3

Из коробки ни IPCop, ни ipfire не поддерживают IPv6, даже на зеленом интерфейсе (внутренняя локальная сеть).

Как добавить поддержку IPv6 к одному из них? Если это невозможно, есть ли встроенный межсетевой экран на основе Linux (я запускаю их на ПК), который поддерживает IPv6?

3 ответа3

7

Брандмауэр " ip6tables ", скорее всего, то, что вы ищете. На этой веб-странице объясняется, как ее установить: http://www.cyberciti.biz/faq/ip6tables-ipv6-firewall-for-linux/

Кроме того, если в вашем варианте Linux есть "pf", то вы также можете использовать его (я использую его для межсетевого экрана IPv6 и IPv4 в моих системах NetBSD Unix, и я очень доволен его гибкостью, надежностью и высоким качеством документации). ).

Что касается IPCop, большую часть информации, которую я нашел в Google, было много людей, интересующихся, как получить поддержку IPv6 (и несколько ответов, в которых предлагалось « не беспокойтесь об этом сейчас, потому что он не востребован », что разочаровывает). Согласно ответу на SourceForge.net, это « где-то на дорожной карте » согласно этой веб-странице: http://sourceforge.net/tracker/index.php?func=detail&aid=1364092&group_id=40604&atid=428519

Похоже, что IPFire еще не поддерживает IPv6, хотя этот запрос от 2010 года указывает на необходимость: http://redmine.ipfire.org/issues/83

Адресное пространство IPv4 истекло в феврале 2011 года

Для тех из вас, кто еще не задумывается об IPv6, пришло время начать изучать его и узнавать, как его использовать, потому что в мире уже не хватает адресов IPv4.

Тот факт, что больше нет доступных адресов IPv4, означает, что интернет-провайдеры, которым требуется больше пространства IP-адресов, могут теперь получать блоки адресов IPv6 только от органов нумерации (если только они не могут купить блок IPv4 у кого-то другого, например, путем покупки существующего провайдера, но это не надежный подход).

Эта статья решает проблему нехватки IPv4: http://www.nro.net/news/ipv4-free-pool-depleted

По моему твердому мнению, брандмауэры, которые не поддерживали IPv6 в течение последних 5–10 лет, отстали от времени, потому что было получено более чем достаточное уведомление о приближении IPv6-адресации и имеется много бесплатной информации о IPv6 и есть большой опыт, который был доступен бесплатно для разработчиков, которые хотят / должны реализовать его в своем программном обеспечении (например, канал IPv6 в IRC-сети FreeNode.net).

4

Взгляните на mOnOwall. http://m0n0.ch/wall/features.php

Он поддерживает аппаратное обеспечение ipv6 и pcengines.

2

Если вам нужен роскошный веб-интерфейс с симпатичными картинками, вы можете игнорировать этот ответ, но если вы хотите, чтобы все просто работало, и у вас все в порядке с интерфейсами командной строки, у меня есть пара предложений.

  1. openSUSE. За последние годы я создал много маршрутизаторов / брандмауэров на openSUSE, и даже использовал ALIX 2D2 для некоторых из них. (Я использовал KIWI для создания изображений для dd на CF-картах)

    IPv6 "просто работает" в openSUSE и не считается гражданином второго сорта. Я могу поместить IPADDR = "ipv6_address" в файл ifcfg, и это правильно. Самое важное, что SuSEfirewall2 поддерживает IPv6 таким же образом и является очень простым в использовании межсетевым экраном с удалением по умолчанию. Например, если бы я хотел разрешить входящий SSH на маршрутизатор, я бы:

    FW_SERVICES_EXT_TCP="22"
    

    Исходя из этого, SuSEfirewall2 создаст правила принятия как для IPv4, так и для IPv6.

    Для пересылки / маршрутизации на определенные машины вы можете использовать адреса IPv4 и IPv6 взаимозаменяемо. Вот как вы можете разрешить ssh внутренней машине с адресами IPv4 и IPv6:

    FW_FORWARD="\
    0/0,1.2.3.4/32,tcp,ssh \
    ::/0,2001:1:2:3::4/128,tcp,ssh \
    "
    

    SuSEfirewall2 автоматически выяснит, что делать с этими правилами.

  2. Вятта Это также имеет встроенную поддержку "просто работает" IPv6. У этого также есть очень хороший CLI и тонны документации. Некоторое время назад я переключил свой маршрутизатор с openSUSE на Vyatta, и он смог обработать мою довольно сложную конфигурацию сети, которая включала комбинацию IPv6, мостов, туннелирования и OpenVPN. Единственное, что не работало с IPv6, это фиксированное сопоставление адресов идентификатора хоста из-за ошибки. (Я думаю, что это исправлено в более поздней версии 6.3, которую я сейчас собираюсь протестировать)

При сравнении 2 есть некоторые компромиссы.

Плюсы для Вятты:

  • Мне очень нравится CLI и единичная конфигурация в Вятте

  • Я также заметил, что он работает лучше при определенных нагрузках. (Я пытался выяснить, почему, но я еще не нашел волшебную обстановку)

Плюсы для OpenSUSE:

  • Я предпочитаю простой в использовании зональный межсетевой экран в OpenSUSE. Vyatta реализовал очень тонкий слой поверх iptables/ip6tables (хотя в итоге я написал скрипт для генерации правил брандмауэра Vyatta, основанный на зонах и автоматически создающий правила IPv4 и IPv6, где это необходимо ...)

  • Мне нравится возможность запускать определенные вещи на моем маршрутизаторе, например Nginx. Универсальный дистрибутив, такой как OpenSUSE, делает это легко. Я могу собрать его сам на Vyatta, но он не поддерживается и может сломаться при обновлении

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .