Como encaminhar o IPv6 no m0n0wall?

2

Como faço para encaminhar pacotes IPv6 no m0n0wall?

Por exemplo, eu quero encaminhar o tráfego que chega na porta 443 do meu roteador para outro endereço IPv6:

  • Interface : WAN
  • Protocolo : TCP
  • Intervalo de portas externas : 443
  • Endereço de destino : 2607: f8b0: 4009: 801 :: 1053
  • Intervalo de portas de destino : 443
  • Descrição : https vai para o servidor seguro

Ou para outros tipos de serviços:

  • Interface : WAN
  • Protocolo : TCP + UDP
  • Intervalo de portas externas : 3784
  • Endereço de destino : 2607: f8b0: 4009: 801 :: 1058
  • Intervalo de portas de destino : 3784
  • Descrição : Ventrilo

O IPv6 elimina a necessidade de NAT; mas como faço para encaminhar a porta?

Pergunta bônus

Como faço para encaminhar o IPv4 em m0n0wall?

Por exemplo, eu quero encaminhar o tráfego que chega na porta 443 do meu roteador para outro endereço IPv4:

  • Interface : WAN
  • Protocolo : TCP
  • Intervalo de portas externas : 443
  • Endereço de destino : 74.125.225.53
  • Intervalo de portas de destino : 443
  • Descrição : https vai para o servidor seguro

Ou para outros tipos de serviços:

  • Interface : WAN
  • Protocolo : TCP + UDP
  • Intervalo de portas externas : 3784
  • Endereço de destino : 74.125.225.58
  • Intervalo de portas de destino : 3784
  • Descrição : Ventrilo

Eu sei como NAT para um endereço interno privado, mas meus servidores não estão atrás de um proxy NAT - eles estão diretamente conectados à Internet, cada um com um endereço IPv4 publicamente roteável, por exemplo

74.125.225.53

Eu quero que as pessoas só precisem conhecer um endereço, por exemplo:

superuser.com -> 64.34.119.12

mas tenha meu roteador m0n0wall encaminhando os pacotes para a máquina apropriada.

Conversa de bônus estranha

Eu tenho um servidor web que está diretamente conectado à internet usando IPv6, ouvindo na porta 80.

Antigamente, eu dava às pessoas um endereço:

superuser.com

e esse endereço é resolvido para um roteador, que encaminha os pacotes para a máquina apropriada.

Mas com o advento do IPv6 e a remoção do NAT, não é mais possível dar às pessoas nome do endereço , por exemplo:

  • http://superuser.com
  • irc://superuser.com
  • ftp://superuser.com
  • news://superuser.com
  • https://superuser.com
  • ventrilo://superuser.com
  • torrent://superuser.com

não funciona. Isso porque superuser.com resolve o mesmo endereço IPv6, por exemplo:

2607:f8b0:4009:801::100e

E os outros servidores estão em outros endereços:

http      -> 2607:f8b0:4009:801::1031
irc       -> 2607:f8b0:4009:801::1041
ftp       -> 2607:f8b0:4009:801::1059
news      -> 2607:f8b0:4009:801::1026
https     -> 2607:f8b0:4009:801::1053
ventrilo  -> 2607:f8b0:4009:801::1058
torrent   -> 2607:f8b0:4009:801::1097

Assim, um usuário agora é forçado a memorizar outros nomes de endereços, por exemplo:

www.superuser.com
wwws.superuser.com
ventrilo.superuser.com
torrent.superuser.com
irc.superuser.com
news.superuser.com

em vez do single:

superuser.com

para tudo.

Eu gosto apenas de conhecer um nome . Eu quero isso de volta. Como faço para recuperá-lo novamente? Como faço para encaminhar porta no IPv6?

Atualização 2 :

Outro problema é quando vários nomes de host devem ser o mesmo servidor

http://www.superuser.com:80
http://m.superuser.com:80
http://mobile.superuser.com:80
http://english.superuser.com:80
http://spanish.superuser.com:80
http://latin.superuser.com:80
...

O que eu realmente quero é apenas:

*.superuser.com

para resolver o mesmo endereço, e :80 é encaminhado para o servidor.

    
por Ian Boyd 28.03.2012 / 13:44

2 respostas

1

Acho que o que você está procurando pode ser um balanceador de carga. Mas eu não acho que o m0n0wall tenha um.

    
por 28.03.2012 / 18:04
1

Primeira parte

Não há NAT no IPv6 (ou pelo menos não deveria haver). Então você não estará encaminhando portas. Você tem algumas opções para fazer o equivalente à tradução de porta a que está acostumado no IPv4:

  1. Use uma porta idêntica na máquina de destino (o que parece que você está fazendo) para não precisar da porta traduzida. Você só precisará criar uma regra de firewall para permitir o acesso a essa porta. Nenhuma tradução de endereço é necessária.
  2. Use um proxy de porta para traduzir portas e endereços TCP ou UDP. NAT estático, essencialmente.

Bonus part 1

Exatamente a mesma situação aqui no IPv4 sem NAT, como na resposta acima em relação ao IPv6 sem NAT.

Bonus Parte 2

Eu não recomendo o roteamento com base na porta. O roteamento baseado no número da porta é contra os paradigmas da rede. O roteamento deve ser baseado no endereço. E esse endereço pode ser baseado em DNS. Existem extensões para o DNS para especificar serviços e portas conhecidas como registros SRV, mas elas não existem para todos os servidores (como HTTP ou SSH).

Se você precisar encaminhar na porta, novamente, poderá usar proxies de porta para redirecionar determinados serviços TCP ou UDP para outras máquinas.

Resultado:

Não rotear com base na porta; rota baseada no endereço. Desculpe, mas isso significa que você precisa de entradas DNS separadas para cada serviço.

    
por 05.05.2012 / 20:53