- 締切済み
FreeBSDでのIPV6のnat
IPV6を freebitのfeel6から prefix 64 で割り当ててもらっているのですが、 このIPV6を内側ネットワークに対して、セキュリティーを考慮して IPV4のnatと同じような方式で、公開したくありません。 今現在は、NATが使用できないので、代替でsquidのプロクシを使用していますが、 FreeBSDでIPV6での nat の使用法がわかる方がいらっしゃいましたら、 ご教授願いたいと思います。 #参考までに、ルーターは、mpd5、feel6 との接続では、dtcpclient を使用しており、 試しに、一時的に Windows側のIPアドレスを、その公開アドレスに変更したら、 外部から ping6 が通りました。 また、プライベートアドレスには、fc00 から始まるアドレスを使用しています。 p.s.ルーターマシンは、8.2-RELEASEですが、現在、ファイルサーバーに 2TのHDDを搭載した関係で、2TのHDDでフリーズする関係で 9.0-BETA3相当の cvsからビルドした物を使用しており、 ルーターマシンにも、9.0に移行したいと思います。 以上、宜しくお願いします。
- 春原 なの(@ymda)
- お礼率60% (1820/2985)
- BSD系OS
- 回答数1
- ありがとう数3
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- Toshi0230
- ベストアンサー率51% (836/1635)
IPv6は勉強せんといかんなー、と考えている(だけの)門外漢に近い人間ですが… NAPTはあくまでグローバルIPを節約するための技術であってセキュリティ用の技術ではないです(副産物的に外部からのアクセスが困難になるので、セキュリティが確保しやすいだけ)。 なので、外部からのアクセスをブロックしたいのであれば、ルータのファイアウォール機能(IPv6に対応しているならおそらく装備していると思います)でブロックするのが筋です。 NATと同様にしたい、ってなら外部からのパケットを原則遮断すればよいのでは? #もっとも、ICMPとかには注意が必要ですが
お礼
お返事が遅くなってしまい申し訳ありません。 ご回答ありがとうございます。 該当のFreeBSDマシン自体は、主ルーターと化しており、 別にルーターというハードウェアを経由せずに利用しています。 (ルーターがあるにはありますが、完全に予備機と化しうています) さて、話にあるIPV6ネットワークは、feel6 には、現在接続して いるのですが、これは、専用のクライアントである、dtcpclientで 接続しているので、ルーター(ハードウェア)の パケットフィルタリングが効かないのは当然かと思います。 とはいえ、使用していないので、FreeBSD上の gif デバイスとの ipfになるかとは思いますが、 新たに、VPNのIPV6ネットワークを構築した時に問題が起きて しまいました・・・ 10Gのスイッチングハブが高価すぎるということで、VPN内の サーバー間を直接 NIC同士で接続するのですが、 その為に、プライベートのIPV6アドレスのprefixが大量に 発生することにより、そのルーターからは直接アクセスできるものの、 クライアントに対して、IPを割り振るも、多くのIPアドレスを 振らなければいけない為、問題になってしまいました。 (参考:IPV4アドレスが5つ、IPV6アドレスが6つ) ルーターだけでも、その多くのIPアドレスを振ることができれば、 natと同じ方法で、各管理用クライアントに、IPを割り振らずに 簡易的な設定ができるのではないかと思います。 また、ルーター広告に関しても、複数のアドレスの広告が難しく (まだやり方がわからない) セキュリティー以外の観点からも IPV6 で nat が実装できれば 一番てっとり速いと考えているぐらいです。汗 現在、テスト用の1台のPCの中に仮想FreeBSDマシンが4台あり、 (検証中の為、その仮想FreeBSDマシン及び、自家ファイルサーバーは 9.0台の最新で、ルータが8.2-RELEASE、別に契約しているVPSが 8.1-RELEASEのまま) openvpnを経由しても、普通にNICだけの接続でも、うまい具合に そのセグメントにアクセスできないことにあります。 少し複雑な文面になってしまいすみません。