Трансляция сетевых адресов против IPv6

                              Прежде   чем  мы  начнём  управлять  трафиком  между  различными  сетями,  полезно взглянуть  на  то  как  работают  сетевые  адреса  и  почему  можно  встретить  несколько различных схем адресации. Область сетевых  адресов  всегда  была богатым источником путаницы.  Иногда  факты  установить  достаточно  сложно,  если  вы  не  обратитесь  к источникам и не погрузитесь в пучину RFC. В течение нескольких следующих параграфов

я попытаюсь внести некоторые разъяснения в эту путаницу.

Например,  существует  широко  распространённое  убеждение,  что  если  у  вас  есть локальная сеть, использующая отличный диапазон адресов,  чем тот  который назначен

интерфейсу соединённому с интернет, вы находитесь в  полной безопасности, и никто из

вне не может получить доступ к вашим сетевым ресурсам. Это заблуждение тесно связано с идеей, что IP адрес вашего брандмауэра в локальной сети должен быть либо 192.168.0.1 или 10.0.0.1.

В обоих заблуждениях существует  элемент правды  и поэтому, данные  адреса  часто присутствуют в  настройках по умолчанию. Однако в  реальной истории существуют пути

обхода NAT  (хотя  PF  предлагает ряд  трюков  значительно усложняющих эту  задачу).

Реальная причина использования  определённого набора внутренних адресов,  отличного от диапазона внешних адресов связана, в  первую очередь, не с безопасностью, а с тем, что  это  был  самый  простой  способ  обойти   проблемы  возникшие   при  разработке протоколов Интернет: ограничение на диапазон возможных адресов.

В 80-х, когда были разработаны протоколы Интернет, большинство компьютеров в  сети Интернет (в тот момент более известной как ARPANET) были большими компьютерами с десятками и тысячами пользователями. В это время, 32-х битное адресное пространство, с более чем 4 миллиардами адресов казалось вполне достаточным, но время и некоторые дополнительные факторы  показали, что это не так. Одним из факторов  стало то, что процесс  распределения адресов  привел  к ситуации, когда крупные куски доступного адресного пространства оказались уже распределёнными, ещё до того, как некоторые из густонаселённых стран мира получили доступ к Интернет.  Другим, и возможно  более

существенным  фактором,  стало  то,  что  в   начале  90-х  годов  Интернет  стал  уже  не исследовательским  проектом,  а  скорее  сообществом  коммерческих  ресурсов  и  число потребителей адресного пространства продолжало стремительно рости.

Долгосрочным решением стало использование большего адресного пространства. В 1998 году был опубликован RFC 2460, содержащий спецификацию IPv6, с разрядностью адреса

128-бит и емкостью адресного пространства 2^128 адресов.

Однако,  пока  мы  ждали  IPv6,  нам  требовалось  временное  решение  проблемы.  Это решение пришло в   виде  ряда документов  RFC, которые  определяли как шлюз может пересылать  трафик  с  трансляцией  IP  адресов,  так  чтобы  большая  локальная  сеть выглядела подобно единственному компьютеру подключенному к Интернет. Для частных сетей были  зарезервированы  некоторые нераспределённые диапазоны IP адресов.  Они были свободны для любого использования, при соблюдении условия, что эти диапазоны не могут использоваться для интернет без транслянции. Таким образом в  середине 90-х годов   появился   NAT,  который  быстро  превратился   в   основной   способ  управления адресацией в локальные сети2.

PF поддерживает IPv6, а так же различные трюки трансляции адресов IPv4. (На самом деле BSD системы стали одними из первых принявших IPv6, в большей степени благодаря

проекту KAME3). Все системы в  которых есть PF поддерживают  оба протокола  семейств

IPv4 и IPv6. Если ваша сеть использует NAT для IPv4, вы можете, по мере необходимости, интегрировать   переход  на  IPv6  в    наборе  правил   PF.   Другими  словами,   если  вы используете  систему  которая  поддерживает  PF,  вы  можете  быть  уверены,  что  ваши потребности в IPv6 уже учтены, по крайней мере на уровне операционной системы. Примеры этой книги, в основном используют IPv4 и NAT, однако большая часть материала будет актуальна и в сетях использующих протокол IPv6.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий