나는 여전히 IPv6의 더 미세한 부분에 대해 고민하고 있습니다. 단지 그것을 많이 엉망으로 만드는 것이 우선순위가 아니었고 최근의 작은 프로젝트까지는 개인적인 관심이 없었습니다. 그러나 내가 계속해서 읽은 것 중 하나는 클라이언트용 게이트웨이를 구성할 때 게이트웨이의 링크 로컬 IP를 사용한다는 것입니다. 그런데... 그건 문제가 있는 것 같아요...
예를 들어 LAN 측의 동일한 서브넷에 전역적으로 라우팅 가능한 v6 IP가 있는 클라이언트와 게이트웨이가 각각 있다고 가정합니다. 일반적인 권장 사항에 따라 게이트웨이의 링크 로컬 IP를 IPv6 트래픽용 게이트웨이로 사용하도록 클라이언트를 구성합니다.
클라이언트의 게이트웨이가 링크-로컬 IP로 구성되어 있어도 LAN 클라이언트의 인터넷 바운드 트래픽은 항상 글로벌 유니캐스트 IP를 소스 IP로 사용합니까? nfqueue를 사용하여 snort를 설정하고 보호해야 하는 IP 범위로 이를 구성할 수 있어야 하기 때문에 이는 중요합니다. 그리고 난 차라리~ 아니다위협이 아닌 링크 로컬 트래픽에서 CPU 주기와 메모리를 소모하게 하세요. 그러나 나는 또한 snort를 우회할 수 있는 보안 허점을 도입하고 싶지 않습니다.
문맥
내 설정을 간략하게 설명하겠습니다. 내 네트워크 게이트웨이로 구성된 이전 Intel Atom D525에서 Arch Linux를 실행하는 작은 ITX 컴퓨터가 있습니다. OS에는 및 lan로 식별되는 두 개의 이더넷 포트가 있습니다 . wan둘 다 lanwan wan측에 전역적으로 라우팅 가능한 v6 및 v4 IP가 있는 듀얼 스택입니다. 두 wan IP 스택 모두 내 ISP(DHCP 및 RA)에 의해 IP가 자동으로 할당됩니다. 모든 LAN 클라이언트와 게이트웨이의 LAN 인터페이스에는 전역적으로 라우팅 가능한 v6 IP와 개인(rfc1918) v4 IP가 있습니다. 저는 IPv6 및 IPv4 모두에 대해 wan 측에서 lan 및 gw를 보호하는 netfilter 기반 방화벽을 구현했습니다.
한 가지 흥미로운 점은 내가 사용하고 있다는 것입니다.상태 저장전역적으로 라우팅 가능한 v6 IP를 할당하기 위한 내 LAN의 DHCPv6. DHCPv6 데몬(ISC DHCPd)은 게이트웨이에 있으며 ISP에서 자동으로 할당한 v6 접두사를 사용합니다. 나는 여전히 라우터 광고를 사용하여 클라이언트에 v6 게이트웨이 주소를 할당하지만 이것이 바로오직RA를 통해 할당된 것입니다. 다른 모든 것은 주소 풀과 일부 고정 IP 할당이 포함된 DHCPv6을 통해 처리됩니다.
분명히 각 클라이언트에 대한 링크 로컬 v6 IP와 게이트웨이의 각 이더넷 인터페이스도 있습니다.
답변1
패킷에는 항상 끝점의 소스 및 대상 주소가 포함됩니다. 게이트웨이 또는 다음 홉 주소가 사용되는 유일한 방법은 패킷을 전달할 계층 2 MAC 주소를 조회하는 것입니다. 패킷의 레이어 3에는 아무 영향도 미치지 않습니다.