Изоляция IPv6 сетей с доступом в интернет.

1. закопать сразу
2. IPv6 — они и есть весь публичный apriori

Т.е. на роутере (который знает, какая у него IPv6 подесть) разрешаешь/запрещаешь доспуп к ней.

Но если упадет брандмауэр

а с чего он должен упасть?

он вообще-то в ядре, тогда ядро упадёт вместе с ним

в принципе ситуация возможная, но слишком маловероятная

ip6tables может не стартовать по каким-то причинам после перезагрузки сервера, если софтварный роутер. Или правила забудут прописать, если жезезка сдохнет и её в ночи будут менять. В данном случае требуется два сервиса,и вероятность ошибок в два раза больше

И в данном случае NAT обеспечивает и сеть, и защиту одновременно.

NAT в данном случае обеспечивает только доступ в инетрнет. То же самое может делать прокси. Прокси — лучший выбор для параноика. Остальные прикрываются фаерфолом.

ну вот действительно, выдать каждому реальник ipv6, а что потом ? на каждом хосте ip6tables настраивать ?

ну вот действительно, выдать каждому реальник ipv6, а что потом ? на каждом хосте ip6tables настраивать ?

Зачем же на каждом? Фильтр нужен только на маршрутизаторе, смотрящем на улицу.

при использование сайт локал или частных адресов трафик не может выйти в Интернет по-определению. Исключительно в этом контексте НАТ дает защиту.

Достаточно прописать что-то вроде такого на роутере

ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -j REJECT

для ipv6 есть sysctl запрет форвардинга через интерфейс net.ipv6.conf.DEV.forwarding != 1

но тогда не будет работать путь с контейнера в Интернет ? Это-то и хотелось сохранить

Ага, теперь роутер надежно защищен, чего не скажешь про сеть.

Защиту дает не нат, а приватная сеть. Так как вариант с прокси? Чем тебе не нат?

IPv6 — они и есть весь публичный apriori

/0

Защиту дает не нат, а приватная сеть.

да

Так как вариант с прокси?

придется настраивать каждое приложение. Что-то я не могу себе представить эту схему

ну и для форварда аналогично.

Проверил вчера - NAT нормально работает с ipv6

Проверил вчера - NAT нормально работает с ipv6

Ну и зачем этот костыль накручивать, если в нем нет надобности? Уже сказали про ip6tables на роутере.

nat: iptables выключен - нет сети, нет доступа из Интернета
iptables+forward: iptables выключен, сеть доступна из Интернета

А зачем ты его выключаешь? А NAT — это костыль.

кто ж его посадит он же памятник

уже выше писал в каких случаях может получиться такая ситуация. Быть может есть какой-то протокол или сервис, позволяющий на linux-маршрутизаторе следить за-работой этих двух сервисов ? На цисках мне говорили что-то есть подобное.

Внезапно, NAT тоже сдохнет.

и не будет работать сеть, не придут китайцы, никого не взломают и все переженятся и будут щастливы

Все же лучше настройте iptables и убедитесь, что он нормально загружается. Это лучше, чем настраивать IPv6 NAT. По сути, вы рушите саму идеологию IPv6, ведь NAT был создан не для безопасности, а из-за безысходности, от недостатка IPv4-адресов. Ну и да, NAT — не файрволл, а если у вас еще и UPnP-демон есть, то открыть злоумышленнику порты извне ­— не проблема.

По такой логике точно также могут и оставить дефолтный пароль на железке после её замены. Если одна железка отвечает за безопасность всей сети, то нельзя халатно относиться к её настройке. А NAT тут будет лишь затыканием дырок в дуршлаге - есть огромное количество вещей, которые можно «забыть настроить», чем свести на нет всю безопасность.

Я вообще сомневаюсь, что iptables-правила могут «не стартовать». Это надо быть мега-криворуким, а значит по-любому ты налажал и в других местах.

P. S.: Читал статью, что при определённых условиях вполне можно получить доступ к хостам за NAT, несмотря на то, что у них IP из приватного диапазона. «NAT не файервол» значит именно «NAT не средство защиты», а не что-то иное.