装宽带时随手打开了光猫的IPv6，结果有一天发现手机版YouTube死活打不开，电脑上却一切正常。测速显示网速不慢，Ping值也低，就是某些应用转圈加载。我怀疑是路由器IPv6防火墙拦错了流量，因为同样的WiFi下，关闭IPv6换回IPv4后手机立刻恢复正常。

第一步：登录路由器后台，找到IPv6设置页面。多数路由器的IPv6防火墙默认开启，条目写着“防止外部攻击”之类。我检查时发现，虽然路由器下发的IPv6地址和网关都对，但防火墙规则把来自内部网络的某些TCP连接给丢包了。具体表现是：用电脑打开CMD输入“ping -6 [IPv6地址]”能通，但浏览器发HTTPS请求就超时。

第二步：临时关闭IPv6防火墙，没有做任何端口映射或白名单。保存后立即重启路由器，再试手机上的YouTube、Twitch等流媒体，全部秒开。为了确认不是巧合，我再次开启防火墙，问题复现。反复开关三次，结论明确：这个防火墙对所有出站流量都进行了浅层检查，导致部分加密流量被误判为攻击。

既然关闭防火墙能解决问题，那会不会有安全隐患？我查了日志，内网设备并没有暴露在公网扫描中，因为光猫本身还有一层NAT和防火墙。而且现在的路由器IPv6防火墙规则通常比较粗糙，与其让它瞎拦，不如在需要时自己用ACL做精细控制。注意：如果你的路由器支持“状态型防火墙”且能自定义规则，可以保留防火墙并添加例外。但多数家用路由器只能全开或全关，那我建议果断关闭。

问：关闭IPv6防火墙后，路由器会不会被外部攻击？

答：通常不会。大多数家庭宽带的光猫自带防火墙，路由器关闭IPv6防火墙后，仍有光猫的NAT和SPI防火墙保护。如果你的光猫是桥接模式且路由器直接公网IP，请谨慎关闭，可以先开启防火墙并添加一条允许内部所有IPv6出站规则的例外。

问：所有路由器都有这个Bug吗？怎么判断自己的路由器IPv6防火墙导致故障？

答：不是所有，但很多品牌在早期固件中普遍存在。判断方法：当IPv6启用后，部分网站或应用（尤其是海外流媒体、游戏）间歇性打不开，而关闭IPv6后一切正常，那基本就是防火墙问题。你可以像我一样临时关闭防火墙测试。

问：关闭防火墙后，路由器下方的IPv6设备还能正常获取公网地址吗？

答：可以。IPv6地址分配和防火墙是独立功能。关闭防火墙不影响SLAAC或DHCPv6，设备仍能获得公网IPv6地址，只是路由器不再主动拦截流量。建议关闭后定期查看路由器系统日志，确认没有异常入站尝试。