web-dev-qa-db-ja.com

LANクライアントのIPv6ゲートウェイ設定にゲートウェイのリンクローカルv6アドレスを使用しています...ゲートウェイから見たクライアントからのパケットの送信元IPは何ですか?

私はまだIPv6のより細かい点に頭を悩ませています。それをいじることは優先事項ではなく、最近の小さなプロジェクトまで個人的な興味はありませんでした。ただし、私が何度も読んだことの1つは、クライアントのゲートウェイを構成するときに、ゲートウェイのリンクローカルIPを使用することです。 Buuut ...それは私には問題があるようです...

たとえば、LAN側の同じサブネットにグローバルにルーティング可能なv6IPを持つクライアントとゲートウェイがあるとします。一般的な推奨事項に従って、IPv6トラフィックのゲートウェイとしてゲートウェイのリンクローカルIPを使用するようにクライアントを構成します。

LANクライアントからのインターネットバウンドトラフィックは、クライアントのゲートウェイがリンクローカルIPに構成されている場合でも、常にグローバルユニキャストIPをソースIPとして使用しますか?これは、nfqueueを使用してsnortをセットアップし、保護する必要のあるIP範囲で構成できる必要があるため重要です。そして、私はむしろnot脅威ではないリンクローカルトラフィックのCPUサイクルとメモリを消費させたいと思います。しかし、私はまた、snortをバイパスできるセキュリティホールを導入したくありません。

環境

私のセットアップについて簡単に説明します。古いIntel Atom D525をネットワークのゲートウェイとして構成したArchLinuxを実行している小さなITXコンピューターがあります。lanおよびwanとして識別される2つのイーサネットポートがあります。 lanwanはどちらもデュアルスタックであり、wan側にグローバルにルーティング可能なv6およびv4 IPがあります。両方のwan ipスタックには、ISPによって自動的にIPが割り当てられます(DHCPおよびRA)。すべてのlanクライアント、およびゲートウェイのlanインターフェースには、グローバルにルーティング可能なv6 IPとプライベート(rfc1918)v4IPがあります。LANとgwをwan側から保護するnetfilterベースのファイアウォールを実装しました。 IPv6とIPv4の両方。

興味深い点の1つは、グローバルにルーティング可能なv6 IPを割り当てるために、LANでStateful DHCPv6を使用していることです。 DHCPv6デーモン(ISC DHCPd)はゲートウェイ上にあり、ISPによって自動的に割り当てられたv6プレフィックスを利用します。私はまだルーターアドバタイズメントを使用してv6ゲートウェイアドレスをクライアントに割り当てていますが、それはのみ RAを介して割り当てられたものです。それ以外はすべて、アドレスプールといくつかの静的IP割り当てを使用してDHCPv6を介して処理されます。

明らかに、各クライアントとゲートウェイ上の各イーサネットインターフェイスにもリンクローカルv6IPがあります。

1
Cliff Armstrong

パケットには、常にエンドポイントの送信元アドレスと宛先アドレスが含まれます。ゲートウェイまたはネクストホップアドレスを使用する唯一の方法は、パケットを転送するレイヤー2MACアドレスを検索することです。これらは、パケットのレイヤー3の何にも影響を与えません。

1
Sander Steffann