Я все еще пытаюсь разобраться в тонкостях IPv6. Просто не было приоритета возиться с этим, и у меня не было личного интереса до моего последнего небольшого проекта. Однако, я читал, снова и снова, что нужно использовать локальный IP шлюза при настройке шлюза для клиентов. Но... мне это кажется проблематичным...
Например, предположим, что у меня есть клиент и шлюз, каждый из которых имеет глобально маршрутизируемые IP-адреса v6 в одной подсети на стороне локальной сети. Я настраиваю клиент на использование локального IP-адреса шлюза в качестве шлюза для трафика IPv6 в соответствии с общей рекомендацией.
Будет ли интернет-трафик от клиентов локальной сети всегда использовать свои глобальные одноадресные IP-адреса в качестве исходного IP-адреса, даже если шлюз клиента настроен на локальный IP-адрес? Это важно, поскольку я буду настраивать snort с помощью nfqueue и мне нужно будет настроить его с диапазонами IP-адресов, которые он должен защищать. И я бы предпочелнетпусть он съедает циклы процессора и память на трафике link-local, который не представляет угрозы. Но я также не хочу вводить дыру в безопасности, которая может обойти snort.
Контекст
Позвольте мне вкратце объяснить мою настройку. У меня есть небольшой компьютер ITX, работающий под управлением Arch Linux на старом Intel Atom D525, настроенный как шлюз моей сети. У него есть два порта Ethernet, идентифицированных как lanи wanи в ОС. Оба lanи wanявляются двухстековыми с глобально маршрутизируемыми IP-адресами v6 и v4 на стороне wan. Оба стека wan IP автоматически назначаются моим провайдером (DHCP и RA). Все клиенты lan, а также интерфейс lan шлюза имеют глобально маршрутизируемые IP-адреса v6, а также частные (rfc1918) IP-адреса v4. Я реализовал брандмауэр на основе netfilter, защищающий lan и gw со стороны wan как для IPv6, так и для IPv4.
Интересный момент заключается в том, что я используюС сохранением состоянияDHCPv6 в моей локальной сети для назначения глобально маршрутизируемых v6 IP-адресов. Демон DHCPv6 (ISC DHCPd) находится на шлюзе и использует префикс v6, который также автоматически назначается моим провайдером. Я все еще использую объявления маршрутизатора для назначения адреса шлюза v6 клиентам, но этотольковещь назначается через RA. Все остальное обрабатывается через DHCPv6 с адресными пулами и даже некоторыми статическими назначениями IP.
Очевидно, что для каждого клиента и каждого интерфейса Ethernet на шлюзе также имеются локальные IP-адреса v6.
решение1
Пакеты всегда будут содержать исходные и конечные адреса конечных точек. Единственный способ использования адресов шлюза или следующего перехода — это поиск MAC-адреса уровня 2 для пересылки пакета. Они ни на что не влияют на уровне 3 пакета.