明らかに、実装NPTv6(IPv6ネットワークプレフィックス変換)は、現在Linuxカーネルの接続トレースと互換性がありません。 ISPの動的IPv6プレフィックスがあり、安定した内部IPv6アドレスが必要な場合は、NPTv6がNAT66よりも合理的な解決策であると考えているため、これは非常に残念です。
NAT66を実行したくありませんが、ステートフルファイアウォールも必要です。特に、NPTv6 はエンドツーエンドの接続を維持するため、接続追跡は必須です。
私の質問は、同じホストでNPTv6と翻訳ストリームへの接続追跡を可能にするパッチ/アドオン/解決方法を知っている人ですか?
答え1
SNPT / DNPTは軽量NPTv6用に特別に作成され、「mangle」テーブルでのみ実行され、接続追跡と互換性がありません。
接続トレースを使用している場合は、IPv6ネットワークプレフィックス変換を実行できるNETMAPターゲットがあります。したがって、これに関する文書は明確ではありません。政治的/宗教的な理由で疑われます(NETMAPの対象は実際には多くの人が好きではないNAT66の一形態です)。
したがって、2607:xxx::/64
外部プレフィックス、fda3:xxx::/64
内部プレフィックス、およびeth0.99
発信インターフェイスの場合は、次のようにします。
ip6tables -t nat -A POSTROUTING -o eth0.99 -j NETMAP --to 2607:xxx::/64 -s fda3:xxx::/64
ip6tables -t nat -A PREROUTING -i eth0.99 -j NETMAP -d 2607:xxx::/64 --to fda3:xxx::/64
明確に言えば、NETMAPは1:1アドレス変換(NAT)を実行しますが、チェックサムの中立性の点でRFC6296に従うかどうか、またはRFC準拠のNPTv6からどのように外れるかはわかりませんが、私にとってはうまくいきます。十分によく動作します。