NPTv6にLinuxで接続追跡を実行させる方法はありますか?

NPTv6にLinuxで接続追跡を実行させる方法はありますか?

明らかに、実装NPTv6(IPv6ネットワークプレフィックス変換)は、現在Linuxカーネルの接続トレースと互換性がありません。 ISPの動的IPv6プレフィックスがあり、安定した内部IPv6アドレスが必要な場合は、NPTv6がNAT66よりも合理的な解決策であると考えているため、これは非常に残念です。

NAT66を実行したくありませんが、ステートフルファイアウォールも必要です。特に、NPTv6 はエンドツーエンドの接続を維持するため、接続追跡は必須です。

私の質問は、同じホストでNPTv6と翻訳ストリームへの接続追跡を可能にするパッチ/アドオン/解決方法を知っている人ですか?

ベストアンサー1

SNPT / DNPTは軽量NPTv6用に特別に作成され、「mangle」テーブルでのみ実行され、接続追跡と互換性がありません。

接続トレースを使用している場合は、IPv6ネットワークプレフィックス変換を実行できるNETMAPターゲットがあります。したがって、これに関する文書は明確ではありません。政治的/宗教的な理由で疑われます(NETMAPの対象は実際には多くの人が好きではないNAT66の一形態です)。

したがって、2607:xxx::/64外部プレフィックス、fda3:xxx::/64内部プレフィックス、およびeth0.99発信インターフェイスの場合は、次のようにします。

ip6tables -t nat -A POSTROUTING -o eth0.99 -j NETMAP --to 2607:xxx::/64 -s fda3:xxx::/64
ip6tables -t nat -A PREROUTING -i eth0.99 -j NETMAP -d 2607:xxx::/64 --to fda3:xxx::/64

明確に言えば、NETMAPは1:1アドレス変換(NAT)を実行しますが、チェックサムの中立性の点でRFC6296に従うかどうか、またはRFC準拠のNPTv6からどのように外れるかはわかりませんが、私にとってはうまくいきます。十分によく動作します。

おすすめ記事