Ainda estou pensando nos pontos mais delicados do IPv6. Simplesmente não tem sido uma prioridade mexer muito com isso e eu não tive interesse pessoal até meu último projeto. No entanto, uma coisa que li várias vezes é usar o IP link-local do gateway ao configurar um gateway para clientes. Mas... isso me parece problemático...
Por exemplo, suponha que eu tenha um cliente e um gateway, cada um com IPs v6 roteáveis globalmente na mesma sub-rede no lado da LAN. Eu configuro o cliente para usar o IP link-local do gateway como gateway para tráfego IPv6 de acordo com a recomendação comum.
O tráfego vinculado à Internet de clientes LAN sempre usará seus IPs unicast globais como o IP de origem, mesmo com o gateway do cliente sendo configurado para um IP link-local? Isso é importante porque configurarei o snort usando nfqueue e precisarei ser capaz de configurá-lo com os intervalos de IP que ele precisa proteger. E eu prefironãofaça com que ele consuma ciclos de CPU e memória no tráfego local de link que não é uma ameaça. Mas também não quero introduzir uma falha de segurança que possa contornar o snort.
Contexto
Deixe-me explicar brevemente minha configuração. Eu tenho um pequeno computador ITX rodando Arch Linux em um antigo Intel Atom D525 configurado como gateway da minha rede. Possui duas portas Ethernet identificadas como lane wane no sistema operacional. Ambos lane wansão dual-stack com IPs v6 e v4 globalmente roteáveis no lado wan. Ambas as pilhas wan ip são atribuídas automaticamente IPs pelo meu ISP (DHCP e RA). Todos os clientes LAN, bem como a interface LAN do gateway, possuem IPs v6 globalmente roteáveis, bem como IPs v4 privados (rfc1918). Eu implementei um firewall baseado em netfilter protegendo a lan e o gw do lado wan para IPv6 e IPv4.
Um ponto interessante é que estou usandoCom estadoDHCPv6 na minha LAN para atribuir IPs v6 globalmente roteáveis. O daemon DHCPv6 (ISC DHCPd) está no gateway e utiliza um prefixo v6 também atribuído automaticamente pelo meu ISP. Ainda uso anúncios de roteador para atribuir um endereço de gateway v6 aos clientes, mas esse é oapenascoisa atribuída via RA. Todo o resto é tratado via DHCPv6 com pools de endereços e até mesmo algumas atribuições de IP estáticos.
Obviamente, existem IPs link-local v6 para cada cliente e também para cada interface Ethernet no gateway.
Responder1
Os pacotes sempre conterão os endereços de origem e destino dos terminais. A única maneira de usar os endereços do gateway ou do próximo salto é procurar o endereço MAC da camada 2 para encaminhar o pacote. Eles não influenciam nada na camada 3 do pacote.