双栈监听：为什么一个 IPv6 监听端口也能接受 IPv4 连接

目录

• 双栈监听：为什么一个 IPv6 监听端口也能接受 IPv4 连接
  • 什么是双栈监听
  • Linux 中的关键参数
  • 为什么 ss 只显示 IPv6，但 IPv4 也能连？
  • IPv4-mapped IPv6 地址
  • 常见监听方式对比
  • 应用程序如何控制双栈行为
  • 如何禁止 IPv4 通过 IPv6 socket 进入
  • 如何排查双栈监听
  • 生产环境建议
  • 总结

---

双栈监听：为什么一个 IPv6 监听端口也能接受 IPv4 连接

在 Linux 网络服务部署中，经常会看到一种现象：服务明明监听的是 IPv6 地址，例如：

[::]:8080

但 IPv4 客户端仍然可以访问：

192.168.1.10:8080

这背后的机制就是双栈监听。

什么是双栈监听

双栈监听指的是一个监听 socket 同时接受 IPv6 和 IPv4 连接。

典型监听地址是：

[::]:8080

:: 是 IPv6 的 unspecified address，类似 IPv4 中的 0.0.0.0，表示监听所有 IPv6 地址。

在某些系统配置下，这个 IPv6 socket 不只接收 IPv6 连接，还会接收 IPv4 连接。IPv4 连接会被内核映射成 IPv4-mapped IPv6 地址。

例如 IPv4 客户端：

192.168.1.100

在服务端可能表现为：

::ffff:192.168.1.100

这就是 IPv4-mapped IPv6 address。

Linux 中的关键参数

Linux 是否允许 IPv6 socket 接收 IPv4 连接，主要由这个参数控制：

sysctl net.ipv6.bindv6only

查看当前值：

sysctl net.ipv6.bindv6only

常见结果：

net.ipv6.bindv6only = 0

表示 IPv6 socket 默认不是 IPv6-only，可以接受 IPv4-mapped 连接。

net.ipv6.bindv6only = 1

表示 IPv6 socket 只接受 IPv6 连接，不接受 IPv4。

为什么 ss 只显示 IPv6，但 IPv4 也能连？

假设服务监听端口 8080，执行：

ss -ltnp -4 | grep 8080
ss -ltnp -6 | grep 8080

可能看到：

ss -ltnp -4 | grep 8080
# 无输出ss -ltnp -6 | grep 8080
LISTEN 0 4096 *:8080 *:*

这表示系统中没有单独的 IPv4 listener，只有一个 IPv6 listener。

但如果：

net.ipv6.bindv6only = 0

这个 IPv6 listener 仍然可以接收 IPv4 连接。因此，IPv4 能访问并不说明存在 IPv4 socket，而是 IPv4 流量被这个 IPv6 socket 接收了。

IPv4-mapped IPv6 地址

双栈监听接收 IPv4 连接时，内核会把 IPv4 地址映射到 IPv6 地址空间中。

格式是：

::ffff:a.b.c.d

例如：

::ffff:192.168.1.100

这表示实际客户端是 IPv4 地址：

192.168.1.100

很多应用日志里如果看到 ::ffff: 前缀，不代表客户端真的使用了 IPv6，而是 IPv4 连接通过 IPv6 socket 被接收了。

常见监听方式对比

监听所有 IPv4 地址：

0.0.0.0:8080

只接收 IPv4 连接。

监听所有 IPv6 地址：

[::]:8080

在 bindv6only = 0 时，可能同时接收 IPv6 和 IPv4。

监听本机 IPv4：

127.0.0.1:8080

只允许本机 IPv4 访问。

监听本机 IPv6：

[::1]:8080

通常只允许本机 IPv6 访问。

监听指定 IPv6：

[2402:4e00:c030:7c00:4438:550a:b49a:0]:8080

只绑定该 IPv6 地址。是否接受 IPv4-mapped 连接还取决于系统和 socket 选项，但实践中双栈监听最常见的是 [::]:端口 这种 wildcard bind。

应用程序如何控制双栈行为

应用程序通常有三种方式控制监听行为。

第一种，监听 tcp 或默认协议族，让系统决定：

tcp

在很多语言和框架中，这会根据地址和系统参数决定是否双栈。

第二种，明确监听 IPv4：

tcp4

只创建 IPv4 socket。

第三种，明确监听 IPv6：

tcp6

只创建 IPv6 socket，通常不会接受 IPv4 连接。

不同语言、运行时和操作系统对默认行为可能略有差异。生产环境中如果需要确定行为，最好显式指定协议族或设置 socket 选项。

如何禁止 IPv4 通过 IPv6 socket 进入

有两种常见方式。

系统级方式：

sudo sysctl -w net.ipv6.bindv6only=1

持久化可写入：

/etc/sysctl.conf

或：

/etc/sysctl.d/*.conf

例如：

net.ipv6.bindv6only = 1

然后执行：

sudo sysctl -p

这种方式会影响整台机器上依赖默认 IPv6 socket 行为的服务，需要谨慎。

应用级方式是显式监听 IPv6-only，例如使用 tcp6，或在代码中设置 IPV6_V6ONLY socket 选项。这样影响范围更小，通常更适合单个服务精确控制行为。

如何排查双栈监听

查看监听端口：

ss -ltnp | grep 8080

区分 IPv4 / IPv6：

ss -ltnp -4 | grep 8080
ss -ltnp -6 | grep 8080

查看系统参数：

sysctl net.ipv6.bindv6only

测试 IPv4：

nc -4 -vz 192.168.1.10 8080

测试 IPv6：

nc -6 -vz 2402:4e00:c030:7c00:4438:550a:b49a:0 8080

查看已建立连接：

ss -tnp | grep 8080

如果服务日志或 ss 中看到：

::ffff:192.168.1.100

说明这是 IPv4 客户端通过 IPv4-mapped IPv6 形式进入。

生产环境建议

如果你希望服务同时支持 IPv4 和 IPv6，可以使用 [::]:端口 并确认 net.ipv6.bindv6only = 0，或者分别启动 IPv4 和 IPv6 两个 listener。

如果你希望只支持 IPv4，监听：

0.0.0.0:端口

或指定 IPv4 地址。

如果你希望只支持 IPv6，优先使用应用级 IPv6-only 配置，例如 tcp6 或 IPV6_V6ONLY，而不是轻易修改全局 net.ipv6.bindv6only。

总结

双栈监听的核心是：一个 IPv6 socket 在系统允许的情况下，可以同时接收 IPv6 和 IPv4-mapped 连接。

关键判断点有三个：

ss -ltnp -4
ss -ltnp -6
sysctl net.ipv6.bindv6only

看到 IPv6 listener 并不代表 IPv4 一定不能访问；只要 bindv6only = 0，IPv4 流量仍可能通过 IPv6 socket 进入服务。