2025年8月底，作者向PureVPN提交了两份安全报告，但三周后未收到回复，因此决定公开发现的问题。问题涉及PureVPN的Linux客户端（GUI v2.10.0和CLI v2.0.1），主要存在IPv6泄漏和防火墙重置问题。在Wi-Fi切换或系统恢复后，客户端未能恢复IPv6保护，导致用户在使用IPv6时暴露真实IP地址。此外，连接时PureVPN会重置用户的iptables配置，清除所有自定义规则，增加了安全风险。

PureVPN IPv6泄露问题

2025年8月底，我向PureVPN提交了两份安全报告，但三周后仍未收到任何回复，因此决定公开这些发现以提醒其他用户。

问题影响了PureVPN在Linux系统上的GUI（v2.10.0）和CLI（v2.0.1）客户端（测试环境为Ubuntu 24.04.3 LTS，内核6.8.0，iptables-nft后端）。以下是主要发现：

1. IPv6泄露问题

在切换Wi-Fi或从挂起状态恢复后，PureVPN客户端未能恢复IPv6保护：

• CLI（启用IKS）：客户端自动重新连接并显示“已连接”状态，但系统通过路由器广告（fe80::1）重新获得默认IPv6路由。由于ip6tables的OUTPUT规则仍为ACCEPT（默认），流量会绕过VPN隧道。

• GUI（启用IKS）：当GUI检测到断开连接时，会阻止IPv4并显示“VPN会话断开”对话框，但IPv6仍保持可用，直到用户手动点击“重新连接”。

实际影响：在客户端显示“已保护”的情况下，我仍能使用ISP的IPv6地址浏览IPv6优先的网站并收发邮件（通过Thunderbird）。

2. 主机防火墙重置且未恢复

在连接时，PureVPN会清除用户的iptables配置：

• INPUT规则被设置为ACCEPT
• 所有-A规则被清除（包括UFW、Docker跳转、用户自定义规则等）
• 断开连接后，这些更改未被恢复

结果：使用VPN后，系统的安全性比使用前更低，这与使用UFW或本地拒绝策略的初衷相悖，也违背了用户的期望。

示例： ```bash

基线保护

$ sudo iptables -P INPUT DROP $ sudo iptables -I INPUT -p icmp -j DROP

连接VPN

$ purevpn-cli -c US $ sudo iptables -S | head -3 -P INPUT ACCEPT -P FORWARD DROP -P OUTPUT ACCEPT $ sudo iptables -S | grep icmp

（无输出——规则被清除）

断开连接

$ purevpn-cli -d $ sudo iptables -S | head -3 -P INPUT ACCEPT -P FORWARD DROP -P OUTPUT ACCEPT

所有规则被清除，INPUT = ACCEPT

```

总结

PureVPN存在以下问题： - 未正确实现IPv6 kill-switch - 在重新连接或IKS事件后，IPv6流量仍可能泄露 - 清除用户的防火墙状态（iptables）且未恢复 - 应用广泛的ACCEPT策略以确保功能正常

这些问题对用户隐私和安全有实际影响。当真实IPv6地址泄露且防火墙状态丢失时，PureVPN的隐私保护承诺将大打折扣。

我已将完整的技术报告和屏幕录像发送至security@purevpn.com，但至今未收到任何确认。建议用户谨慎使用。

1. 网络命名空间的使用：多位评论者建议使用网络命名空间（Network Namespaces）来隔离VPN流量，认为这是一种更安全的方式，可以避免泄露和配置错误。

   • "network namespaces provide a clean host/vpn split."（网络命名空间提供了清晰的主机/VPN分离。）
   • "I strongly suggest that you use something like Network Namespaces through Vopono or Gluetun if you use a commercial VPN for 'privacy' or 'security'."（如果你使用商业VPN来保护“隐私”或“安全”，我强烈建议你使用Vopono或Gluetun等工具的网络命名空间。）

2. 对PureVPN的不信任：多位评论者对PureVPN表示不信任，指出其曾在法庭上被证明记录用户流量，尽管其声称不会。

   • "PureVPN is one of the providers you can’t trust."（PureVPN是你不能信任的提供商之一。）
   • "For the love of God, don't use PureVPN! They have been proven in court to log traffic, despite claiming not to."（看在上帝的份上，不要使用PureVPN！尽管他们声称不会，但法庭已证明他们记录了流量。）

3. 对Mullvad的认可：有评论者提到Mullvad是唯一一个在IPv6实现上表现良好的VPN提供商。

   • "I don't know any single VPN provider apart from Mullvad with proper v6 implementation."（除了Mullvad，我不知道有任何其他VPN提供商在IPv6实现上做得很好。）

4. 对NordVPN和ExpressVPN的疑问：有评论者询问NordVPN和ExpressVPN是否值得信任，但没有得到明确回答。

   • "What about NordVPN and ExpressVPN are those somewhat trustworthy?"（NordVPN和ExpressVPN是否值得信任？）

5. 对桌面VPN客户端的风险提示：有评论者指出，依赖桌面VPN客户端（尤其是闭源的）存在风险，建议使用更安全的替代方案。

   • "I agree that relying solely on desktop VPN clients (especially closed-source ones) is risky."（我同意，完全依赖桌面VPN客户端（尤其是闭源的）是有风险的。）

总结：评论者普遍认为使用网络命名空间是更安全的VPN使用方式，对PureVPN表示不信任，并对Mullvad的IPv6实现表示认可。同时，对NordVPN和ExpressVPN的信任度存在疑问，并提醒依赖桌面VPN客户端的风险。