Hallo alle zusammen ich habe mir eine kleines Ipv6 Netzwerk zuHause zu einigen Test Zwecken eingerichtet. Jedoch möchte ich jetzt irgendwie versuchen die Zieladdresse eine IPv6 Paketes zu ändern, also sowas in der Art wie NAT bei IPv6 !
Gibts es eine Möglichkeit dies in IPv6 auch zu machen ?
(03-09-2011 08:56 PM)Wolfgang Ninaus schrieb: [ -> ]NAT gibt es meines Wissens nicht mehr.
Ja, das ist mir auch schon negativ aufgefallen. Im Grunde ist es natürlich richtig, dass man angesichts des Adressvorrats von IPv6 NAT nichtmehr benötigt, um sich zusätzlich Platz zu schaffen (die klassischen 192.168 LANs also) - andererseits muss ich gerade bei der Einführung von IPv6 oft ziemliche Winkelzüge machen, damit ein Datenpfad, der bei v4 geHATet wird unter v6 auch funktioniert.
Es ist halt auch bei v6 manchmal nötig, in einem Router, Firewall oder auf einem Server eine Zieladresse/Port durch eine andere zu ersetzen. Es ist etwas ignorant, das bei v6 wegzulassen. :-(
NAT gibt es schon noch. Sowohl Destination-NAT als auch Source-NAT.
Das einzige was mir gefällt ist N:N NAT/Prefix Translation.
Schau mal in RFC 6296 nach.
Die Frage ist halt wofür man es wirklich braucht. Auf der IPv6 Konferenz gab es dieses Jahr entsprechende Diskussionen darüber.
Was einem klar sein sollte, dass NAT exakt nichts bezüglich Sicherheit bringt.
Gruß, dox.
NAT gibt es schon noch. Sowohl Destination-NAT als auch Source-NAT.
Das einzige was mir gefällt ist N:N NAT/Prefix Translation.
Schau mal in RFC 6296 nach.
Die Frage ist halt wofür man es wirklich braucht. Auf der IPv6 Konferenz gab es dieses Jahr entsprechende Diskussionen darüber.
Was einem klar sein sollte, dass NAT exakt nichts bezüglich Sicherheit bringt.
Gruß, dox.
(09-09-2011 03:04 PM)doxygen schrieb: [ -> ]NAT gibt es schon noch. Sowohl Destination-NAT als auch Source-NAT. Das einzige was mir gefällt ist N:N NAT/Prefix Translation. Schau mal in RFC 6296 nach.
Interessant.
Damit kann man aber nicht wie in IPv4 z.B. Jabber Pakete an selfnet.at (91.224.66.77) an den jabber.selfnet.at (91.224.66.87) weiterleiten, weil die bei IPv6 im selben Präfix wären - so, wie sie derzeit bei IPv4 bei uns in derselben C-Klasse residieren. Wenn ich den RFC Artikel richtig verstanden habe, kann ich aber nur die oberen 64 Bit ändern.
Auch haben wir manche Dienste auf Port X, ein Kunde kann aber über eine beschnittene Internetanbindung auf diesen Port nicht zugreifen. In IPv4 kann ich dann ganz einfach einen weiteren Port auf X umlenken. Bei IPv6 nicht - zumindest habe ich noch keine Möglichkeit im Linux gefunden, weil `ip6tables -t
nat´ fehlt.
Dass es NAT nichtmehr für die typische Home-LAN-Anwendung gibt, die aus einer externen IP Adresse viele interne zu machen, ist okay. Dass man aber mancherorts NATen muss, um gewisse Umbauten im Netzwerkfluss zu realisieren, sollte auch bei IPv6 nicht vergessen werden!
Bezüglich Destination NAT solltes du mit IPVS (IP Virtual Server) unter Linux was machen können.
Ansonsten empfehle ich dir OpenBSD mit PF als Packet filter. Damit geht am meisten.
Das man unbedingt NAT machen muß kann ich mir nicht so richtig vorstellen solange man in der IPv6 Welt bleibt.
Ansonsten schau dir mal NAT64 (RFC 6146) falls Du IPv6 und IPv4 verbinden möchtest.
Ja, das ist mir auch schon negativ aufgefallen. Im Grunde ist es natürlich richtig, dass man angesichts des Adressvorrats von IPv6 NAT nichtmehr benötigt, um sich zusätzlich Platz zu schaffen (die klassischen 192.168 LANs also) - andererseits muss ich gerade bei der Einführung von IPv6 oft ziemliche Winkelzüge machen, damit ein Datenpfad, der bei v4 geHATet wird unter v6 auch funktioniert.
In IPv4 kann ich dann ganz einfach einen weiteren Port auf X umlenken. Bei IPv6 nicht - zumindest habe ich noch keine Möglichkeit im Linux gefunden