ip6tables: как обрабатывать периодически меняющийся префикс?

мой провайдер предоставляет мне собственный IPv6 (к сожалению, DS-Lite для v4), и я использую SLAAC для клиентов в моей локальной сети за широкополосным маршрутизатором.

поскольку я не доверяю маршрутизатору (который настроен моим провайдером через TR-691), я установил ip6tables правила для каждого клиента, например, ограничение доступа SSH к станциям в одной подсети:

$ ip6tables -A services -s 2a02:8071:28c2:5400::/64 -p tcp --dport 22 -j ACCEPT

проблема теперь в том, что префикс периодически меняется, прибл. раз в месяц.

есть ip6tables оператор, который динамически соответствует текущему префиксу (- ам) данного интерфейса?

или как бы вы справились с изменением префикса? Я думал написать скрипт, который сначала определяет текущую приставку через роутер-побуждает и формирует appropreate ip6tables правила. Но это звучит как-то грязно...

21
задан lynix
14.04.2023 9:07 Количество просмотров материала 2394
Распечатать страницу

1 ответ

теоретически, правильный способ справиться с этим-делегирование префикса DHCP и динамический DNS.

Итак, это будет работать так:

1) ваш маршрутизатор Linux экземпляр запрашивает адрес IPv6, а также делегирование префикса IPv6 от интернет-провайдера на интерфейсе a

2) он присваивает один /64 из делегированного префикса интерфейсу B, который имеет все другие машины. Это объявляет этот префикс через пакеты RA и / или через демона сервера DHCP по вашему выбору

3) клиенты захватывают IPv6-адреса и регистрируются в локальной DNS по имени хоста или отвечают на запросы mDNS для этого имени, если они работают bonjour, Avahi и т. д.

4) правила брандмауэра и почти любая другая сетевая конфигурация основаны на именах хостов, а не на IP-адресах. Это путь IPv6: DNS-имена хорошие, литеральные адреса плохие, потому что их трудно запомнить и ввести.

основная проблема, которую вы найдете в том, что iptables и ip6tables поддерживает только правила на основе имен узлов, разрешая hostnames после во время установки правило. Поэтому вам, вероятно, придется написать сценарий для повторной установки правил при каждом изменении префикса. Хуже того, если узел находится в автономном режиме или не разрешен mDNS или DDNS во время установки правила, все будет ломаться молча.

короче говоря, таблицы ip (6) просто ломаются для любого случая, когда IP-адреса меняются, даже на IPv4. Это означает, что для любой сети разумных размеров, по крайней мере, на система, действующая как маршрутизатор.

многие коммерческие продукты брандмауэра справляются с этим вариантом использования намного лучше (хотя многие из них основаны на linux, например SonicWall). Я подозреваю, что они просто периодически повторно разрешают FQDN на основе TTL и обновляют IPtables или свои пользовательские сетевые модули ядра.

1
отвечен rmalayter 2023-04-15 16:55

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх