防火墙aft

这个本地控制不了的 

从纯 IPv4 的内网访问一个支持 IPv6 的网站（如 baidu.com），返回 IPv6 地址是完全符合标准的现代网络行为。要强制其返回 IPv4 地址，并非在浏览器里点点鼠标就能达成，而是需要从系统、浏览器或网络层面进行调整。

💡 为什么会返回 IPv6 地址？

这主要取决于两个环节：

1. 域名解析策略：你的 DNS 服务器在收到 baidu.com 的解析请求时，会根据请求类型同时返回 IPv4 (A记录) 和 IPv6 (AAAA记录) 地址-。在双栈环境下，为了推广 IPv6 的应用，服务器通常会优先返回 IPv6 地址-45。

2. 操作系统/浏览器优先级：现代操作系统（如 Windows 及各类 Linux 发行版）在同时拿到 IPv4 和 IPv6 地址后，会首先尝试与 IPv6 地址建立连接。对于大多数现代浏览器来说，这同样是默认行为，它们会优先尝试使用 IPv6 地址进行连接。

🛠️ 如何解决？

导致 IPv6 访问出现问题的原因通常是网络运营商提供的 IPv6 体验不佳（如速度慢或不稳定）。这里有几个不同深度的解决方法，你可以循序渐进地尝试：

🧩 方案一：浏览器层面临时处理（推荐首选）

如果你只是偶尔遇到问题，或在调试时希望临时禁用 IPv6，通过浏览器自身的设置就能很快搞定。

• Chrome/Edge/Brave 等 Chromium 内核浏览器

  1. 方法 A：在浏览器桌面的 chrome.exe 快捷方式上右键，选择“属性”，在“目标”栏的最后面空一格，输入以下参数，保存后使用此快捷方式重启浏览器即可。

     --disable-ipv6

  2. 方法 B：在地址栏输入 chrome://flags/ 并回车，搜索 "IPv6"，如果找到相关条目，可尝试将其设置为 "Disabled"。需要注意的是，部分 Chromium 版本可能已经移除了这个选项。

• Firefox
  在地址栏输入 about:config 并回车，点击“接受风险并继续”。
  搜索 network.dns.disableIPv6，将其值双击改为 true 即可。
  

💻 方案二：操作系统层面调整（推荐首选）

如果不想为每个浏览器都单独设置，或网络层面的调整无法下手，那么通过微调操作系统的网络策略，可以一劳永逸地在全局层面解决问题。

对于 Windows 系统

• 方法 A：修改注册表（推荐）

  1. 按 Win + R，输入 regedit，然后点击“确定”以打开注册表编辑器。

  2. 在注册表编辑器的地址栏输入或粘贴以下路径，然后按 Enter 键快速跳转。

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters

  3. 在右侧的空白处，右键点击，选择“新建” -> “DWORD (32位)值”，并将其命名为 DisabledComponents。

  4. 双击新建的 DisabledComponents 项，在“数值数据”框中输入 32，并确保“基数”选择的是“十进制”。

     32 的含义是“优先使用 IPv4 而非 IPv6”，这是微软官方推荐的做法，既能保证系统组件的稳定性，又能让你首选 IPv4。

  5. 点击“确定”，然后重启电脑以使更改生效。

     • 验证方法：重启后，打开命令提示符（cmd），输入 ping bing.com，如果 ping 命令返回的是 IPv4 地址（如 20.x.x.x），则说明设置已成功。

• 方法 B：直接禁用网卡的 IPv6 协议（不推荐）
  在“网络和共享中心” -> “更改适配器设置”中，右键你的网络适配器，选择“属性”，然后在列表里取消勾选“Internet 协议版本 6 (TCP/IPv6)”，点击“确定”即可。

  微软官方及不少技术建议，除非排查问题的需要，否则不建议彻底禁用它。这不仅影响你的使用体验，还可能影响某些系统组件的正常运行。

对于 Linux 系统（以 Ubuntu 为例）

• 方法 A：调整地址选择策略（推荐）

  1. 编辑 /etc/gai.conf 文件：打开终端，输入 sudo nano /etc/gai.conf。

  2. 在文件末尾添加一行：

     precedence ::ffff:0:0/96 50

  3. 保存文件，这个修改会立即生效。

     • 验证方法：在终端输入 getent ahosts ***.***，如果列表中 IPv4 地址 (::ffff:...) 排在所有 IPv6 地址之前，就表示设置成功了。

• 方法 B：彻底禁用 IPv6 协议（不推荐）
  编辑文件 /etc/sysctl.conf，在末尾添加以下两行：

  net.ipv6.conf.all.disable_ipv6 = 1

  net.ipv6.conf.default.disable_ipv6 = 1保存后，运行 sudo sysctl -p 使配置生效。

  同样，彻底禁用 IPv6 也可能导致某些依赖它的应用程序工作异常。

🌐 方案三：网络/DNS 层面解决

如果你希望为局域网内所有设备一次性解决问题，可以从网络根源入手。这通常涉及更换一个只返回 IPv4 地址的 DNS 服务器，或者在本地部署一个可以过滤掉 IPv6 地址的 DNS 代理。

• 在路由器上修改 DNS 服务器：登录你的路由器管理后台（通常是 192.168.0.1 或 192.168.1.1），在网络设置或 DHCP 服务器设置中，找到 DNS 服务器的设置项。将原本由 ISP 提供的 DNS 地址，改为一些仅提供 IPv4 解析服务的第三方 DNS 服务器地址。

• 配置 Linux 的 DNS 解析器：如果使用 systemd-resolved，可以在 /etc/systemd/resolved.conf 中设置 DisableAAAAQuery=yes，这会让本地的 DNS 解析器停止查询 IPv6 地址，从而从根本上阻止获取到 IPv6 地址。

• 修改 resolv.conf (已过时)：在 /etc/resolv.conf 文件中添加 options no-aaaa，也可以使系统的 DNS 解析器不查询 AAAA 记录，但这一方法在现代 Linux 发行版中已很少依赖

一、现象原因

• 内网 IPv4 主机 → 防火墙（AFT/NAT64）→ 公网 DNS
• DNS 应答里同时有 A（IPv4）+ AAAA（IPv6）
• 防火墙开启了 DNS64 ALG，会把 AAAA 记录优先 / 强制返回给内网 IPv4 主机
• 导致你看到的是 IPv6 地址，而不是想要的 IPv4

• 内网发 A 查询 → DNS 返回 A 记录（IPv4）
• 防火墙不篡改、不合成 AAAA 记录

二、解决方法（H3C 防火墙 AFT 场景）

方法 1：关闭 DNS64 ALG（推荐，全局生效）

• 作用：内网 IPv4 发 A 查询 → DNS 返回原始 A 记录（IPv4），防火墙不干涉
• 验证：内网 nslookup baidu.com 只出 39.156.66.10 这类 IPv4

方法 2：DNS 服务器侧强制只返回 A 记录（如果可控）

• 对 baidu.com 只请求 A 记录，不请求 AAAA
• 不同设备命令不同，H3C 防火墙 DNS 转发视图下：

方法 3：AFT 策略不启用 DNS64 前缀（避免合成 IPv6 地址）

• 这样防火墙不会把 DNS 的 A 记录合成 AAAA 记录返回

三、完整可直接用的配置示例（H3C V7 防火墙）

四、验证步骤

1. 内网主机：nslookup baidu.com
   • 正常：只返回 39.156.66.10、220.181.38.251 等 IPv4
   • 异常：还出现 2400:da00::xxx 这类 IPv6
2. 防火墙看会话：

• 只看到 v4tov6 会话，没有 DNS64 合成会话