ipv6 firewall - como eu me refiro à rede conectada

1

Eu estou em um ambiente IPv4 / IPv6 de pilha dupla por trás de um roteador do ISP que manipula toda a configuração do IPv6, portanto, os endereços IPv6 alocados não podem ser considerados estáticos.

Meu servidor linux é configurado automaticamente com o seguinte estilo de endereço:

inet 192.168.0.2  netmask 255.255.255.0  broadcast 192.168.0.255
inet6 2a02:...snip...:cc29  prefixlen 64  scopeid 0x0<global>
inet6 fd98:...snip...:cc29  prefixlen 64  scopeid 0x0<global>
inet6 fe80:...snip...:cc29  prefixlen 64  scopeid 0x20<link>

O netowrk local para ipv4 é simples, mas como eu me refiro a dispositivos na rede local em ip6tables. Já adicionei regras para os casos simples:

-A blockin -p tcp -m tcp -m state --source fe80::/10 --dport 22 --state NEW -j ACCEPT 
-A blockin -p tcp -m tcp -m state --source fc00::/7  --dport 22 --state NEW -j ACCEPT 

mas como posso lidar com o uso de um endereço global de uma fonte local quando não é um valor estático?

Ou o IPv6 define isso como um não-problema de alguma forma, assegurando que um dos dois endereços locais será usado em todos os momentos?

    
por Steve Davies 26.01.2018 / 12:08

1 resposta

0

A solução usual para ter endereços IPv6 dinâmicos globais é usar endereços locais exclusivos (ULA) em sua rede local para obter recursos em sua rede local. Isso coloca você no controle completo dos endereços que você usa em sua rede.

Observe que os endereços ULA não podem ser usados para alcançar a Internet global; esse não é o propósito deles.

Dependendo da sua configuração de rede local, pode ser tão simples quanto assinalar uma caixa de seleção na configuração do seu roteador (não do roteador do seu ISP) para fazer o endereçamento do ULA.

    
por 26.01.2018 / 22:15