Re: [讨论]V4枯竭NAT代用,双堆6to4消除V6孤岛,是要 …

楼主: louk (开心就好)   2010-08-09 01:14:07
※ 引述《ggg12345 (ggg)》之铭言:
: 如果隔离也要作用于 v6, 那就是要让 6to4 router 或 native v6
: router 兼负 v6 的 NAT 作用, 此时只要 V6 router 对内通告产生的
: ipv6 address 与对外出示的 v6 ip-address 做 address translation
: 的对照转换就能防止外部机器直接与内部 V6 站来往, 也就是 V6 V4
: 各自有其 NAT , 都能防止外部直接来往, 若是 v6 孤岛就可利用 V4
: NAT 的 public-ipaddress 进行 6to4 tunnel 的衔接.
: 这种不击穿 firewall 的 6to4 NAT 才是大家可接受的规格吧!
: 就称呼这种装置为 V6-aware/passthru NAT.
我提供一个另外的想法
1.IPv4下个NAT主要是,内对外启动的session和port对应的关系.
强调的是对外直接封锁所有的port和内部的对应(因为一开始根本没有对应)
所以外面的测试攻击打不进来.
2.同理,比较简单的方式其实就是在6to4 router上加上防火墙功能.
关闭由外对内的主动连线.
(不管是指针对IPv4 or 等6to4解回ipv6后来挡)
PS:如果是想要隐藏实际的IPv6位址,用临时的IPv6位址
microsoft已经在作业系统中实作了,可以避免使用 EUI-64产生的固定IP在外留下纪录
个人的偏好是,IPv6是想重新恢复网络的末端通透性
(回到每个点都是真实IP,理论上很多问题都会变简单...理论啦)
如果想要挡,就乖乖用Firewall功能挡吧~ XD

Links booklink

Contact Us: admin [ a t ] ucptt.com