Jump to content

IPv6 NAT в FreeBSD

ne-vlezay80
 Share

Recommended Posts

ne-vlezay80

ne-vlezay80

Posted
Posted

Решил попробывать FreeBSD в качастве роутера. Там кстати, есть очень даже неплохая альтернатива netns, по которой можно аплинков раскидать. Но, сейчас о другом:

Решил я значит, организовать NAT своей серой IPv6-подсети. Но, как оказалось, FreeBSD этого не умеет. Делал так: 

ipfw net 1 config if vtnet0

ipfw add 10 set 1 nat 1 ip6 from any to not me in recv vtnet0
ipfw add 10 set 1 nat 1 ip6 from fdfc:a9c3:34ec::/48 to any in recv vtnet0

Пакеты с этой серой подсети после этого просто перестали попадать на внешний интерфейс.

В linux IPv6 NAT можно было сделать так: 

ip6tables -t nat -A POSTROUTING -s fdfc:a9c3:34ec::/48 -j MASQUERADE

 

Как можно подобное реализовать на FreeBSD?

vop

vop

Posted
Posted

Вообще, нафик он нужен? :) ipv6 адресов просто валом. :)

 

https://wiki.freebsd.org/IPv6/ToDo#NAT66

 

Quote

 


...

Do we want to support prefix rewriting (NAT66)? pf supports this.

...
 

 

 

PS В линуксе маскарадить v6 - это просто жестяк какой-то :) Для описываемого финта есть NPTv6 (-j DNPT)

 

https://datatracker.ietf.org/doc/html/rfc6296

 

Я тут покопался, и наткнулся на такое:

  

# ipfw nptv6 NPT create int_prefix FD01:0203:0405:: ext_prefix 2001:0DB8:0001:: prefixlen 48
# ipfw add allow icmp6 from any to any icmp6types 135,136
# ipfw add nptv6 NPT ip6 from any to any

 

ne-vlezay80

ne-vlezay80

Posted
  • Author
Posted
27 минут назад, vop сказал:

Вообще, нафик он нужен? :) ipv6 адресов просто валом. :)

 

https://wiki.freebsd.org/IPv6/ToDo#NAT66

 

 

PS В линуксе маскарадить v6 - это просто жестяк какой-то :) Для описываемого финта есть NPTv6 (-j DNPT)

 

https://datatracker.ietf.org/doc/html/rfc6296

 

Я тут покопался, и наткнулся на такое:

  


# ipfw nptv6 NPT create int_prefix FD01:0203:0405:: ext_prefix 2001:0DB8:0001:: prefixlen 48
# ipfw add allow icmp6 from any to any icmp6types 135,136
# ipfw add nptv6 NPT ip6 from any to any

 

Если IPv6 от провайдера - то их всегда мало. Например Билайн выдавал /120 подсеть.
Эти вообще только /120 выдают.
https://6project.org/

vop

vop

Posted
Posted
47 minutes ago, ne-vlezay80 said:

Если IPv6 от провайдера - то их всегда мало. Например Билайн выдавал /120 подсеть.
Эти вообще только /120 выдают.
https://6project.org/

За это надо сковородкой по башке долбосить.:) Надо же быть таким жлобом. :)

 

https://www.tunnelbroker.net/

/64 + /48

 

Ivan_83

Ivan_83

Posted
Posted

В случае если мудак провайдер выдаёт только /64 или меньше, чего не хватит для роутинга решение простое - бриджевать IPv6 специфичные пакеты.

На фре делается элементарно: http://netlab.dhis.org/wiki/ru:software:freebsd:igmpproxy_on_netgraph

только фильтры tcpdump заменяем на такие чтобы матчили ipv6 и nd.

 

В опенврт кажется тоже что то такое есть.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.