IPv6 の細かい点についてはまだ理解できていません。あまりいじるつもりがなかったし、最近の小さなプロジェクトを始めるまでは個人的に興味がありませんでした。しかし、何度も読んだことのあることの 1 つは、クライアントのゲートウェイを構成するときにゲートウェイのリンク ローカル IP を使用するというものです。でも、私には問題があるように思えます...
たとえば、LAN 側の同じサブネットに、グローバルにルーティング可能な v6 IP を持つクライアントとゲートウェイがあるとします。一般的な推奨事項に従って、IPv6 トラフィックのゲートウェイとしてゲートウェイのリンク ローカル IP を使用するようにクライアントを構成します。
LANクライアントからのインターネットへのトラフィックは、クライアントのゲートウェイがリンクローカルIPに設定されている場合でも、常にグローバルユニキャストIPをソースIPとして使用しますか?これは、nfqueueを使用してsnortを設定し、保護する必要があるIP範囲で設定する必要があるため重要です。そして、私はむしろない脅威ではないリンクローカル トラフィックで CPU サイクルとメモリを消費します。ただし、Snort をバイパスできるセキュリティ ホールも発生させたくありません。
コンテクスト
私の設定を簡単に説明しましょう。私は、ネットワークのゲートウェイとして構成された古い Intel Atom D525 上で Arch Linux を実行する小型の ITX コンピュータを持っています。このコンピュータには、OS で と として識別される 2 つのイーサネット ポートがあります。 と は両方ともlanデュアルスタックで、WAN 側にグローバルにルーティング可能な v6 および v4 IP があります。両方の WAN IP スタックには、ISP (DHCP および RA) によって自動的に IP が割り当てられます。すべての LAN クライアントとゲートウェイの LAN インターフェイスには、グローバルにルーティング可能な v6 IP とプライベート (rfc1918) v4 IP があります。私は、IPv6 と IPv4 の両方について、LAN と GW を WAN 側から保護するネットフィルター ベースのファイアウォールを実装しました。wanlanwan
興味深いのは、私が使用しているステートフル私のLANでは、グローバルにルーティング可能なv6 IPを割り当てるためにDHCPv6を使用しています。DHCPv6デーモン(ISC DHCPd)はゲートウェイ上にあり、ISPによって自動的に割り当てられたv6プレフィックスを使用します。クライアントにv6ゲートウェイアドレスを割り当てるためにルーター広告を使用していますが、これはのみRA 経由で割り当てられるもの。その他すべては、アドレス プールと一部の静的 IP 割り当てを含む DHCPv6 経由で処理されます。
当然のことながら、ゲートウェイ上の各クライアントと各イーサネット インターフェイスにもリンク ローカル v6 IP が存在します。
答え1
パケットには常にエンドポイントの送信元アドレスと宛先アドレスが含まれます。ゲートウェイまたはネクストホップ アドレスが使用される唯一の方法は、パケットを転送するレイヤー 2 MAC アドレスを検索することです。これらはパケットのレイヤー 3 には影響しません。