Verwenden der Link-Local v6-Adresse des Gateways für die IPv6-Gateway-Einstellung des LAN-Clients ... Was ist die Quell-IP für Pakete von Clients aus Sicht des Gateways?

Ich versuche immer noch, die Feinheiten von IPv6 zu verstehen. Es war einfach keine Priorität, mich groß damit zu beschäftigen, und ich hatte bis zu meinem letzten kleinen Projekt auch kein persönliches Interesse daran. Allerdings habe ich immer wieder gelesen, dass man bei der Konfiguration eines Gateways für Clients die Link-Local-IP des Gateways verwenden soll. Aaaaber … das scheint mir problematisch …

Angenommen, ich habe einen Client und ein Gateway mit jeweils global routbaren v6-IPs im selben Subnetz auf der LAN-Seite. Ich konfiguriere den Client so, dass er gemäß der allgemeinen Empfehlung die Link-Local-IP des Gateways als Gateway für IPv6-Verkehr verwendet.

Wird internetgebundener Datenverkehr von LAN-Clients immer ihre globalen Unicast-IPs als Quell-IP verwenden, selbst wenn das Gateway des Clients auf eine Link-Local-IP konfiguriert ist? Das ist wichtig, weil ich Snort mit NFQueue einrichten werde und es mit den IP-Bereichen konfigurieren muss, die es schützen muss. Und ich würde liebernichtEs verbraucht CPU-Zyklen und Speicher bei Link-Local-Verkehr, was keine Bedrohung darstellt. Aber ich möchte auch keine Sicherheitslücke einführen, die Snort umgehen kann.

Kontext

Lassen Sie mich kurz mein Setup erklären. Ich habe einen kleinen ITX-Computer mit Arch Linux auf einem alten Intel Atom D525, der als Gateway meines Netzwerks konfiguriert ist. Er hat zwei Ethernet-Ports, die im Betriebssystem als lanund und gekennzeichnet sind. Beide und sind Dual-Stack mit global routbaren v6- und v4-IPs auf der WAN-Seite. Beiden WAN-IP-Stacks werden von meinem ISP automatisch IPs zugewiesen (DHCP und RA). Alle LAN-Clients sowie die LAN-Schnittstelle des Gateways haben global routbare v6-IPs sowie private (rfc1918) v4-IPs. Ich habe eine Netfilter-basierte Firewall implementiert, die das LAN und das GW von der WAN-Seite aus sowohl für IPv6 als auch für IPv4 schützt.wanlanwan

Ein interessanter Punkt ist, dass ich benutzeStaatsbürgerlichDHCPv6 in meinem LAN zur Zuweisung der global routbaren v6-IPs. Der DHCPv6-Daemon (ISC DHCPd) befindet sich auf dem Gateway und verwendet ein v6-Präfix, das ebenfalls automatisch von meinem ISP zugewiesen wird. Ich verwende immer noch Router-Werbung, um Clients eine v6-Gateway-Adresse zuzuweisen, aber das ist dienurSache wird über RA zugewiesen. Alles andere wird über DHCPv6 mit Adresspools und sogar einigen statischen IP-Zuweisungen gehandhabt.

Natürlich gibt es auch für jeden Client und jede Ethernet-Schnittstelle auf dem Gateway Link-Local v6-IPs.