我仍在思考 IPv6 的細節。只是沒有優先考慮去搞亂它,直到我最近的一個小項目,我才產生了個人興趣。然而,我一次又一次讀到的一件事是在為客戶端配置網關時使用網關的鏈路本地 IP。 Buuut...這對我來說似乎有問題...
例如,假設我有一個客戶端和網關,每個客戶端和網關都在 LAN 側的同一子網路中具有全域可路由的 v6 IP。我根據常見建議將客戶端配置為使用網關的鏈路本地 IP 作為 IPv6 流量的網關。
即使用戶端的閘道配置為連結本機 IP,來自 LAN 用戶端的網際網路綁定流量是否始終使用其全球單播 IP 作為來源 IP?這很重要,因為我將使用 nfqueue 設定 snort,並且需要能夠使用它需要保護的 IP 範圍來配置它。而我寧願不是讓它在鏈路本地流量上消耗 CPU 週期和內存,這不是一個威脅。但我也不想引入一個可以繞過 snort 的安全漏洞。
情境
讓我簡要解釋一下我的設定。我有一台小型 ITX 計算機,在舊的 Intel Atom D525 上運行 Arch linux,配置為我的網路網關。它有兩個乙太網路端口,在作業系統中標識為lan和和 。wan和都是雙棧,在廣域網路一側具有全域可路由的 v6 和 v4 IP lan。wan兩個 wan ip 堆疊均由我的 ISP(DHCP 和 RA)自動分配 IP。所有 LAN 用戶端以及網關的 LAN 介面都具有全域可路由的 v6 IP 以及專用 (rfc1918) v4 IP。我已經實現了一個基於 netfilter 的防火牆,用於保護 IPv6 和 IPv4 的 wan 側的 lan 和 gw。
有趣的一點是我正在使用有狀態的我的 LAN 上的 DHCPv6 用於分配全域可路由的 v6 IP。 DHCPv6 守護程式 (ISC DHCPd) 位於閘道上,並使用也是由我的 ISP 自動指派的 v6 前綴。我仍然使用路由器通告為客戶端分配 v6 網關位址,但這就是僅有的透過 RA 分配的東西。其他一切都透過帶有位址池的 DHCPv6 處理,甚至還有一些靜態 IP 分配。
顯然,每個客戶端和網關上的每個乙太網路介面都有鏈路本地 v6 IP。
答案1
資料包將始終包含端點的來源位址和目標位址。使用網關或下一跳位址的唯一方法是尋找要將封包轉送至的第 2 層 MAC 位址。它們不會影響資料包第 3 層中的任何內容。