Todavía estoy entendiendo los puntos más finos de IPv6. Simplemente no ha sido una prioridad meterse mucho con eso y no tuve el interés personal hasta mi último pequeño proyecto. Sin embargo, una cosa que he leído, una y otra vez, es utilizar la IP local de enlace de la puerta de enlace al configurar una puerta de enlace para clientes. Pero... eso me parece problemático...
Por ejemplo, supongamos que tengo un cliente y una puerta de enlace, cada uno con IP v6 enrutables globalmente en la misma subred en el lado de la LAN. Configuro el cliente para usar la IP local de enlace de la puerta de enlace como puerta de enlace para el tráfico IPv6 según la recomendación común.
¿El tráfico vinculado a Internet desde los clientes LAN siempre utilizará sus IP de unidifusión global como IP de origen, incluso si la puerta de enlace del cliente está configurada con una IP de enlace local? Esto es importante porque configuraré snort usando nfqueue y necesitaré poder configurarlo con los rangos de IP que necesita proteger. Y prefieronohaga que consuma ciclos de CPU y memoria en el tráfico de enlace local que no es una amenaza. Pero tampoco quiero introducir un agujero de seguridad que pueda eludir Snort.
Contexto
Permítanme explicarles, brevemente, mi configuración. Tengo una pequeña computadora ITX que ejecuta Arch Linux en un antiguo Intel Atom D525 configurado como puerta de enlace de mi red. Tiene dos puertos Ethernet identificados como lany wany en el SO. Ambos lany wanson de doble pila con IP v6 y v4 enrutables globalmente en el lado wan. Mi ISP (DHCP y RA) asigna automáticamente IP a ambas pilas de IP wan. Todos los clientes LAN, así como la interfaz LAN de la puerta de enlace, tienen IP v6 enrutables globalmente, así como IP privadas (rfc1918) v4. Implementé un firewall basado en netfilter que protege la LAN y el GW desde el lado WAN tanto para IPv6 como para IPv4.
Un punto de interés es que estoy usandocon estadoDHCPv6 en mi LAN para asignar las IP v6 enrutables globalmente. El demonio DHCPv6 (ISC DHCPd) está en la puerta de enlace y utiliza un prefijo v6 que mi ISP también asigna automáticamente. Todavía uso anuncios de enrutador para asignar una dirección de puerta de enlace v6 a los clientes, pero esa es lasolocosa asignada vía RA. Todo lo demás se maneja a través de DHCPv6 con grupos de direcciones e incluso algunas asignaciones de IP estáticas.
Obviamente, existen IP v6 de enlace local para cada cliente y también para cada interfaz Ethernet en la puerta de enlace.
Respuesta1
Los paquetes siempre contendrán las direcciones de origen y destino de los puntos finales. La única forma de utilizar la puerta de enlace o las direcciones de siguiente salto es buscar la dirección MAC de capa 2 a la que reenviar el paquete. No influyen en nada en la capa 3 del paquete.