这是有关IPv6和NAT的典型问题
相关:

IPv6子网划分的工作原理以及与IPv4子网划分的区别是什么?
我如何浸入我的脚趾进入了动态IPv6网络寻址?
我注意到了三个非常重要的问题:
我们的办公室NAT路由器(旧的Linksys BEFSR41)不支持IPv6。 。也没有任何新的路由器AFAICT。我正在阅读的有关IPv6的书告诉我,无论如何,它使NAT成为“不必要的”。 ,我开始感到恐慌。地狱是不可能的,我会将我们的计费数据库(包含很多信用卡信息!)放在互联网上,以供所有人查看。即使我提议在其上设置Windows的防火墙,以使其仅允许6个地址对其进行任何访问,但我还是不知所措。我不信任Windows,Windows的防火墙或足够大的网络,甚至无法远程接受它。


有一些旧的硬件设备(例如打印机)具有完全没有IPv6功能。大概可以追溯到1998年左右。而且没有资金购买新打印机。


我听说IPv6和IPSEC应该以某种方式确保所有这些安全,但是如果没有物理隔离的网络使这些设备对Internet不可见,我真的不知道如何实现。我同样可以真正看到我创建的任何防御措施将在短期内被超支。我已经在Internet上运行服务器很多年了,我对保护这些服务器所必需的东西非常熟悉,但是将诸如“计费数据库”之类的“私有”东西放在网络上始终是不可能的。
如果我们没有物理上分开的网络,我应该用NAT替换什么?

评论

您震惊的事情不存在。也许您应该以描述您认为是事实的事物的方式来重新格式化您的问题,并请我们确认这些事实。不用抱怨您假设的事情可以以某种方式起作用。

另外-您要存储信用卡信息吗?您对安全性有很多疑问吗?您是否曾经通过PCI审核?还是您通过存储信用卡详细信息来违反合同?您可能想在事后研究一下。

我不能出于良心不赞成投票或投票否决这个问题,无论是基于海报的知情者(当然是网站的一半)。当然,基于错误的假设,OP正好切线,问题可能在于重新编写。

但是,有人提出了这个问题,它引起了有趣的答复,并且可能在搜索条件相似的人的搜索结果中出现,因此+1

毫无疑问,“不再使用NAT”是IPv6的目标之一。尽管目前看来(至少在这里),对真正提供IPv6的兴趣似乎并不十分庞大,除了在数据中心中(因为更大的数据包意味着更多的带宽,而更多的带宽对他们来说意味着更多的钱!)。对于DSL而言,情况恰恰相反,几乎每个人都有统一的价格,因此IPv6只会给提供商带来更多麻烦和更多成本。

#1 楼

首先,只要您的安全设备配置正确,就不必担心公共IP分配上的问题。



自1980年代以来,我们就一直在物理上将它们分开,路由器和防火墙也是如此。通过NAT获得的一大安全好处是,它迫使您进入默认拒绝配置。为了获得任何服务,您必须明确打孔。先进的设备甚至允许您将基于IP的ACL应用于这些漏洞,就像防火墙一样。实际上,可能是因为它们的包装盒上有“防火墙”。

正确配置的防火墙提供与NAT网关完全相同的服务。 NAT网关之所以被广泛使用是因为它们比大多数防火墙更容易进入安全配置。分离的网络使这些设备无法在Internet上看到,我真的看不出来。


这是一个误解。我为一所拥有/ 16 IPv4分配的大学工作,我们绝大多数IP地址使用都在该公共分配上。当然,我们所有的最终用户工作站和打印机。我们的RFC1918消耗仅限于需要此类地址的网络设备和某些特定服务器。如果您现在只是颤抖,我不会感到惊讶,因为当我出现在第一天,并在监视器上看到带有IP地址的帖子时,我肯定会这么做。生存。为什么?因为我们将外部防火墙配置为使用ICMP吞吐量受限的默认拒绝。仅仅因为140.160.123.45在理论上是可路由的,并不意味着您可以从公共互联网上的任何地方到达那里。这就是防火墙的目的。

给定正确的路由器配置,并且分配中的不同子网可能彼此之间完全无法访问。您可以在路由器表或防火墙中执行此操作。这是一个独立的网络,过去已经使我们的安全审核人员满意。互联网供所有人查看。


我们的计费数据库位于公共IPv4地址上,已经存在了整个时间,但是我们有证据表明您无法从这里到达那里。仅仅因为地址在公共v4可路由列表上并不意味着可以保证将其发送。 Internet的弊端和实际的数据库端口之间的两个防火墙可以过滤掉这些弊端。即使在我的办公桌上,在第一个防火墙之后,我也无法访问该数据库。

信用卡信息是一种特殊情况。这要受PCI-DSS标准的约束,并且该标准直接规定包含此类数据的服务器必须位于NAT网关1的后面。我们是,这三台服务器代表了我们对RFC1918地址的总服务器使用率。它没有增加任何安全性,只是增加了一层复杂性,但是我们需要选中该复选框以进行审计。


最初的“ IPv6使NAT成为过去”的想法是在Internet繁荣真正进入主流之前提出的。在1995年,NAT是解决小型IP分配问题的一种解决方法。在2005年,它被包含在许多安全性最佳实践文档中,并且至少包含一个主要标准(具体来说是PCI-DSS)。 NAT带来的唯一具体好处是,在网络上执行侦察的外部实体不知道NAT设备后面的IP情况(尽管有了RFC1918,他们有一个很好的猜测),以及不使用NAT的IPv4作为我的工作)并非如此。这是深度防御中的一小步,而不是大步。

RFC1918地址的替代物称为唯一本地地址。像RFC1918一样,除非对等方明确同意允许他们路由,否则它们不会路由。与RFC1918不同,它们在全球范围内是唯一的。可以将ULA转换为全球IP的IPv6地址转换器确实存在于更高范围的外围设备中,但绝对不在SOHO设备中。

只要拥有公共IP地址,您就可以生存。请记住,“公开”并不能保证“可达”,您会没事的。


2017年更新

在过去的几个月中, Amazon aws已添加了IPv6支持。它刚刚被添加到了他们的amazon-vpc产品中,并且它们的实现为预期完成大规模部署提供了一些线索。 256个子网)。
分配是一个可完全路由的子网。
您应该对防火墙规则(安全组)进行适当的限制。
没有NAT,甚至没有提供,因此所有出站流量都将来自实例的实际IP地址。

为了增加NAT的安全性优势之一,它们现在提供了仅出口的Internet网关。这提供了类似NAT的好处:


它后面的子网不能直接从Internet访问。

其中提供了一层防御深度,以防万一配置错误的防火墙规则意外允许入站流量。

此产品不会像NAT那样将内部地址转换为单个地址。出站流量仍将具有打开连接的实例的源IP。希望将VPC中的资源列入白名单的防火墙操作员最好将网络块列入白名单,而不是将特定IP地址列入白名单。

可路由并不总是意味着可访问。1:PCI-DSS标准在2010年10月进行了更改,删除了要求RFC1918地址的声明,并用“网络隔离”代替了它。

评论


我将其标记为“已接受”,因为它是更完整的答案。我猜想,自从我读过每一个防火墙配置书(自1997年以来,我开始从事该领域的工作,其中包括手工构建FreeBSD防火墙)就已经强调了RFC1918的使用,这确实没有任何意义对我来说。当然,作为ISP,当IPv4地址用完时,最终用户及其廉价路由器会遇到一些问题,并且这种情况不会很快消失。

–Ernie
2010-09-27 16:16

“将ULA转换为全球IP的IPv6地址转换器确实存在于更高范围的外围设备中,但肯定还不存在于SOHO设备中。”抵制多年之后,Linux在3.9.0中增加了对此的支持。

– Peter Green
16年7月8日在19:27

我有一个关于“ NAT网关经常使用的问题,因为与大多数防火墙相比,它们更容易进入安全配置”。对于拥有专业IT员工的企业或知识渊博的消费者而言,这没什么大不了的,但是对于普通消费者/天真的小企业来说,难道不是难事吗?例如。由于没有配置安全性比配置安全性“容易”,因此存在数十年的无密码“ linksys” wifi网络。在满是消费级物联网功能设备的房子里,我看不到妈妈正确配置IPv6防火墙。你觉得这有问题吗?

–杰森C
17年1月27日,14:50



@JasonC否,因为已经发货的消费者级别的设备附带了由ISP预配置为拒绝所有入站的防火墙。或没有v6支持。挑战在于高级用户,他们认为自己知道自己在做什么,而实际上却不知道。

– sysadmin1138♦
17年1月27日在15:03

总体而言,这是一个很好的答案,但我对此不以为然,因为它几乎不能解决会议室中的大笨蛋:正确配置安全设备是您不能轻易想到的事情。

–凯文·基恩(Kevin Keane)
17年2月12日在10:24

#2 楼


我们的办公室NAT路由器(旧的Linksys
BEFSR41)不支持IPv6。也没有
任何新的路由器



许多路由器都支持IPv6。只是没有那么多针对消费者和SOHO的廉价产品。最坏的情况是,只需使用Linux机顶盒或用dd-wrt或其他方式重新刷新路由器即可获得IPv6支持。有很多选择,您可能只需要加倍努力。


如果我们只是想摆脱此路由器,直接将所有东西插入连接互联网,


关于向IPv6过渡的任何建议都没有建议您摆脱外围安全设备,例如路由器/防火墙。路由器和防火墙仍将是几乎每个网络中必不可少的组件。

所有NAT路由器实际上都可以用作状态防火墙。 RFC1918地址的使用可以保护您这么多,这没有什么神奇的。努力工作是有状态的。如果您使用的是真实地址或私有地址,则正确配置的防火墙同样可以为您提供保护。

您从RFC1918地址获得的唯一保护是,它使人们可以摆脱防火墙配置中的错误/懒惰,并且仍然不会那么脆弱。 >有些旧的硬件设备(例如打印机)根本没有IPv6功能。

如果运行,几乎不可能需要通过Internet以及在内部网络上使它可用,就可以继续运行I​​Pv4和IPv6,直到所有设备得到支持或替换。您可能不必设置多种协议来设置多种网关/代理。


IPSEC应该以某种方式使所有这些安全> IPSEC加密并验证数据包。它与摆脱边界设备无关,并且可以更保护传输中的数据。

评论


正确的方式很多。

– sysadmin1138♦
2010-09-25在0:49

确实,有了真正的路由器,您就不必担心。 SonicWall提供了一些出色的选项来提供您所需的安全性,并且将毫无问题地支持IPv6。与当前相比,此选项可能会提供更好的安全性和性能。 (news.sonicwall.com/index.php?s=43&item=1022)如您在本文中所见,对于无法处理ipv6的设备,您也可以使用sonicwall设备将ipv4转换为ipv6。

– MaQleod
2010-09-25 4:54

#3 楼

是。 NAT已死。已经进行了一些尝试来批准IPv6上的NAT标准,但都没有成功。实际上声明您必须在NAT后面。

对我来说,这是我听过的最精彩的消息。我讨厌NAT,甚至更讨厌电信级的NAT。

在过渡期间,您必须记住,IPv4和IPv6除了名称相似外,完全不同。1.因此,双栈设备将对您的IPv4进行NAT,而IPv6将不会。几乎就像有两个完全独立的设备,只是包装在一块塑料中一样。

那么,IPv6互联网访问如何工作?嗯,在发明NAT之前,互联网曾经的工作方式。您的ISP将为您分配一个IP范围(与现在相同,但通常为您分配一个/ 32,这意味着您仅获得一个IP地址),但是您的范围现在将具有数百万个可用IP地址。您可以随意填充这些IP地址(使用自动配置或DHCPv6)。这些IP地址中的每个IP地址都可以从Internet上的任何其他计算机上看到。

听起来很恐怖,对吧?您的域控制器,家庭媒体PC和带有隐藏色情内容的iPhone都可以通过互联网访问了!好吧,不。这就是防火墙的用途。 IPv6的另一个重要功能是,它可以将防火墙从“允许所有”方法(就像大多数家用设备一样)强制转换为“拒绝全部”方法,在此方法中您可以为特定IP地址打开服务。 99.999%的家庭用户会很乐意将其防火墙设置为默认并完全锁定,这意味着不允许未经许可的流量进入。

1好吧,除此之外,还有很多其他方法,尽管它们都允许在顶部运行相同的协议,但它们彼此之间并不兼容。

评论


那些声称拥有NAT后的计算机可以提高安全性的人怎么办?我从其他IT管理员那里听到了很多话。无需说您只需要合适的防火墙就可以了,因为很多人认为NAT可以增加一层安全性。

–user9274
2011-3-24在0:30



@ user9274-它通过两种方式提供安全性:1)它向世界隐藏了您的内部IP地址(这就是PCI-DSS要求它的原因),以及2)这是从Internet到本地计算机的额外“跳跃”。但老实说,第一个只是“通过隐秘获得安全性”,这根本不是安全性,至于第二个,受感染的NAT设备与受感染的服务器一样危险,因此一旦攻击者越过NAT反正进入您的机器。

–马克·亨德森(Mark Henderson)
2011-3-24在0:34



2010年10月下旬修订了PCI-DSS标准,并删除了NAT要求(v1.2中的1.3.8节)。因此,即使他们正在赶上时代。

– sysadmin1138♦
2011-3-24在2:17

@Mark,不确定是否值得一提,但是NAT64正在起步,但这不是大多数人想到的NAT。它允许仅IPv6的网络在没有客户端“合作”的情况下访问IPv4 Internet。它需要DNS64支持才能使其正常工作。

–克里斯S
2011-3-24在3:15

IPv6如何强制防火墙默认拒绝所有内容?我想念什么?

–user253751
17 Mar 3 '17 at 2:57

#4 楼

众所周知,NAT的PCI-DSS要求是安全领域,而不是实际的安全性。

最新的PCI-DSS不再要求将NAT称为绝对要求。许多组织通过了不带NAT的IPv4的PCI-DSS审核,显示有状态防火墙是“等效的安全实现”。使得事件调查/缓解变得更加困难,对NAT(无论是否使用PAT)进行更深入的研究将对网络安全产生负面影响。在IPv6世界中。在IPv4中,为了节省地址,必须容忍NAT。

评论


NAT是“惰性安全”。随着“懒惰的安全性”的到来,人们对细节的关注也随之而来,随之而来的安全性也随之丧失。

– Skaperen
2012年8月21日在17:14

完全同意;尽管大多数PCI-DSS审核的执行方式(由猴子和清单进行审核)都是懒惰的安全性,但存在这些缺陷。

– MadHatter
2015年3月1日9:02



对于那些声称NAT是“安全领域”的人,我想指出几个月前The Networking Nerd关于Memcached漏洞的文章。 networkingnerd.net/2018/03/02/…他是一个狂热的IPv6拥护者,并且讨厌NAT。但是必须指出,由于防火墙规则“没有精心制作”。 NAT强制您明确允许网络使用的内容。

–凯文·基恩(Kevin Keane)
18年5月25日在20:32

#5 楼

(很不幸)要过一会儿,您才能摆脱单栈IPv6网络。在此之前,运行优先选择IPv6的双协议栈是一种运行方式。例如,带有dd-wrt的Linksys WRT54G等)。此外,许多企业级设备(Cisco,Juniper)都支持IPv6开箱即用。 )使用其他形式的NAT,以及不使用NAT的防火墙;一旦Internet变为仅IPv6,防火墙仍将阻止内部服务的公开。同样,具有一对一NAT的IPv4系统也不会自动受到保护。这就是防火墙策略的工作。

#6 楼

如果NAT在IPv6世界中生存下来,则很可能是1:1 NAT。一种在IPv4空间中从未见过的NAT形式。什么是1:1 NAT?这是全局地址到本地地址的1:1转换。等效于IPv4的情况是将所有到1.1.1.2的连接仅转换为10.1.1.2,以此类推,对于整个1.0.0.0/8空间。 IPv6版本将是将全局地址转换为唯一本地地址。

通过频繁地旋转不需要的地址的映射(例如内部办公室用户浏览Facebook),可以提供增强的安全性。在内部,您的ULA编号保持不变,因此您的水平分割DNS可以继续正常运行,但是在外部,客户端永远不会处于可预测的端口上。它带来的麻烦的安全性。扫描IPv6子网是一项非常艰巨的任务,如果不对如何在这些子网中分配IP地址进行任何检查(MAC生成方法?随机方法?人类可读地址的静态分配?),就不可能进行扫描。

在大多数情况下,将发生的事情是,公司防火墙后面的客户端将获得一个全局地址,也许是一个ULA,并且外围防火墙将被设置为拒绝与之建立任何形式的所有传入连接地址。出于所有目的和目的,这些地址是无法从外部访问的。内部客户端启动连接后,将允许通过该连接的数据包。将IP地址更改为完全不同的地址的方法是通过迫使攻击者通过该子网中2 ^ 64个可能的地址来解决的。

评论


@ sysadmin1138:我喜欢这个解决方案。据我目前对IPv6的了解,如果我的ISP给我一个/ 64,并且我希望我的机器可以通过Internet访问IPv6,那么我应该在整个网络上使用/ 64。但是,如果我对那个ISP感到厌倦并转移到另一个ISP,那么现在我必须完全重新编号所有内容。

–金巴
2011年4月6日,下午4:41

@ sysadmin1138:尽管如此,我注意到我可以比使用IPv4轻松地将多个IP分配给单个接口,因此可以预见使用ISP提供的/ 64进行外部访问,而我自己的私有内部ULA方案用于在主机之间通信,并使用防火墙使ULA地址无法从外部访问。涉及更多的设置工作,但似乎完全可以避免NAT。

–金巴
2011年4月6日下午4:42

@ sysadmin1138:我始终不遗余力地说明,为什么ULA出于所有意图和目的都是私有的,但仍希望它们在全球范围内都是唯一的。这就像说我可以拥有一辆目前可用的任何品牌和型号的汽车,但没有别人已经使用过的任何品牌/型号/年的汽车,即使这是我的汽车,而且我将是唯一拥有的驾驶员。

–金巴
2011年4月6日下午4:46

@Kumba RFC 4193地址应该是全局唯一的原因是为了确保将来不必重新编号。也许有一天您需要使用RFC 4193地址合并两个网络,或者一台可能已经具有RFC 4193地址的机器可能需要连接到一个或多个具有RFC 4193地址的VPN。

–卡巴斯德
2014年7月4日在9:33

@Kumba如果每个人都在其网络的第一部分使用fd00 :: / 64,那么一旦两个这样的网络中的任何一对必须进行通信,您肯定会陷入冲突。 RFC 4193的要点是,只要您随机选择40位,就可以随意分配剩余的80位,并保持自信,您不必重新编号。

–卡巴斯德
2014年7月6日在18:56

#7 楼

由于网络管理员从一个角度看待NAT,而小型企业和住宅客户却从另一个角度看,在这个问题上有很多困惑。让我澄清一下。

静态NAT(有时称为一对一NAT)绝对不能为您的专用网络或单个PC提供保护。就保护而言,更改IP地址毫无意义。通过设计,这些设备中的NAT表是状态表。它跟踪出站请求并将其映射到NAT表中-连接在一定时间后超时。默认情况下,任何与NAT表中的内容不匹配的未经请求的入站帧都会被丢弃-NAT路由器不知道在专用网络中将其发送到何处,因此会丢弃它们。这样,您留下的唯一容易受到黑客攻击的设备就是路由器。由于大多数安全漏洞利用都是基于Windows的,因此在互联网和Windows PC之间安装这样的设备确实有助于保护您的网络。它可能不是最初打算使用的功能,它可以节省公共IP,但是可以完成工作。另外,这些设备中的大多数设备还具有防火墙功能,默认情况下会多次阻止ICMP请求,这也有助于保护网络。

根据上述信息,在转移到IPv6时使用NAT处理可能会使数百万个消费者和小型企业设备遭受潜在的黑客攻击。由于企业网络边缘具有专业管理的防火墙,因此对企业网络几乎没有影响。消费者和小型企业网络可能在Internet和其PC之间不再具有基于* nix的NAT路由器。没有理由人们不能切换到仅防火墙解决方案-如果部署正确会更安全,但也超出了99%的消费者理解如何做的范围。仅使用动态重载NAT即可提供少量保护-插入住宅路由器即可保护您。容易。

这就是说,没有理由不能完全按照在IPv4中使用NAT的方式来使用NAT。实际上,可以将路由器设计为在WAN端口上具有一个IPv6地址,并在其后方具有一个NAT的IPv4专用网络。对于消费者和居民来说,这将是一个简单的解决方案。另一个选择是将所有具有公共IPv6 IP的设备置于中间设备,然后该中间设备可以充当L2设备,但提供状态表,数据包检查和功能齐全的防火墙。本质上,没有NAT,但仍然阻止了任何未经请求的入站帧。要记住的重要一点是,不要在没有中间设备的情况下将PC直接插入WAN连接。除非您当然要依赖Windows防火墙。 。 。那是另一回事。除使用Windows防火墙外,每个网络,甚至家庭网络,都需要保护局域网的边缘设备。

过渡到IPv6会遇到一些麻烦,但是没有任何问题不能轻易解决。您是否必须放弃旧的IPv4路由器或住宅网关?也许可以,但是到时候会有便宜的新解决方案可用。希望许多设备仅需要固件闪存。是否可以将IPv6设计为更无缝地适合当前架构?当然可以,但它不会消失,所以您不如学习,生活,爱它。

评论


对于它的价值,我想重申一下,当前的体系结构从根本上被破坏了(端到端的可路由性),这在复杂的网络中造成了实际的问题(冗余NAT设备过于复杂和昂贵)。丢弃NAT hack可以降低复杂性和潜在的故障点,同时通过简单的状态防火墙来维持安全性(我无法想象一秒钟SOHO路由器没有默认启用状态防火墙,因此客户可以即插即用一个想法)。

–克里斯S
2011年6月9日14:51

有时端到端的可路由性正是您想要的。我不希望我的打印机和PC能够从Internet路由到。尽管NAT最初是作为一种黑客手段,但它已经发展成为一种非常有用的工具,在某些情况下,它可以消除数据包直接路由到节点的可能性,从而提高安全性。如果我在PC上静态分配了RFC1918 IP,则该IP在任何情况下都不能在Internet上路由。

–计算机
2011年6月9日在20:01

损坏的可路由性是Bad Bading™。您想要的是使设备无法通过Internet(通过防火墙)访问,这不是同一回事。请参阅为什么在内部使用IPv6?此外,RFC1918声明这些地址应仅用于专用网络,并且仅应由应用程序层网关(不是NAT)提供对Internet的访问。对于外部连接,应从IANA协调分配中为主机分配一个地址。骇客,无论多么有用,都会做出不必要的妥协,而且不是“正确”的方式。

–克里斯S
2011年6月9日20:56

#8 楼

RFC 4864描述了IPv6本地网络保护,这是一套在IPv6环境中提供NAT的明显好处的方法,而无需实际使用NAT。可以组合在IPv6站点上以保护其网络体系结构完整性的技术。这些技术统称为“本地网络保护”,保留了专用网络“内部”和“外部”之间的界限分明的概念,并允许防火墙,拓扑隐藏和隐私。但是,由于它们在需要的地方保留了地址透明性,因此可以实现这些目标而没有地址转换的缺点。因此,IPv6中的本地网络保护可以提供IPv4网络地址转换的好处,而没有相应的缺点。 ),然后介绍可用于提供这些相同好处的IPv6功能。它还提供了实施说明和案例研究。

虽然在此处转载时间太长,但所讨论的好处是: “外部”
状态防火墙
用户/应用程序跟踪
隐私和拓扑隐藏
专用网络中地址的独立控制
多宿主/重编号

这几乎涵盖了可能需要NAT的所有情况,并提供了在没有NAT的IPv6中实现它们的解决方案。

您将使用的一些技术是: br />
唯一的本地地址:在内部网络上优先使用这些地址,以保持内部通信的内部状态,并确保即使ISP中断,内部通信也可以继续。
IPv6隐私扩展,具有较短的地址生存期和结构清晰的接口标识符:有助于防止攻击单个主机和子网扫描。
IGP,移动IPv6或VLAN可用于隐藏内部网络的拓扑。 >与ULA一样,ISP的DHCP-PD使重编号/多宿主比IPv4更加容易。

。)

有关IPv6过渡安全性的更一般性讨论,请参阅RFC4942。

#9 楼

有点儿。实际上,IPv6地址有不同的“类型”。最接近RFC 1918(10 / 8、172.16 / 12、192.168 / 16)的地址称为“唯一本地地址”,并在RFC 4193中定义:

http://en.wikipedia.org/ Wiki / Unique_local_address

所以从fd00 :: / 8开始,然后添加40位字符串(使用RFC中的预定义算法!),最后得到伪随机/ 48前缀,应该是全局唯一的。您可以根据需要分配其余的地址空间。

还应该在(IPv6)路由器上阻止fd00 :: / 7(fc00 :: / 8和fd00 :: / 8)到组织外部-因此地址名称中的“本地”。这些地址虽然位于全局地址空间中,但不应仅通过您的“组织”访问整个世界。内部IPv6主机,则应为公司生成ULA前缀,并将其用于此目的。如果需要,您可以像使用其他任何前缀一样使用IPv6的自动配置。

鉴于IPv6的设计目的是使主机可以具有多个地址,一台计算机除了ULA之外还可以具有一个全局地址。可路由地址。因此,需要与外部和内部机器通信的Web服务器可以同时具有ISP分配的预地址和您的ULA前缀。

如果您想要类似NAT的功能,则可以还要看看NAT66,但总的来说,我会围绕ULA进行架构设计。如果您还有其他疑问,可以查看“ ipv6-ops”邮件列表。

评论


哈哈我将所有这些注释写到sysadmin1138,甚至没有想到查看有关将双地址用于全局和本地通信的答案。但是,我强烈不同意ULA必须在全球范围内唯一的规则。我根本不喜欢随机的40位数字,特别是对于我是唯一用户的内部局域网。他们可能确实需要注册ULA的世界数据库(SixXS运行此类数据库),但是会丢弃随机数混乱,让人们发挥创造力。就像个性化的车牌。您申请一个,如果被录取,则尝试另一个。

–金巴
2011年4月6日4:57



@Kumba他们试图使用相同的地址停止每个网络-随机意味着您不需要公共数据库,并且每个网络都是独立的;如果您想集中发布IP地址,那么就使用全局地址吧!

–理查德·加兹登(Richard Gadsden)
2011年4月14日在9:58

@Richard:那是...我要怎么说,愚蠢的概念,恕我直言。如果位于蒙大拿州一个小镇的小型Joe Company与澳大利亚的珀斯的另一家小型公司使用相同的IPv6地址,那又为什么呢?两次穿越的可能性虽然并非不可能,但几乎是不可能的。如果IPv6设计人员的意图是尝试完全消除“专用网络”的概念,那么他们需要检查自己的咖啡,因为这实际上是不可行的。

–金巴
2011年4月23日下午6:43

@Kumba我认为这是您尝试在10/8中合并两个大型IPv4专用网络并重新编号它们试图避免的一个(或什至两个)编号时的伤疤。

–理查德·加兹登(Richard Gadsden)
2011年4月26日在10:59

@Richard:确实,没有什么比使用VPN连接到具有相同私有子网的另一个网络更痛苦的了,某些实现只会停止工作。

–休伯特·卡里奥(Hubert Kario)
11年8月12日在10:37

#10 楼

恕我直言:不是。

仍有一些地方可以使用SNAT / DNAT。例如,某些服务器已移至另一个网络,但我们不希望/我们无法更改应用程序的IP。

评论


您需要在应用程序配置中使用DNS名称而不是IP地址。

– rmalayter
2012年4月6日15:10

如果您需要创建网络路径而不修改整个路由拓扑和防火墙规则,则DNS不会解决您的问题。

–摘要
2012年5月15日下午13:43

#11 楼

希望NAT将永远消失。仅当IP地址稀缺且没有状态防火墙无法提供更好,更便宜且更容易管理的安全功能时,此功能才有用。可以摆脱NAT这个丑陋的世界。

#12 楼

对于IPv6的NAT丢失(如果确实消失了)如何影响用户隐私,我还没有一个明确的答案。

公开显示单个设备的IP地址,网络服务将更易于监视(随时间,空间和站点聚集,存储,汇总,并促进大量二次使用)您的旅行通过各种设备访问互联网。除非... ISP,路由器和其他设备使动态IPv6地址成为可能且容易,但动态IPv6地址可以针对每个设备频繁更改。

当然,不管我们仍然遇到静态wi-fi MAC地址公开的问题,但这是另一回事...

评论


您只需要启用隐私地址。这将为您提供与NAT一样多的隐私。此外,通过使用IPv6,您将更不会面临因IPID选择不当而导致的问题。

–卡巴斯德
15年9月30日在8:20

#13 楼

在V4到V6过渡方案中,有许多支持NAT的方案。但是,如果您拥有全IPV6网络并连接到上游IPV6提供程序,则NAT不会成为新的世界秩序的一部分,除非您可以在V4网络之间通过V6网络建立隧道。

思科具有有关4to6方案,迁移和隧道的大量常规信息。

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http:// www .cisco.com / en / US / docs / ios / ipv6 / configuration / guide / ip6-tunnel.html

也在Wikipedia上:

https:// secure。 wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

#14 楼

政治和基本的商业惯例很可能会促进NAT的存在。过多的IPv6地址意味着ISP倾向于按设备收费或将连接限制为有限数量的设备。请参阅/上的最新文章。例如:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

评论


我不确定。我认为,任何试图为每台设备充电的ISP都会遭到巨大的技术反抗。尽管我明白了为什么ISP会跳槽这个想法,因为现在他们实际上可以知道连接的另一端有多少个设备。

–马克·亨德森(Mark Henderson)
2011-3-24的3:04

如果考虑通过使用临时地址进行传出连接来提供某种程度的匿名性,那么即使不是不可能,强制执行每个设备规则也会很复杂。除了分配的任何其他地址以外,根据该方案,设备还可以具有2个或更多的活动全局地址。

–BillThor
11 Mar 24 '11 at 4:41

@Mark Henderson-已经有ISP每台设备收费。例如,AT&T对“网络共享”收取额外费用。

–理查德·加兹登(Richard Gadsden)
2011年4月14日13:15

@Richard-如果是这样的话,如果我在AT&T的话,我会放下他们,就像它很热

–马克·亨德森(Mark Henderson)
2011年4月14日在23:03

@Mark-这是AT&T无线技术(例如,查看iPhone合同)。

–理查德·加兹登(Richard Gadsden)
2011年4月15日在9:30

#15 楼

仅供参考,任何有兴趣的人都可以将NAT / NAPT与IPV6一起使用。所有具有PF的BSD操作系统都支持NAT66。效果很好。在博客中,我们使用了以下内容:FreeBSD pf的
ipv6 nat(nat66)
,尽管nat66仍处于起草阶段,但FreeBSD pf早就支持它了。 pf.conf并插入以下代码)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    


一切都准备好了!一个IP地址多年。使用IPv6 NAT,我可以获得2 ^ 120个私有地址(本地站点),其中包括2 ^ 56个子网,其中有5个/ 64个子网。这意味着我必须比这里的任何其他IPv6专家都聪明1000亿倍。:D
事实是,因为我有更多的地址(或者使用IPv6的时间可能比您长),不能使IPv6更好(或者我对同一问题也是如此)。但是,在需要使用防火墙代替PAT的情况下,IPv6确实使IPv6变得更加复杂,并且不再需要NAT,而是可以选择使用NAT。防火墙的目标是允许所有出站连接并保持状态,但阻止入站启动的连接。
对于NAPT(带有PAT的NAT),要花一些时间才能使人们摆脱思维定势。例如,直到我们让您的曾祖父在没有站点本地地址(私有地址)且没有任何专家协助的情况下设置自己的IPv6防火墙之前,最好还是考虑一下NAT的可能,他所知道的一切。

评论


您最终可以支持IPv6的平均SOHO设备几乎肯定会没有IPv6 NAT(您所引用的NAT66与NATv4的功能不同,但无论如何我们都会使用它),并且默认情况下拒绝入站流量(以及有状态的允许出站连接),几乎可以提供与当今IPv4 SOHO装置相同的安全性。正如其他人指出的那样,我们了解人们会对自己的黑客技术感到沾沾自喜和自在,这并不意味着他们是必要的,或者只不过是安全区。

–克里斯S
2011年6月4日在2:53

NAT66不需要与NAT44相同。它只需要听起来就一样,所以我们可以更快地吸引人们使用IPv6。一旦将它们安装到IPv6上,我们就应该能够组成一个团队,使他们正确配置防火墙。我们要么作为一个团队工作,要么需要开始使用NAT44444。你的选择。

– gnarlymarley
2011年6月13日下午4:28

不只是PF。实际上,大多数路由器在IPv6上可以执行与在IPv4上执行相同类型的NAT,只是皱眉。我已经在Fortinet路由器和OpenWRT中看到了此功能。

–凯文·基恩(Kevin Keane)
18年5月25日在20:39

#16 楼

针对ipv6的最新建议已建议从事这项新技术的工程师将NAT整合到ipv6中,原因如下:NAT提供了额外的安全层

文档在ipv6.com网站上,所有这些说明NAT不提供安全性的答案似乎都有些尴尬

评论


也许您可以进一步扩展您认为可以提供额外安全性的NAT的含义?具体来说,可以减轻针对特定威胁的哪些风险?

–增长
2012年10月27日11:46



NAT提供的“安全性”是混淆性的,迫使网络处于默认拒绝状态,前者值得商while,而后者则是个好主意。可以通过其他方式轻松地实现默认拒绝,而IPv6消除了NAT的主要技术原因之一:IP稀缺。

– sysadmin1138♦
2012年10月27日13:29

IPv6.com上有一个有关NAT的页面。除其他外,它有这样的说法:“安全性问题通常用于防御网络地址转换过程。但是,Internet的核心原理是提供与不同网络资源的端到端连接。 ”还有这样的说法:“随着IPv6逐渐取代IPv4协议,网络地址转换过程将变得多余且无用。”

– Ladadadada
2012年10月27日13:29



#17 楼

我意识到在某个将来的点(只能推测),区域IPv4地址将不可避免地用完。我同意IPv6有一些严重的用户劣势。 NAT问题非常重要,因为它确实可以提供安全性,冗余性,私密性,并允许用户不受限制地连接几乎任意数量的设备。是的,防火墙是抵御未经请求的网络入侵的黄金标准,但是NAT不仅增加了另一层保护,而且无论防火墙配置或最终用户对此有何了解,无论您如何定义IPv4,NAT都通常提供默认的安全设计默认情况下,使用NAT和防火墙的安全性比仅使用防火墙的IPv6更加安全。另一个问题是隐私,每台设备上都有一个可路由的互联网地址,将使用户面临各种潜在的隐私侵犯,个人信息收集和跟踪方式,而这种方式在如今如此难以想象的情况下。我也认为,如果没有Nat,我们可能会通过Isp承担增加成本和控制的责任。 Isp可能会开始按设备或按用户使用率收费,就像我们已经在USB绑定中看到的那样,这将极大地降低最终用户自由打开他们认为合适的任何设备的自由度。截至目前,几乎没有美国ISP提供任何形式的IPv6,并且我认为非技术业务的转换速度会很慢,因为增加的成本几乎没有或没有获得任何价值。当然,IPv6在没有NAT的情况下仍具有一些优势,但IPv6的复杂性就更不用说应用程序和服务的可用性了,许多其他问题将使IPv4持续至少十年,甚至更长。

评论


NAT是对安全的一种幻想。

– Skaperen
2012年8月21日17:15

NAT完全不提供保护。 NAT提供的自动防火墙可以提供您可能会喜欢的所有“保护”,同时您还可以享受到NAT的所有缺点。

–迈克尔·汉普顿
2012年8月24日在6:48