※ 引述《louk (PTT的人自己玩自己=_=)》之铭言:
: : 这种不击穿 firewall 的 6to4 NAT 才是大家可接受的规格吧!
: : 就称呼这种装置为 V6-aware/passthru NAT.
: 我提供一个另外的想法
: 1.IPv4下个NAT主要是,内对外启动的session和port对应的关系.
: 强调的是对外直接封锁所有的port和内部的对应(因为一开始根本没有对应)
: 所以外面的测试攻击打不进来.
NAT 原始的构想是如此, 但对被迫使用 V6 缺 v4 ip-address 的才不是为了 "资安"
的理由, NAT 只是可拿来重复使用 ipv4 位址的技术.
: 2.同理,比较简单的方式其实就是在6to4 router上加上防火墙功能.
: 关闭由外对内的主动连线.
: (不管是指针对IPv4 or 等6to4解回ipv6后来挡)
: PS:如果是想要隐藏实际的IPv6位址,用临时的IPv6位址
: microsoft已经在作业系统中实作了,可以避免使用 EUI-64产生的固定IP在外留下纪
: 录
上网的用户对 动态 ip 都不太会介意, 所以是否用 NAT-V4, 不容易会有感觉.
但开网站想提供特定服务的, 才会担心只有 V6 ip-address 是否吃亏?
问题会出在 nat-v4 本就不是正常 v4, 不能当正常 v4 位址用, 但(v6+nat-v4)
在成片的v4世界加上孤岛的v6协助下, 是否有可能虚拟出一个堪用, 与v4-ipaddress
等效又简易的位址使用方案?
简单地说, Client 端使用 nat-v4 或动态的 ip-v4 再加一个独立的 V6-ipaddress
是不会受到抱怨的. 问题会是出在 想当 server 被外部可以连络得到, 却没有个
正常对外专用的 ipv4 位址.
===================================================================
所谓v4位址等效, 就是如同有v4位址同样的效用又没有过多的负担代价.
在 nat 之后的 ip-address 是别的外部机器都找不到, 但假如 v6-ipaddress
不会受挡之外, 还能进一步协助, 让想对外开放的 v6-server 也能让外部的
client 都能 方便自动的如同 "有v4位址般" 可以被连得到.
在 microsoft automatic update 的协助, 及isp与nsp不想造成片v6下,可以假设:
1.所有 client 端都有 v6-ipaddress, 也都是 dual stack.
2.只有 成片成海的v4现成网络, V6 还会是孤岛.
3.IPV4 位址枯竭, 现有 V4位址又不容易移动位置使用, 只能轮流用.
4.透过 v4网络 可以有 6to4连接孤岛的 V6 使之能连通.
被连通的 v6 协助 '合成一个实体可轮用, 虚拟重复又大量的有效v4 位址".
=======================================================================
外部想主动连络一部在 nat-v4 之后的 server 就涉及 server 如何预先对
nat-v4 先开出个对外的洞口让外部的 client 知道后可以后续使用.
a.若先查域名得 ip-address 的阶段, 因为只有 v6-ipadress, 所以 V4 协定
是没作用的.
b.在 dual stack 下 client 端透过 v6 可通知到 v6 server.
c.V6 server 回应时是通知 V4 部份出 nat-v4 , 变成 nat-V4 之后的 server
以主动方式透过 nat-v4 以 v4协定 连络 client 端, 若 client 端有正常
的 V4 ip-address, 这就接通了.
d.如果 client 端也是在 NAT-V4 之后, 这就涉及是否要不要让 V6 成长茁壮?
=====================================================================
server 端可以用的技术很多, 例如 a. 的 dns 可以用 CDN 类似 Akamei, 让
client 端到特定 v4 proxy server 来往. 但v6-address 对 client 不是那么
必要.
c,d 部份可以让 V6 server 就 clinet 之近, 去临时租用一台有正常v4的临时
proxy server 供 client 端就近在 NAT-v4 之后主动出来接上去使用.
这台由 v6 server 指派的临时 v4 proxy server 可以让 clinet 与 server
知道对方 nat-v4 的临时出入口.
临时的 nat-v4 与 临时的 v4-proxy 因 v6 server 的指派可以是动态负载平
衡的.
: 个人的偏好是,IPv6是想重新恢复网络的末端通透性
: (回到每个点都是真实IP,理论上很多问题都会变简单...理论啦)
: 如果想要挡,就乖乖用Firewall功能挡吧~ XD