочу открыть хотя бы один входящий порт для какого-либо приложения (например, удаленного рабочего стола), то у меня нет выбора, кроме как открыть все для всех.
Это существенное упущение в прошивке вашего роутера. Если его брандмауэр поддерживает пользовательские правила «разрешить, запретить все» для входящего IPv4, то нет никаких причин, по которым он не может поддерживать то же самое для IPv6.
Как в IPv4, так и в IPv6 для маршрутизатора тривиально реализовать межсетевой экран, который проходит через входящие соединения только с конкретным хостом и / или только с конкретным портом. Большинство домашних маршрутизаторов даже не реализуют свои собственные; они поставляют стандартные Linux iptables, поэтому у них нет оправданий.
Если вы полностью уверены, что ваш маршрутизатор не предлагает пользовательских IPv6 правил (они могут быть названы «виртуальный сервер» или «перенаправление портов», несмотря на не связанные с DNAT), проверьте, есть ли обновление прошивки доступно.