※ 引述《louk (PTT的人自己玩自己=_=)》之铭言： : : 这种不击穿 firewall 的 6to4 NAT 才是大家可接受的规格吧! : : 就称呼这种装置为 V6-aware/passthru NAT. : 我提供一个另外的想法 : 1.IPv4下个NAT主要是,内对外启动的session和port对应的关系. : 强调的是对外直接封锁所有的port和内部的对应(因为一开始根本没有对应) : 所以外面的测试攻击打不进来. NAT 原始的构想是如此, 但对被迫使用 V6 缺 v4 ip-address 的才不是为了 "资安" 的理由, NAT 只是可拿来重覆使用 ipv4 位址的技术. : 2.同理,比较简单的方式其实就是在6to4 router上加上防火墙功能. : 关闭由外对内的主动连线. : (不管是指针对IPv4 or 等6to4解回ipv6後来挡) : PS:如果是想要隐藏实际的IPv6位址,用临时的IPv6位址 : microsoft已经在作业系统中实作了,可以避免使用 EUI-64产生的固定IP在外留下纪 : 录 上网的用户对 动态 ip 都不太会介意, 所以是否用 NAT-V4, 不容易会有感觉. 但开网站想提供特定服务的, 才会担心只有 V6 ip-address 是否吃亏? 问题会出在 nat-v4 本就不是正常 v4, 不能当正常 v4 位址用, 但(v6+nat-v4) 在成片的v4世界加上孤岛的v6协助下, 是否有可能虚拟出一个堪用, 与v4-ipaddress 等效又简易的位址使用方案? 简单地说, Client 端使用 nat-v4 或动态的 ip-v4 再加一个独立的 V6-ipaddress 是不会受到抱怨的. 问题会是出在 想当 server 被外部可以连络得到, 却没有个 正常对外专用的 ipv4 位址. =================================================================== 所谓v4位址等效, 就是如同有v4位址同样的效用又没有过多的负担代价. 在 nat 之後的 ip-address 是别的外部机器都找不到, 但假如 v6-ipaddress 不会受挡之外, 还能进一步协助, 让想对外开放的 v6-server 也能让外部的 client 都能 方便自动的如同 "有v4位址般" 可以被连得到. 在 microsoft automatic update 的协助, 及isp与nsp不想造成片v6下,可以假设: 1.所有 client 端都有 v6-ipaddress, 也都是 dual stack. 2.只有 成片成海的v4现成网路, V6 还会是孤岛. 3.IPV4 位址枯竭, 现有 V4位址又不容易移动位置使用, 只能轮流用. 4.透过 v4网路 可以有 6to4连接孤岛的 V6 使之能连通. 被连通的 v6 协助 '合成一个实体可轮用, 虚拟重覆又大量的有效v4 位址". ======================================================================= 外部想主动连络一部在 nat-v4 之後的 server 就涉及 server 如何预先对 nat-v4 先开出个对外的洞口让外部的 client 知道後可以後续使用. a.若先查域名得 ip-address 的阶段, 因为只有 v6-ipadress, 所以 V4 协定 是没作用的. b.在 dual stack 下 client 端透过 v6 可通知到 v6 server. c.V6 server 回应时是通知 V4 部份出 nat-v4 , 变成 nat-V4 之後的 server 以主动方式透过 nat-v4 以 v4协定 连络 client 端, 若 client 端有正常 的 V4 ip-address, 这就接通了. d.如果 client 端也是在 NAT-V4 之後, 这就涉及是否要不要让 V6 成长茁壮? ===================================================================== server 端可以用的技术很多, 例如 a. 的 dns 可以用 CDN 类似 Akamei, 让 client 端到特定 v4 proxy server 来往. 但v6-address 对 client 不是那麽 必要. c,d 部份可以让 V6 server 就 clinet 之近, 去临时租用一台有正常v4的临时 proxy server 供 client 端就近在 NAT-v4 之後主动出来接上去使用. 这台由 v6 server 指派的临时 v4 proxy server 可以让 clinet 与 server 知道对方 nat-v4 的临时出入口. 临时的 nat-v4 与 临时的 v4-proxy 因 v6 server 的指派可以是动态负载平 衡的. : 个人的偏好是,IPv6是想重新恢复网路的末端通透性 : (回到每个点都是真实IP,理论上很多问题都会变简单...理论啦) : 如果想要挡,就乖乖用Firewall功能挡吧~ XD IVI 是 Translation. CDN proxy 可以用 dual stack 只转送内容到 V4. 若要用 46NAT 其一会是translation, 另一法是Server是 dual stack 但 只有 private ipv4 这种非正常位址, 此时可用 4over6 传回 server. server 对外的 V4 位址就会是 46NAT 的 V4 位址. ※ 编辑: ggg12345 来自: 140.115.5.30 (08/19 13:13)