这次排查起因是家里升级了千兆宽带，运营商顺便开了IPv6。本来想着IPv6能提升P2P下载效率，结果却发现一个奇怪现象：在外地用手机流量能正常通过域名访问家里的NAS，但在家里用局域网WiFi输入同一个域名反而打不开。开始怀疑是DNS解析问题，把路由器内置的DNS缓存清了一遍，没用。又检查了端口转发和NAT回流，设置都是正确的。

后来打开路由器的安全日志，发现大量来自内网IPv6地址的连接被“IPv6防火墙”丢弃的记录。原来我用的这台路由器的IPv6防火墙默认开启了“仅允许外网入站连接”模式，导致局域网内设备用域名（解析出IPv6地址）访问NAS时，被防火墙当作外网入站流量拦截了。找到问题后，我进入路由器后台，在“IPv6防火墙”设置中把规则改为“关闭”或“允许所有”，保存重启。实测局域网内域名访问NAS立即恢复正常，而且外网访问也不受影响。

第一步：登录路由器管理页，找到“安全设置”或“防火墙”栏目下的“IPv6防火墙”选项；第二步：确认当前模式是否为“仅允许已建立的连接”或“严格”，直接选择“关闭”或“允许所有入站”；第三步：保存设置并重启路由器（部分型号无需重启，但保险起见建议重启）。注意关闭防火墙会降低对IPv6流量的防护，如果担心安全，可以改为“只允许特定端口”或添加例外规则，比如只放行NAS的端口。

问：IPv6防火墙会影响哪些局域网服务？

答：主要影响内网设备通过IPv6地址相互访问的服务，比如NAS、打印机、摄像头、Web服务器等。如果这些服务使用了IPv6域名，且防火墙默认拒绝入站，就会出现在局域网内反而连不上的情况。

问：关闭IPv6防火墙后是否安全？

答：完全关闭IPv6防火墙会让所有IPv6入站流量直通设备，如果设备本身有漏洞可能被攻击。建议针对需要访问的服务单独放行端口，或者通过路由器上的IPv6 ACL（访问控制列表）限制来源IP。

问：如何只放行NAS的IPv6访问而阻止其他？

答：在IPv6防火墙中设置规则，源地址选“任意”，目标地址填NAS的内网IPv6地址，协议和端口按需设置（例如TCP 5000），动作设为“允许”。然后再加一条“拒绝所有”的规则作为默认动作即可。