Re: [討論]V4枯竭NAT代用,雙堆6to4消除V6孤島,是要 …

作者: ggg12345 (ggg)   2010-08-17 07:54:53
※ 引述《louk (PTT的人自己玩自己=_=)》之銘言:
: : 這種不擊穿 firewall 的 6to4 NAT 才是大家可接受的規格吧!
: : 就稱呼這種裝置為 V6-aware/passthru NAT.
: 我提供一個另外的想法
: 1.IPv4下個NAT主要是,內對外啟動的session和port對應的關係.
: 強調的是對外直接封鎖所有的port和內部的對應(因為一開始根本沒有對應)
: 所以外面的測試攻擊打不進來.
NAT 原始的構想是如此, 但對被迫使用 V6 缺 v4 ip-address 的才不是為了 "資安"
的理由, NAT 只是可拿來重覆使用 ipv4 位址的技術.
: 2.同理,比較簡單的方式其實就是在6to4 router上加上防火牆功能.
: 關閉由外對內的主動連線.
: (不管是指針對IPv4 or 等6to4解回ipv6後來擋)
: PS:如果是想要隱藏實際的IPv6位址,用臨時的IPv6位址
: microsoft已經在作業系統中實作了,可以避免使用 EUI-64產生的固定IP在外留下紀
: 錄
上網的用戶對 動態 ip 都不太會介意, 所以是否用 NAT-V4, 不容易會有感覺.
但開網站想提供特定服務的, 才會擔心只有 V6 ip-address 是否吃虧?
問題會出在 nat-v4 本就不是正常 v4, 不能當正常 v4 位址用, 但(v6+nat-v4)
在成片的v4世界加上孤島的v6協助下, 是否有可能虛擬出一個堪用, 與v4-ipaddress
等效又簡易的位址使用方案?
簡單地說, Client 端使用 nat-v4 或動態的 ip-v4 再加一個獨立的 V6-ipaddress
是不會受到抱怨的. 問題會是出在 想當 server 被外部可以連絡得到, 卻沒有個
正常對外專用的 ipv4 位址.
===================================================================
所謂v4位址等效, 就是如同有v4位址同樣的效用又沒有過多的負擔代價.
在 nat 之後的 ip-address 是別的外部機器都找不到, 但假如 v6-ipaddress
不會受擋之外, 還能進一步協助, 讓想對外開放的 v6-server 也能讓外部的
client 都能 方便自動的如同 "有v4位址般" 可以被連得到.
在 microsoft automatic update 的協助, 及isp與nsp不想造成片v6下,可以假設:
1.所有 client 端都有 v6-ipaddress, 也都是 dual stack.
2.只有 成片成海的v4現成網路, V6 還會是孤島.
3.IPV4 位址枯竭, 現有 V4位址又不容易移動位置使用, 只能輪流用.
4.透過 v4網路 可以有 6to4連接孤島的 V6 使之能連通.
被連通的 v6 協助 '合成一個實體可輪用, 虛擬重覆又大量的有效v4 位址".
=======================================================================
外部想主動連絡一部在 nat-v4 之後的 server 就涉及 server 如何預先對
nat-v4 先開出個對外的洞口讓外部的 client 知道後可以後續使用.
a.若先查域名得 ip-address 的階段, 因為只有 v6-ipadress, 所以 V4 協定
是沒作用的.
b.在 dual stack 下 client 端透過 v6 可通知到 v6 server.
c.V6 server 回應時是通知 V4 部份出 nat-v4 , 變成 nat-V4 之後的 server
以主動方式透過 nat-v4 以 v4協定 連絡 client 端, 若 client 端有正常
的 V4 ip-address, 這就接通了.
d.如果 client 端也是在 NAT-V4 之後, 這就涉及是否要不要讓 V6 成長茁壯?
=====================================================================
server 端可以用的技術很多, 例如 a. 的 dns 可以用 CDN 類似 Akamei, 讓
client 端到特定 v4 proxy server 來往. 但v6-address 對 client 不是那麼
必要.
c,d 部份可以讓 V6 server 就 clinet 之近, 去臨時租用一台有正常v4的臨時
proxy server 供 client 端就近在 NAT-v4 之後主動出來接上去使用.
這台由 v6 server 指派的臨時 v4 proxy server 可以讓 clinet 與 server
知道對方 nat-v4 的臨時出入口.
臨時的 nat-v4 與 臨時的 v4-proxy 因 v6 server 的指派可以是動態負載平
衡的.
: 個人的偏好是,IPv6是想重新恢復網路的末端通透性
: (回到每個點都是真實IP,理論上很多問題都會變簡單...理論啦)
: 如果想要擋,就乖乖用Firewall功能擋吧~ XD
作者: louk (開心就好)   2010-08-18 21:56:00
如果是server端你的解決方式可能有點類似IVI

Links booklink

Contact Us: admin [ a t ] ucptt.com