IPv6への切り替えは、NATのドロップを意味します。それは良いことですか？

これは、IPv6とNATに関する標準的な質問です

関連する：

• IPv6サブネット化はどのように機能し、IPv4サブネット化とどのように違いますか？
• どうすれば動的なIPv6ネットワークアドレス指定に「つま先を浸す」ことができますか？
• NATなしのIPv6ですが、ISPの変更はどうですか？

そのため、私たちのISPは最近IPv6を設定しました。そして、私は、争いに飛び込む前に移行が何を伴うべきかを研究してきました。

3つの非常に重要な問題に気付きました。

1. 私たちのオフィスNATルーター（古いLinksys BEFSR41）はIPv6をサポートしていません。新しいルーターAFAICTもありません。私がIPv6について読んでいる本は、とにかくNATを「不要」にすることを教えてくれます。

2. このルーターを取り除き、すべてを直接インターネットに接続するだけの場合、パニックに陥ります。地獄に行く方法はありません。私たちの請求データベース（多くのクレジットカード情報があります！）をインターネット上に置いて、みんなが見られるようにします。6個のアドレスのみがアクセスできるようにWindowsのファイアウォールを設定することを提案したとしても、私はまだ冷や汗をかいています。私は、Windows、Windowsのファイアウォール、またはネットワークに十分な大きさがあるとは信じていません。

3. IPv6機能がまったくない古いハードウェアデバイス（つまり、プリンター）がいくつかあります。そして、おそらく1998年頃にさかのぼるセキュリティ問題のリストです。新しいプリンターへの資金提供はありません。

私は、IPv6とIPSECが何とかこのすべてを安全にすることになっていると聞きますが、インターネットにこれらのデバイスは不可視に物理的に分離ネットワークなしで、私は実際にどのように見ることができません。同様に、私が作成した防御がどのように短期間にオーバーランするかを本当に見ることができます。私はもう何年もインターネット上でサーバーを実行しており、それらを保護するために必要なものにかなり精通していますが、私たちの請求データベースのようなプライベートなものをネットワーク上に置くことは常に完全に問題外です。

物理的に別個のネットワークがない場合、NATを何に置き換えるべきですか？

何よりもまず、セキュリティデバイスが正しく構成されている限り、パブリックIPの割り当てを恐れることはありません。

物理的に別個のネットワークがない場合、NATを何に置き換えるべきですか？

1980年代からルーターやファイアウォールで物理的に分離してきたのと同じこと。NATで得られる大きなセキュリティ上の利点の1つは、デフォルト拒否構成を強制することです。取得するために、任意のそれを介してサービスを、あなたがする必要が明示的に穴を開ける。おしゃれなデバイスでは、ファイアウォールのように、IPベースのACLをこれらのホールに適用することもできます。おそらく、実際にはボックスに「ファイアウォール」があります。

正しく構成されたファイアウォールは、NATゲートウェイとまったく同じサービスを提供します。彼らはしているので、NATゲートウェイが頻繁に使用されて簡単にほとんどのファイアウォールよりも安全な設定に入るために。

私は、IPv6とIPSECが何とかこのすべてを安全にすることになっていると聞きますが、インターネットにこれらのデバイスは不可視に物理的に分離ネットワークなしで、私は実際にどのように見ることができません。

これは誤解です。私は/ 16 IPv4割り当てのある大学で働いており、IPアドレスの消費の大部分はその公共割り当てに費やされています。確かに、すべてのエンドユーザーワークステーションとプリンター。RFC1918の消費は、そのようなアドレスが必要なネットワークデバイスと特定の特定のサーバーに制限されています。たった今震えていても驚かないでしょう。最初の日に現れて、モニターでIPアドレスのポストイットを見たときは確かにそうだったからです。

それでも、私たちは生き残ります。どうして？ICMPスループットが制限されたdefault-deny用に構成された外部ファイアウォールがあるためです。140.160.123.45が理論的にルーティング可能であるという理由だけで、パブリックインターネット上のどこからでもそこに到達できるという意味ではありません。これは、ファイアウォールが行うように設計されたものです。

適切なルーター構成と、割り当ての異なるサブネットが互いに完全に到達できない場合があります。ルーターテーブルまたはファイアウォールでこれを行うことができます。これは別のネットワークであり、過去にセキュリティ監査員を満足させてきました。

地獄に行く方法はありません。私たちの請求データベース（多くのクレジットカード情報があります！）をインターネット上に置いて、みんなが見られるようにします。

私たちの請求データベースはパブリックIPv4アドレス上にあり、その存在は完全でしたが、ここからアクセスできないことを証明しています。アドレスがパブリックv4ルーティング可能リストにあるからといって、配信が保証されているわけではありません。インターネットの悪と実際のデータベースポート間の2つのファイアウォールは、悪を排除します。最初のファイアウォールの背後にあるデスクからでも、そのデータベースにアクセスできません。

クレジットカード情報は特別なケースです。これはPCI-DSS標準の対象であり、標準では、そのようなデータを含むサーバーはNATゲートウェイ^1の背後にある必要があると直接述べています。これらは、RFC1918アドレスの合計サーバー使用量を表しています。セキュリティを追加するのではなく、単に複雑なレイヤーを追加するだけですが、監査のためにそのチェックボックスをオンにする必要があります。

最初の「IPv6によりNATは過去のものになりました」というアイデアは、インターネットブームが本格的に主流になる前に提唱されました。1995年、NATは小さなIP割り当てを回避するための回避策でした。2005年には、多くのセキュリティベストプラクティスドキュメント、および少なくとも1つの主要な標準（具体的にはPCI-DSS）に記載されていました。NATが提供する唯一の具体的な利点は、ネットワーク上で偵察を実行する外部エンティティが、NATデバイスの背後でIPランドスケープがどのように見えるかを知らないことです（ただし、RFC1918のおかげで推測が容易です）。私の仕事として）そうではありません。これは、多層防御の小さなステップであり、大きなステップではありません。

RFC1918アドレスの代替は、一意のローカルアドレスと呼ばれるものです。RFC1918のように、ピアがルーティングに特に同意しない限り、ルーティングしません。RFC1918とは異なり、それらは（おそらく）グローバルに一意です。ULAをグローバルIPに変換するIPv6アドレストランスレーターは、より高い範囲の境界ギアに存在しますが、SOHOギアにはまだ存在していません。

パブリックIPアドレスで問題なく生き残ることができます。「パブリック」は「到達可能」を保証するものではないことに注意してください。

2017年の更新

過去数か月間、Amazon awsはIPv6サポートを追加しています。Amazon-vpcサービスに追加されたばかりで、その実装により、大規模な展開がどのように行われるかについての手がかりが得られます。

• / 56割り当て（256サブネット）が与えられます。
• 割り当ては完全にルーティング可能なサブネットです。
• ファイアウォールルール（security-groups）を適切に制限する必要があります。
• NATはありません。提供されていないため、すべてのアウトバウンドトラフィックはインスタンスの実際のIPアドレスから送信されます。

NATのセキュリティ上の利点の1つを追加するために、Egress専用のインターネットゲートウェイを提供しています。これにより、1つのNATのような利点が提供されます。

• その背後にあるサブネットは、インターネットから直接アクセスできません。

これは、誤って設定されたファイアウォールルールがインバウンドトラフィックを誤って許可した場合に、多層防御のレイヤーを提供します。

このオファリングは、NATのように内部アドレスを単一のアドレスに変換しません。アウトバウンドトラフィックには、接続を開いたインスタンスのソースIPが引き続きあります。VPCでリソースをホワイトリストに登録しようとするファイアウォールオペレーターは、特定のIPアドレスではなく、ネットブロックをホワイトリストに登録することをお勧めします。

ルーティング可能というのは、常に到達可能という意味ではありません。

¹：2010年10月にPCI-DSS規格が変更され、RFC1918アドレスを義務付ける声明が削除され、「ネットワーク分離」が置き換えられました。

私たちのオフィスNATルーター（古いLinksys BEFSR41）はIPv6をサポートしていません。新しいルーターもありません

IPv6は多くのルーターでサポートされています。安いものの多くは、消費者やSOHO向けではありません。最悪の場合は、Linuxボックスを使用するか、ルーターをdd-wrtなどで再フラッシュしてIPv6サポートを取得します。多くのオプションがありますが、おそらくもっと厳しく見なければなりません。

このルーターを取り除き、すべてを直接インターネットに接続する場合は、

IPv6への移行については、ルーターやファイアウォールなどの境界セキュリティデバイスを取り除く必要があることを示唆するものはありません。ルーターとファイアウォールは、ほぼすべてのネットワークの必須コンポーネントです。

すべてのNATルーターは、事実上ステートフルファイアウォールとして機能します。RFC1918アドレスを使用してあなたを保護することに関して、魔法はありません。ハードワークを行うのはステートフルビットです。適切に構成されたファイアウォールは、実際のアドレスまたはプライベートアドレスを使用している場合も同様に保護します。

RFC1918アドレスから得られる唯一の保護は、人々がファイアウォール設定のエラー/怠inessから逃れ、それでもそれほど脆弱ではないことです。

IPv6機能がまったくない古いハードウェアデバイス（つまり、プリンター）がいくつかあります。

そう？インターネット経由で利用可能にする必要はほとんどありません。内部ネットワークでは、すべてのデバイスがサポートまたは交換されるまで、IPv4とIPv6を実行し続けることができます。

複数のプロトコルを実行するオプションがない場合は、何らかのゲートウェイ/プロキシをセットアップする必要があります。

IPSECは、このすべてを何らかの形で安全にすることになっています

IPSECはパケットを暗号化して認証します。境界デバイスを取り除くこととは関係がなく、転送中のデータをより保護します。

はい。NATは死んでいます。IPv6を介したNATの規格を批准しようとする試みがいくつかありましたが、それらのどれも実現しませんでした。

PCI-DSS規格に実際に準拠しようとしているプロバイダーには、実際にはNATの背後にいる必要があると規定されているため、これにより問題が発生しています。

私にとって、これは私が今まで聞いた中で最も素晴らしいニュースです。私はNATが嫌いで、キャリアグレードのNATはさらに嫌いです。

NATは、IPv6が標準になるまで私たちを通過させるための絆創膏のソリューションでしかありませんでしたが、インターネット社会に浸透しました。

移行期間では、IPv4とIPv6は、類似した名前は別として、まったく異なることを覚えておく必要があります¹。したがって、デュアルスタックのデバイスでは、IPv4はNAT変換され、IPv6は変換されません。それは、2つの完全に分離したデバイスを1つのプラスチックにパッケージ化したようなものです。

では、IPv6インターネットアクセスはどのように機能しますか？まあ、NATが発明される前のインターネットの動作方法。ISPからIP範囲が割り当てられます（現在と同じですが、通常/ 32が割り当てられます。つまり、IPアドレスは1つしか取得できません）。これらのIPアドレスは、選択したとおりに自由に入力できます（自動構成またはDHCPv6を使用）。これらのIPアドレスはそれぞれ、インターネット上の他のコンピューターから見ることができます。

怖いですね。ドメインコントローラ、ホームメディアPC、隠されたポルノの隠されたiPhoneはすべて、インターネットからアクセス可能になりますか？！うーん、ダメ。それがファイアウォールの目的です。IPv6のもう1つの優れた機能は、（ほとんどのホームデバイスがそうであるように）ファイアウォールを「すべて許可」アプローチから特定のIPアドレスのサービスを開く「すべて拒否」アプローチに強制することです。ホームユーザーの99.999％は、ファイアウォールを喜んでデフォルトのままにし、完全にロックダウンします。これは、未承諾のトラフィックが許可されないことを意味します。

¹ _{わかりました。それ以上の方法がありますが、同じプロトコルを上で実行することを許可していても、互いに互換性はありません。}

NATのPCI-DSS要件は、実際のセキュリティではなく、セキュリティシアターであることがよく知られています。

最新のPCI-DSSは、NATを絶対的な要件と呼んでいます。多くの組織は、NATなしのIPv4でPCI-DSS監査に合格し、ステートフルファイアウォールを「同等のセキュリティ実装」として示しています。

NATを要求する他のセキュリティシアタードキュメントがありますが、監査証跡を破壊し、インシデントの調査/緩和をより困難にするため、NAT（PATの有無を問わない）のより詳細な調査は、ネットセキュリティネガティブになります。

NATを使用しないステートフルファイアウォールは、IPv6の世界でNATに対して非常に優れたソリューションです。IPv4では、NATはアドレスの保存のために許容される必要な悪です。

シングルスタックIPv6のみのネットワークを使用する前に、（悲しいことに）しばらく時間がかかります。それまでは、使用可能な場合はIPv6を優先するデュアルスタックが実行方法です。

現在、ほとんどのコンシューマルーターはストックファームウェアでIPv6をサポートしていませんが、多くはサードパーティファームウェア（たとえば、dd-wrtを使用したLinksys WRT54Gなど）でIPv6をサポートできます。また、多くのビジネスクラスのデバイス（Cisco、Juniper）は、すぐにIPv6をサポートしています。

PAT（コンシューマルーターで一般的な多対1 NAT）を他の形式のNATおよびNATフリーファイアウォールと混同しないようにすることが重要です。インターネットがIPv6のみになっても、ファイアウォールは内部サービスの公開を防ぎます。同様に、1対1 NATを備えたIPv4システムは自動的に保護されません。それがファイアウォールポリシーの仕事です。

ネットワーク管理者はNATをある観点から見、中小企業や住宅の顧客は別の観点からNATを見るため、この主題については非常に多くの混乱があります。明確にさせてください。

静的NAT（1対1 NATと呼ばれることもあります）は、プライベートネットワークや個々のPCをまったく保護しません。保護に関する限り、IPアドレスの変更は無意味です。

ほとんどの住宅用ゲートウェイやWi-Fi APのようなダイナミックオーバーロードNAT / PATは、プライベートネットワークやPCの保護に役立ちます。これらのデバイスのNATテーブルは、設計上、状態テーブルです。アウトバウンドリクエストを追跡し、それらをNATテーブルにマッピングします。一定の時間が経過すると接続がタイムアウトします。NATテーブルの内容と一致しない未承諾の受信フレームは、デフォルトでドロップされます。NATルーターはプライベートネットワークのどこに送信するかわからないため、それらをドロップします。このように、ハッキングされる脆弱性を残している唯一のデバイスはルーターです。ほとんどのセキュリティエクスプロイトはWindowsベースであるため、インターネットとWindows PCの間にこのようなデバイスがあると、ネットワークの保護に役立ちます。元々意図されていた機能ではないかもしれませんが、これはパブリックIPを節約することでしたが、仕事は完了です。ボーナスとして、これらのデバイスのほとんどには、デフォルトでICMP要求をブロックすることが多いファイアウォール機能もあり、これはネットワークの保護にも役立ちます。

上記の情報を考慮すると、IPv6への移行時にNATを破棄すると、何百万もの消費者および小規模ビジネスデバイスが潜在的なハッキングにさらされる可能性があります。エッジで専門的に管理されているファイアウォールがあるため、企業ネットワークにはほとんどまたはまったく影響がありません。コンシューマネットワークおよびスモールビジネスネットワークでは、インターネットとPCの間に* nixベースのNATルーターが存在しない可能性があります。人がファイアウォールのみのソリューションに切り替えることができなかった理由はありません。正しく展開されていればはるかに安全ですが、消費者の99％が方法を理解している範囲を超えています。ダイナミックオーバーロードNATは、それを使用するだけでわずかな保護を提供します。住宅のルーターを接続すると、保護されます。簡単です。

つまり、NATをIPv4で使用されているのとまったく同じ方法で使用できない理由はありません。実際、ルーターはWANポートに1つのIPv6アドレスを持ち、その背後にNATが存在するIPv4プライベートネットワークを持つように設計できます（たとえば）。これは、消費者と居住者にとってシンプルなソリューションです。別のオプションは、すべてのデバイスにパブリックIPv6 IPを配置することです。この場合、中間デバイスはL2デバイスとして機能しますが、状態テーブル、パケット検査、および完全に機能するファイアウォールを提供できます。基本的に、NATはありませんが、未承諾の受信フレームをブロックします。覚えておくべき重要なことは、PCをWAN接続に中継デバイスなしで直接接続しないことです。もちろん、Windowsファイアウォールに依存する場合を除きます。。。それは別の議論です。

IPv6に移行する際の苦痛は大きくなりますが、かなり簡単に解決できない問題はありません。古いIPv4ルーターまたはレジデンシャルゲートウェイを捨てる必要がありますか？たぶん、しかし時が来れば、安価な新しいソリューションが利用可能になるでしょう。うまくいけば、多くのデバイスでファームウェアフラッシュが必要になるだけです。IPv6は、現在のアーキテクチャによりシームレスに適合するように設計できますか？確かに、それはそれが何であるかであり、消えることはありません-だから、あなたはそれを学び、それを生き、それを愛するかもしれません。

NATがIPv6の世界で生き残る場合、1：1 NATである可能性が高いです。IPv4空間では決して見られないNATのフォーム。1：1 NATとは何ですか？これは、グローバルアドレスからローカルアドレスへの1：1変換です。IPv4に相当するものは、1.0.0.0 / 8のスペース全体について、すべての接続を1.1.1.2にのみ10.1.1.2に変換します。IPv6バージョンでは、グローバルアドレスを一意のローカルアドレスに変換します。

強化されたセキュリティは、関心のないアドレス（Facebookを閲覧する社内ユーザーなど）のマッピングを頻繁にローテーションすることで提供できます。内部的には、ULA番号は同じままであるため、スプリットホライズンDNSは引き続き正常に機能しますが、外部クライアントは予測可能なポート上に存在することはありません。

しかし、実際には、それが作成する手間に対するセキュリティのわずかな改善です。IPv6サブネットのスキャンは非常に大きなタスクであり、それらのサブネット上でIPアドレスがどのように割り当てられるかをある程度確認しないと実行不可能です（MAC生成方式？ランダム方式？人が読めるアドレスの静的割り当て？）。

ほとんどの場合、企業ファイアウォールの背後にあるクライアントはグローバルアドレス、おそらくULAを取得し、境界ファイアウォールはそれらのアドレスへのあらゆる種類の着信接続を拒否するように設定されます。すべての意図と目的のために、それらのアドレスは外部から到達できません。内部クライアントが接続を開始すると、その接続に沿ったパケットの通過が許可されます。IPアドレスを完全に異なるものに変更する必要性は、そのサブネット上の2 ^ 64の可能性のあるアドレスを攻撃者にたたき込ませることによって処理されます。

RFC 4864は、実際にNATに頼る必要なく、IPv6環境でNATの認識された利点を提供するための一連のアプローチであるIPv6ローカルネットワーク保護について説明しています。

このドキュメントでは、ネットワークアーキテクチャの整合性を保護するためにIPv6サイトで組み合わせることができるいくつかの手法について説明しています。ローカルネットワーク保護と総称されるこれらの手法は、プライベートネットワークの「内部」と「外部」の境界を明確に定義し、ファイアウォール、トポロジの非表示、プライバシーを可能にします。ただし、アドレスの透明性が必要な場所で保持されるため、アドレス変換の不利益なしにこれらの目標を達成します。したがって、IPv6のローカルネットワーク保護は、対応する欠点なしでIPv4ネットワークアドレス変換の利点を提供できます。

最初にNATの認識されている利点を説明し（適切な場合はそれらを非難します）、次にそれらの同じ利点を提供するために使用できるIPv6の機能について説明します。また、実装ノートとケーススタディも提供します。

ここで転載するには長すぎますが、議論される利点は次のとおりです。

• 「内側」と「外側」の間のシンプルなゲートウェイ
• ステートフルファイアウォール
• ユーザー/アプリケーションの追跡
• プライバシーとトポロジーの隠蔽
• プライベートネットワークでのアドレス指定の独立した制御
• マルチホーミング/再番号付け

これは、NATを望んでいたすべてのシナリオをほぼカバーし、NATなしでIPv6でそれらを実装するためのソリューションを提供します。

使用するテクノロジーには次のものがあります。

• 一意のローカルアドレス：内部ネットワークでこれらを優先し、内部通信を内部に保ち、ISPが停止した場合でも内部通信を継続できるようにします。
• 短いアドレスライフタイムと明らかに構造化されていないインターフェイス識別子を持つIPv6プライバシー拡張：これらは、個々のホストへの攻撃とサブネットスキャンを防ぎます。
• IGP、モバイルIPv6、またはVLANを使用して、内部ネットワークのトポロジを隠すことができます。
• ULAとともに、ISPからのDHCP-PDは、IPv4よりも番号の付け直し/マルチホーミングを容易にします。

（完全な詳細についてはRFCを参照してください;繰り返しますが、再印刷するか、重要な抜粋を抜くには長すぎます。）

IPv6移行セキュリティのより一般的な説明については、RFC 4942を参照してください。

やや。実際には、IPv6アドレスにはさまざまな「タイプ」があります。RFC 1918（10 / 8、172.16 / 12、192.168 / 16）に最も近いものは「固有のローカルアドレス」と呼ばれ、RFC 4193で定義されています。

http://en.wikipedia.org/wiki/Unique_local_address

したがって、fd00 :: / 8で開始し、40ビットの文字列を追加して（RFCで事前定義されたアルゴリズムを使用して！）、グローバルに一意である必要のある擬似ランダム/ 48プレフィックスになります。必要に応じて、残りのアドレススペースを割り当てることができます。

また、組織の外部への（IPv6）ルーターでfd00 :: / 7（fc00 :: / 8およびfd00 :: / 8）をブロックする必要があります。したがって、アドレス名に「ローカル」が含まれます。これらのアドレスは、グローバルアドレス空間にありますが、「組織」内でのみ、世界中に到達できるものであってはなりません。

PCI-DSSサーバーが他の内部IPv6ホストへの接続にIPv6を必要とする場合、会社のULAプレフィックスを生成し、この目的に使用する必要があります。必要に応じて、IPv6の自動構成を他のプレフィックスと同じように使用できます。

ホストが複数のアドレスを持つことができるようにIPv6が設計されていることを考えると、マシンはULAに加えてグローバルにルーティング可能なアドレスを持つこともできます。したがって、外部の世界と内部のマシンの両方と通信する必要があるWebサーバーは、ISPが割り当てたプリフェックスアドレスとULAプレフィックスの両方を持つことができます。

NATのような機能が必要な場合は、NAT66も参照できますが、一般的にはULAを中心に設計します。さらに質問がある場合は、「ipv6-ops」メーリングリストをチェックしてください。

私見：ない。

SNAT / DNATが役立つ可能性のある場所がまだいくつかあります。たとえば、一部のサーバーを別のネットワークに移動しましたが、アプリケーションのIPを変更したくない、または変更できません。

うまくいけば、NATは永遠になくなるでしょう。これは、IPアドレスが不足していて、ステートフルファイアウォールで管理しやすく、安価で、簡単に管理できないセキュリティ機能がない場合にのみ役立ちます。

IPv6 =希少性がないため、NATであるいハックを世界から取り除くことができます。

IPv6を使用したNATの損失（実際に消失した場合）がユーザーのプライバシーにどのように影響するかについて、明確な答えを見たことはありません。

個々のデバイスのIPアドレスが公開されているため、Webサービスがさまざまなデバイスからインターネットを巡回するのを簡単に監視（時間、空間、サイトの収集、保存、集約、多数の二次利用を促進）します。限り... ISP、ルーター、およびその他の機器により、デバイスごとに頻繁に変更できる動的IPv6アドレスを簡単に作成できます。

もちろん、静的なwi-fi MACアドレスが公開されているという問題が引き続き発生しますが、それは別の話です...

V4からV6への移行シナリオでNATをサポートする多くのスキームがあります。ただし、すべてのIPV6ネットワークがあり、アップストリームIPV6プロバイダーに接続している場合、NATはV6ネットワークを介してV4ネットワーク間でトンネリングできることを除いて、新しい世界秩序の一部ではありません。

シスコには、4to6シナリオ、移行、およびトンネリングに関する多くの一般情報があります。

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

ウィキペディアでも：

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

政治と基本的なビジネス慣行は、NATの存在をさらに促進する可能性が高いでしょう。過剰なIPv6アドレスは、ISPがデバイスごとに課金したり、接続を制限された数のデバイスのみに制限したりすることを意味します。/の最近の記事を参照してください。例えば：

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

参考までに、誰もがIPV6でNAT / NAPTを使用できます。PFを備えたすべてのBSDオペレーティングシステムはNAT66をサポートします。よく働く。 私たちが使用したブログから：

FreeBSD pfによるipv6 nat（nat66）

nat66はまだドラフト中ですが、FreeBSD pfはすでに長い間サポートしています。

（pf.confを編集し、次のコードを挿入します）

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

準備万端です！

何年もの間、単一のIPアドレスでsquidを使用してきた私たちにとって素晴らしい作品です。IPv6 NATを使用すると、2 ^ 120個のプライベートアドレス（サイトローカル）を取得できます。これには、5/64サブネットの2 ^ 56個のサブネットが含まれます。つまり、アドレスが多いため、他のIPv6の達人よりも1,000億倍も賢くなければなりません。：D

真実は、私がより多くのアドレスを持っている（または、あなたよりも長くIPv6を使用しているかもしれない）からといって、実際にはIPv6（または同じ問題のために私）を改善しないということです。ただし、PATの代わりにファイアウォールが必要な場合はIPv6がより複雑になり、NATはもはや要件ではなくオプションになります。ファイアウォールの目的は、すべてのアウトバウンド接続を許可し、状態を維持し、インバウンド開始接続をブロックすることです。

NAPT（PATを使用したNAT）については、人々が考え方から抜け出すのに時間がかかります。たとえば、great祖父にサイトローカルアドレス指定（プライベートアドレス）および指導者の支援なしで自分のIPv6ファイアウォールを設定できるようになるまでは、NATの考えをいじるのは良い考えかもしれません。彼が知っているすべて。

ipv6に提案された最近の提案は、新しい技術に取り組んでいるエンジニアがNATをipv6に組み込むことを示唆しています。理由は次のとおりです。NATはセキュリティの追加層を提供します

ドキュメントはipv6.comのWebサイトにあるため、NATがセキュリティを提供しないことを示すこれらのすべての回答は、少し恥ずかしそうに見えます。

将来のある時点（推測することしかできない）で、地域のIPv4アドレスが必然的になくなることを理解しています。IPv6にはユーザーに重大な欠点があることに同意します。NATの問題は本質的にセキュリティ、冗長性、プライバシーを提供し、ユーザーが制限なしでほぼ​​同じ数のデバイスに接続できるようにするため、非常に重要です。はい、ファイアウォールは未承諾のネットワーク侵入に対する黄金の基準ですが、NATは別の保護層を追加するだけでなく、IPv4の定義方法に関係なく、ファイアウォールの構成やエンドユーザーの知識に関係なく、デフォルトで安全な設計を提供しますNATとファイアウォールを使用すると、デフォルトではファイアウォールのみのIPv6よりも安全です。別の問題はプライバシーです。すべてのデバイスにインターネットルーティング可能なアドレスを設定すると、ユーザーはあらゆる種類の潜在的なプライバシー侵害、個人情報の収集、追跡が可能になります。また、Natがなければ、Ispを介して追加のコストと管理が可能になるという意見もあります。Ispは、USBテザリングですでに見たように、デバイスごとまたはユーザー使用率ごとに充電を開始する場合があります。これにより、エンドユーザーがそこに収まると思われるデバイスをオープンに接続する自由が大幅に減少します。現在のところ、どのような形でもIPv6を提供している米国のISPはほとんどありません。付加価値がほとんどないかまったく得られないため、テクノロジー以外のビジネスの切り替えが遅くなると感じています。