Come trasferire IPv6 in m0n0wall?

2

Come posso trasferire i pacchetti IPv6 in m0n0wall?

Ad esempio, voglio inoltrare il traffico in arrivo sulla porta 443 del mio router a un altro indirizzo IPv6:

  • Interfaccia : WAN
  • Protocollo : TCP
  • Intervallo di porte esterne : 443
  • Indirizzo di destinazione : 2607: f8b0: 4009: 801 :: 1053
  • Intervallo porta di destinazione : 443
  • Descrizione : https va al server sicuro

O per altri tipi di servizi:

  • Interfaccia : WAN
  • Protocollo : TCP + UDP
  • Intervallo di porte esterne : 3784
  • Indirizzo di destinazione : 2607: f8b0: 4009: 801 :: 1058
  • Intervallo porta di destinazione : 3784
  • Descrizione : Ventrilo

IPv6 elimina la necessità di NAT; ma come posso effettuare il port forwarding?

Domanda bonus

Come posso trasferire IPv4 in m0n0wall?

Ad esempio, voglio inoltrare il traffico in arrivo sulla porta 443 del mio router a un altro indirizzo IPv4:

  • Interfaccia : WAN
  • Protocollo : TCP
  • Intervallo di porte esterne : 443
  • Indirizzo di destinazione : 74.125.225.53
  • Intervallo porta di destinazione : 443
  • Descrizione : https va al server sicuro

O per altri tipi di servizi:

  • Interfaccia : WAN
  • Protocollo : TCP + UDP
  • Intervallo di porte esterne : 3784
  • Indirizzo di destinazione : 74.125.225.58
  • Intervallo porta di destinazione : 3784
  • Descrizione : Ventrilo

so come NAT a un indirizzo interno privato, ma i miei server non sono protetti da un proxy NAT: sono direttamente collegati a Internet, ognuno con un indirizzo IPv4 instradabile pubblicamente, ad es.

74.125.225.53

voglio che le persone debbano conoscere solo un indirizzo, ad esempio:

superuser.com -> 64.34.119.12

ma chiedi al mio router m0n0wall di inoltrare i pacchetti alla macchina appropriata.

Chiacchiere bonus estraneo

ho un web server che è direttamente collegato a Internet tramite IPv6, in ascolto sulla porta 80.

Ai vecchi tempi darei alle persone un indirizzo:

superuser.com

e quell'indirizzo si risolve in un router, che inoltra i pacchetti alla macchina appropriata.

Ma con l'avvento di IPv6 e la rimozione di NAT, non è più possibile fornire alle persone il nome dell'indirizzo , ad esempio:

  • http://superuser.com
  • irc://superuser.com
  • ftp://superuser.com
  • news://superuser.com
  • https://superuser.com
  • ventrilo://superuser.com
  • torrent://superuser.com

non funziona Questo perché si superuser.comrisolve nello stesso indirizzo IPv6, ad esempio:

2607:f8b0:4009:801::100e

E gli altri server sono su altri indirizzi:

http      -> 2607:f8b0:4009:801::1031
irc       -> 2607:f8b0:4009:801::1041
ftp       -> 2607:f8b0:4009:801::1059
news      -> 2607:f8b0:4009:801::1026
https     -> 2607:f8b0:4009:801::1053
ventrilo  -> 2607:f8b0:4009:801::1058
torrent   -> 2607:f8b0:4009:801::1097

Quindi un utente è ora costretto a memorizzare altri nomi di indirizzi, ad esempio:

www.superuser.com
wwws.superuser.com
ventrilo.superuser.com
torrent.superuser.com
irc.superuser.com
news.superuser.com

piuttosto che il singolo:

superuser.com

per tutto.

mi piace solo sapere un nome . lo rivoglio di nuovo. Come posso riaverlo di nuovo? Come posso effettuare il port forwarding in IPv6?

Aggiornamento 2 :

Un altro problema è quando si suppone che più nomi host siano lo stesso server

http://www.superuser.com:80
http://m.superuser.com:80
http://mobile.superuser.com:80
http://english.superuser.com:80
http://spanish.superuser.com:80
http://latin.superuser.com:80
...

Quello che voglio davvero è solo:

*.superuser.com

per risolvere allo stesso indirizzo e :80viene inoltrato al server.

port-forwarding  ipv6  m0n0wall 
Ian Boyd
fonte

Risposte:

1

Penso che quello che stai cercando potrebbe essere un bilanciamento del carico. Ma non credo che m0n0wall ne abbia uno.

Tonny Pedersen
fonte
Un bilanciamento del carico potrebbe fare il trucco; fino a quando ci rendiamo conto che ho sempre e solo voglia di bilanciare sullo stesso computer.
Ian Boyd,
1

Prima parte

Non c'è NAT in IPv6 (o almeno non dovrebbe esserlo). Quindi non inoltrerai le porte. Hai alcune opzioni per fare l'equivalente della traduzione delle porte a cui sei abituato in IPv4:

  1. Utilizzare una porta identica sul computer di destinazione (come sembra che si stia facendo), quindi non è necessario che la porta sia tradotta. Dovrai solo creare una regola firewall per consentire l'accesso a quella porta. Non è necessaria nemmeno la traduzione dell'indirizzo.
  2. Utilizzare un proxy porta per tradurre porte e indirizzi TCP o UDP. NAT statico essenzialmente.

Bonus parte 1

Esatta stessa situazione qui in IPv4 senza NAT come nella risposta sopra relativa a IPv6 senza NAT.

Bonus Parte 2

Non consiglio il routing in base alla porta. Il routing basato sul numero di porta è contro i paradigmi della rete. Il routing dovrebbe essere basato sull'indirizzo. E quell'indirizzo può essere basato su DNS. Esistono estensioni al DNS per specificare servizi e porte note come record SRV ma non esistono per tutti i server (come HTTP o SSH).

Se è necessario instradare sulla porta, quindi, è possibile utilizzare i proxy della porta per reindirizzare determinati servizi TCP o UDP ad altre macchine.

Linea di fondo:

Non instradare in base alla porta; percorso basato sull'indirizzo. Siamo spiacenti ma ciò significa che hai bisogno di voci DNS separate per ciascun servizio.

Nick Whaley
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.