IPv6 접두사가 동적일 때 호스트 및 포트에 대한 인바운드 IPv6 트래픽을 허용하시겠습니까?

IPv6 접두사가 동적일 때 호스트 및 포트에 대한 인바운드 IPv6 트래픽을 허용하시겠습니까?

IPv4를 사용하면 호스트에 LAN의 고정 로컬 IP 주소를 제공하고 방화벽/라우터의 방화벽 규칙을 사용하여 네트워크에서 사용하는 (동적일 수 있는) 인터넷 연결 IP의 포트를 다음으로 전달할 수 있었습니다. 방화벽 규칙에서 호스트를 식별하는 안정적인 방법으로 호스트의 고정 LAN IPv4 주소를 사용하는 특정 호스트의 포트.

그러나 IPv6에서는 모든 호스트가 실제 라우팅 가능한 인터넷 IP를 사용하므로 호스트로 들어오는 트래픽이 이미 해당 호스트로 지정되므로 NAT가 필요하지 않습니다. 하지만 특정 호스트와 포트에 대한 인바운드 트래픽은 허용하고 다른 호스트나 포트에 대한 트래픽은 차단하도록 방화벽 규칙을 작성할 수 있어야 합니다.

그러나 네트워크가 IPv6 주소를 할당하는 접두사가 동적인 경우 트래픽을 허용하기 위해 방화벽 규칙에서 특정 호스트를 어떻게 참조합니까? ISP가 네트워크에 다른 접두사를 할당했기 때문에 다음 주에는 다른 접두사가 있는 IPv6 주소를 갖게 되므로 IPv6 주소에 대한 트래픽을 허용할 수는 없습니다.

그러면 일부 포트에서 해당 호스트에 대한 인바운드 트래픽을 허용하도록 방화벽을 실제로 어떻게 구성합니까? 여기에는 대상별로 일치시키는 옵션이 ip6tables있는 것처럼 보이지만 --dest이는 전체 주소만 입력할 수 있는 것으로 보이며 호스트에 대해 정적으로 유지되도록 보장할 수 있는 주소의 접미사는 사용할 수 없습니다. 매뉴얼 페이지에서:

       [!] -s, --source address[/mask][,...]
              Source  specification.  Address can be either a network name, a
              hostname, a network IP address (with /mask), or a plain IP  ad‐
              dress. Hostnames will be resolved once only, before the rule is
              submitted to the kernel.  Please note that specifying any  name
              to  be resolved with a remote query such as DNS is a really bad
              idea.  The mask can be either an ipv4 network mask  (for  ipta‐
              bles)  or  a  plain number, specifying the number of 1's at the
              left side of the network mask.  Thus, an iptables mask of 24 is
              equivalent to 255.255.255.0.  A "!" argument before the address
              specification inverts the sense of the address. The flag  --src
              is  an alias for this option.  Multiple addresses can be speci‐
              fied, but this will expand to multiple rules (when adding  with
              -A), or will cause multiple rules to be deleted (with -D).

       [!] -d, --destination address[/mask][,...]
              Destination  specification.   See  the  description  of  the -s
              (source) flag for a detailed description of  the  syntax.   The
              flag --dst is an alias for this option.

이것을 처리할 수 있는 방법이 있나요 ip6tables? ip6tables네트워크 번호가 다시 매겨짐에 따라 변경되는 규칙을 생성하고 모든 사람이 실제로 사용하는 다른 계층이 있습니까 ? ip6tables네트워크 번호가 변경되더라도 특정 호스트로 이동하는 트래픽을 일치시킬 수 있는 플러그인이 있습니까 ? 다른 OS 방화벽에서는 이를 다르게 처리합니까?

답변1

ip6tables주소에 대한 비트마스크를 허용합니다. IPv4 및 IPv4 와 달리 iptables이러한 비트가 모두 주소 시작 부분에 있을 필요는 없으므로 다음과 같이 하면 문제가 없습니다.

ip6tables -A INPUT -d ::1234:56ff:fe78:90ab/::ffff:ffff:ffff:ffff -j ACCEPT

::1234:56ff:fe78:90ab그러면 ip6tables는 접두어에 관계없이 로 끝나는 IPv6 주소로 가는 모든 패킷을 허용하게 됩니다 .

관련 정보