net:как_блокировать_ipv6_туннели [Моя склеротичка]

Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно.
~~TAGCLOUD~~
{{tag>ipv6 net firewall linux}}
====== Растекание мыслью aka Введение. ======

В то время, когда <del>космические корабли бороздят просторы Вселенной</del> все пытаются попробовать прелести IPv6, мы попробуем научиться блокировать туннелирование IPv6 трафика через наш IPv4-only фаервол(ФВ). <del>Либеральная</del> Прогрессивная общественность может разразиться воплями на тему нашей закостенелости, но прежде чем с соглашаться с этими господами подумаем о том, что если у пользователя есть возможность пробросить туннель через ФВ, то все наши усилия по закручиванию гаек теряют смысл, т.к. фильтровать туннелированый трафик мы не можем. Так что "нет человечка --- нет проблемы!"

====== Типы IPv6 туннелей. ======

===== GRE и IPsec. =====

Просто, для полноты картины, необходимо сказать, что IPv6 трафик можно тунелировать, как и в IPv4 через GRE и IPsec туннели. Инкапсулироваться IPv6 трафик будет в IPv6, что, очевидно, выходит за рамки нашей задачи, и поэтому дальнейшего разбирательства с этими туннелями не будет.

===== 6in4 (a la Hurricane Electric) =====

Данный вид туннелей в Linux обозначается sit, а в Cisco ipv6ip:

<code>
ip tunnel add he0 mode sit remote 216.66.80.26 local 1.1.1.1 ttl 255
</code>

<code>
interface 1
 ipv6 address 2001::1:1/64
 tunnel source 1.1.1.1
 tunnel destination 216.66.80.26
 tunnel mode ipv6ip
</code>

Для данных туннелей характерно:
  - оба конца туннеля должны иметь публично доступные (реальные,белые) IPv4 адреса
  - в IPv4 заголовке пакета версия IP --- 4
  - в IPv4 заголовке пакета номер протокола (это там, где указывается TCP/UDP) --- 41 (IPv6)

Если пользовательские компы пасутся в приватных адресах (RFC1918), либо если ФВ настроен правильно и блокирует всё, не только на __вход__ в локальную сеть, но и на __выход__, то данный тип туннелирования будет блокирован.

===== IPv6 поверх IPv4 GRE-туннеля =====

Данный вид туннелей на в Cisco взводятся следующим образом:
<code>
interface 2
 ipv6 address 2001::2:1/64
 tunnel source 1.1.1.1
 tunnel destination 216.66.80.26
</code>

отличие от **6in4** в том, что не указывается режим туннеля (tunnel mode). Номер протокола в IPv4 заголовке пакета --- 47 (GRE)


===== 6to4-туннель =====

Данный вид туннелей используется для автоматической трансляции IPv6/IPv4. На в Cisco взводятся следующим образом:
<code>
interface 3
 ipv6 address 2002:a01:101::/128
 tunnel source 10.1.1.1
 tunnel mode ipv6ip 6to4
</code>

В данном случае указываются только локальные адреса. Адресов назначения не указываем. Ну и режим туннеля, разумеется, "ipv6ip 6to4".
IPv6-адрес получается следующим образом: 
  * Фиксированный префикс 2002 конкатенируется с
  * преобразованным IPv4-адресом: 10.1.1.1 -> 0a.01.01.01 -> 0a01:0101 -> a01:101


===== ISATAP-туннель =====

Данный вид туннелей используется для автоматической трансляции IPv6/IPv4, аналогично 6to4. На в Cisco взводятся следующим образом:
<code>
interface 4
 ipv6 address 2001:1002:111::/64 eui-64
 tunnel source 10.1.1.2
 tunnel mode ipv6ip ISATAP
</code>

Отличия от 6to4 следующие: 
  * Сетевая часть IPv6-адреса может быть любая (в отличие от выделенной 2002 для 6to4)
  * Хостовая часть определяется автоматически на основе EUI-64 из IPv4-адреса.