Задать вопрос

Как в локальной сети ipv6 раздать интернет, но оставить все тачки скрытыми за одним внешним ipv6?

Привет! Есть сервер Linux Proxmox-VE 4.4.19-1-pve с виртуалками и 1 внешним ipv4 и подсетью ipv6.
Задача: создать внутри сервера несколько vds со своей локальной сетью о существовании которых нельзя было бы узнать извне.
Проблема: если не выдавать виртуалкам ipv6 из внешней подсети (Scope:Global), то они не могут контактировать с внешним миром, например обновлять пакеты. А ести выдавать ipv6 из внешней подсети, то теоретически извне можно будет определить размер сети и делать какие-либо атаки.
  • Вопрос задан
  • 1327 просмотров
Подписаться 4 Оценить 2 комментария
Решения вопроса 1
Выпускайте тачки в интернет через прокси или NAT, если им нужно только качать обновления.
Если к ним понадобится доступ извне, просто правильно настройте фаерволл, ограничивая подключение извне.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
RiseOfDeath
@RiseOfDeath
Диванный эксперт.
Помимо нормальных решений (NAT и прокси) - если вы такой параноик, а виртуалки только за обновлениями ходят наружу - сделайте зеркало внутри локалки, пусть только оно наружу лезет.

p.s.
Помимо всякой паранои - зеркало с обновлениями "на своей территории" это удобно - уменьшает загрузку внешнего канала (когда все виртуалки разом полезут обновляться) и, в конечном счете, увеличивает скорость скачивания обновлений (которая не только от вашего интернет-канала зависит, но и от "чужого").
Ответ написан
Комментировать
nwur
@nwur
Network engineer. And something else.
в IPv6 _нет_ NAT. Совсем.
Сам по себе NAT (в IPv4) ни от чего не защищает, это не его задача. Хотите защищать - ставьте файрвол.
Если нужны лишь обновления по http/https - прокси вам в зубы.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы