przezroczyste proxy dla ruchu IPv6 pod Linuksem

Question

Kiedy utrzymanie sieci, często jest to celowe, co zrobić, aby uruchomić przezroczyste proxy. Przez przezroczysty serwer proxy mam na myśli serwer proxy, który "przechwytuje" połączenia wychodzące i uruchamia je przez lokalną usługę. W szczególności uruchamiam zaporę linuksową z konfiguracją squid skonfigurowaną tak, aby wszystkie połączenia tcp/ip zawieszone na porcie 80 były proxy przez squid.

to VSD za pomocą '' tabeli nat iptables, korzystając z protokołu IPv4.

Ale iptables dla IPv6 nie posiada tabeli „nat”, więc nie można użyć tej samej realizacji. Jakiej techniki mogę użyć do przezroczystego proxy ruchu dla połączeń IPv6?

Answer 1

realnym sposobem na to jest z reguły TPROXY w iptables zrobić, dokumentacja jest dostępna tutaj:

• http://wiki.squid-cache.org/Features/Tproxy4#IPv6_Support
• http://www.mjmwired.net/kernel/Documentation/networking/tproxy.txt

To powinno być obsługiwane Squid (> = wersja 3.2). Korzystanie z reguły --enable-linux-netfilter i .

Answer 2

iptables ma cel kolejce, których można użyć, aby dostarczyć pakiety do przestrzeni użytkownika. Nie jestem pewien, ale być może coś można tam wprowadzić.

Past, że można podjąć ukłucie na dodanie czegoś do jądra zrobić przekierowanie.

Answer 3

Innym rodzajem brzydkiego Hack:

• MARK cały ruch z iptables (wydaje, istnieje cel CONNMARK dla IPv6)
• trasa wszystkie oznaczone ruch do tun urządzenie
• zrobić przestrzeni użytkownika NAT demon nasłuchujący na urządzeniu tunera
• ...

Answer 4

Nie możesz. Cytowanie z squid-cache.org:

NAT po prostu nie istnieje w IPv6. Według projektu.

Biorąc pod uwagę, że przejrzystość/przechwycenie jest właściwie cechą zdobyte przez potajemnie krętych trasach NAT wewnątrz iz powrotem na siebie. Jest to dość logiczne, że protokół bez NAT nie może zrobić przejrzystości i przechwyceniu ten sposób.

Answer 5

Napisz własną implementację NAT w stosie IPv6.

Answer 6

Oto realizacja:

http://www.suse.de/~krahmer/ip6nat/