※ 引述《louk (PTT的人自己玩自己=_=)》之銘言： : : 這種不擊穿 firewall 的 6to4 NAT 才是大家可接受的規格吧! : : 就稱呼這種裝置為 V6-aware/passthru NAT. : 我提供一個另外的想法 : 1.IPv4下個NAT主要是,內對外啟動的session和port對應的關係. : 強調的是對外直接封鎖所有的port和內部的對應(因為一開始根本沒有對應) : 所以外面的測試攻擊打不進來. NAT 原始的構想是如此, 但對被迫使用 V6 缺 v4 ip-address 的才不是為了 "資安" 的理由, NAT 只是可拿來重覆使用 ipv4 位址的技術. : 2.同理,比較簡單的方式其實就是在6to4 router上加上防火牆功能. : 關閉由外對內的主動連線. : (不管是指針對IPv4 or 等6to4解回ipv6後來擋) : PS:如果是想要隱藏實際的IPv6位址,用臨時的IPv6位址 : microsoft已經在作業系統中實作了,可以避免使用 EUI-64產生的固定IP在外留下紀 : 錄 上網的用戶對 動態 ip 都不太會介意, 所以是否用 NAT-V4, 不容易會有感覺. 但開網站想提供特定服務的, 才會擔心只有 V6 ip-address 是否吃虧? 問題會出在 nat-v4 本就不是正常 v4, 不能當正常 v4 位址用, 但(v6+nat-v4) 在成片的v4世界加上孤島的v6協助下, 是否有可能虛擬出一個堪用, 與v4-ipaddress 等效又簡易的位址使用方案? 簡單地說, Client 端使用 nat-v4 或動態的 ip-v4 再加一個獨立的 V6-ipaddress 是不會受到抱怨的. 問題會是出在 想當 server 被外部可以連絡得到, 卻沒有個 正常對外專用的 ipv4 位址. =================================================================== 所謂v4位址等效, 就是如同有v4位址同樣的效用又沒有過多的負擔代價. 在 nat 之後的 ip-address 是別的外部機器都找不到, 但假如 v6-ipaddress 不會受擋之外, 還能進一步協助, 讓想對外開放的 v6-server 也能讓外部的 client 都能 方便自動的如同 "有v4位址般" 可以被連得到. 在 microsoft automatic update 的協助, 及isp與nsp不想造成片v6下,可以假設: 1.所有 client 端都有 v6-ipaddress, 也都是 dual stack. 2.只有 成片成海的v4現成網路, V6 還會是孤島. 3.IPV4 位址枯竭, 現有 V4位址又不容易移動位置使用, 只能輪流用. 4.透過 v4網路 可以有 6to4連接孤島的 V6 使之能連通. 被連通的 v6 協助 '合成一個實體可輪用, 虛擬重覆又大量的有效v4 位址". ======================================================================= 外部想主動連絡一部在 nat-v4 之後的 server 就涉及 server 如何預先對 nat-v4 先開出個對外的洞口讓外部的 client 知道後可以後續使用. a.若先查域名得 ip-address 的階段, 因為只有 v6-ipadress, 所以 V4 協定 是沒作用的. b.在 dual stack 下 client 端透過 v6 可通知到 v6 server. c.V6 server 回應時是通知 V4 部份出 nat-v4 , 變成 nat-V4 之後的 server 以主動方式透過 nat-v4 以 v4協定 連絡 client 端, 若 client 端有正常 的 V4 ip-address, 這就接通了. d.如果 client 端也是在 NAT-V4 之後, 這就涉及是否要不要讓 V6 成長茁壯? ===================================================================== server 端可以用的技術很多, 例如 a. 的 dns 可以用 CDN 類似 Akamei, 讓 client 端到特定 v4 proxy server 來往. 但v6-address 對 client 不是那麼 必要. c,d 部份可以讓 V6 server 就 clinet 之近, 去臨時租用一台有正常v4的臨時 proxy server 供 client 端就近在 NAT-v4 之後主動出來接上去使用. 這台由 v6 server 指派的臨時 v4 proxy server 可以讓 clinet 與 server 知道對方 nat-v4 的臨時出入口. 臨時的 nat-v4 與 臨時的 v4-proxy 因 v6 server 的指派可以是動態負載平 衡的. : 個人的偏好是,IPv6是想重新恢復網路的末端通透性 : (回到每個點都是真實IP,理論上很多問題都會變簡單...理論啦) : 如果想要擋,就乖乖用Firewall功能擋吧~ XD IVI 是 Translation. CDN proxy 可以用 dual stack 只轉送內容到 V4. 若要用 46NAT 其一會是translation, 另一法是Server是 dual stack 但 只有 private ipv4 這種非正常位址, 此時可用 4over6 傳回 server. server 對外的 V4 位址就會是 46NAT 的 V4 位址. ※ 編輯: ggg12345 來自: 140.115.5.30 (08/19 13:13)