《NetBSD指南-23.9.4.安全考虑》

[leo]

相对于 “配置隧道” 设置, 通常你不能设置数据包过滤器以阻止那些来自未经认证机器的6to4数据, 因为这恰恰是需要6to4工作的原因和必要条件. 因此, 恶意用户可以发送无效/危险的IPv6数据包负载， 如果你没有在边界路由器上过滤, 带有下列特征的数据包将不能像有效的6to4数据包那样被接受, 而一些防火墙看起来正好能对付它们:

• 未经指定的IPv4 源/目标 地址: 0.0.0.0/8
• 外部(v4)回路的 源/目标 地址: 127.0.0.0/8
• 源/目标 地址中的IPv4多播地址: 224.0.0.0/4
• 限制的广播: 255.0.0.0/8
• 将子网广播地址做为 源/目标: 根据你的IPv4设定

NetBSD的 stf(4) 用户手册中收录了一些常见的配置错误，这些错误会被KAME堆栈默认阻止，另外手册中还有对防火墙更深入的建议, 但是记住因为对这些防火墙的依赖， 6to4并非完全安全.不过话说回来, 如果伪造的6to4数据包让你头疼, 你可以使用IPsec认证来确认IPv6数据包未被改动