Как в локальной сети ipv6 раздать интернет, но оставить все тачки скрытыми за одним внешним ipv6?

Question

[konchober]

Привет! Есть сервер Linux Proxmox-VE 4.4.19-1-pve с виртуалками и 1 внешним ipv4 и подсетью ipv6.
Задача: создать внутри сервера несколько vds со своей локальной сетью о существовании которых нельзя было бы узнать извне.
Проблема: если не выдавать виртуалкам ipv6 из внешней подсети (Scope:Global), то они не могут контактировать с внешним миром, например обновлять пакеты. А ести выдавать ipv6 из внешней подсети, то теоретически извне можно будет определить размер сети и делать какие-либо атаки.

Comments

[Lynn «Кофеман»]

> теоретически извне можно будет определить размер сети и делать какие-либо атаки

Это ничем не обоснованная паранойя.

[konchober]

Алексей Тен: это достаточно необкатанное для меня новшество. Хочется пользоваться современными технологиями в режиме совместимости (эмуляции) старых там где эти новшества конкретно не требуются.

Answer 1

[Дмитрий Шицков]

Выпускайте тачки в интернет через прокси или NAT, если им нужно только качать обновления.
Если к ним понадобится доступ извне, просто правильно настройте фаерволл, ограничивая подключение извне.

Answer 2

[Antony]

Помимо нормальных решений (NAT и прокси) - если вы такой параноик, а виртуалки только за обновлениями ходят наружу - сделайте зеркало внутри локалки, пусть только оно наружу лезет.

p.s.
Помимо всякой паранои - зеркало с обновлениями "на своей территории" это удобно - уменьшает загрузку внешнего канала (когда все виртуалки разом полезут обновляться) и, в конечном счете, увеличивает скорость скачивания обновлений (которая не только от вашего интернет-канала зависит, но и от "чужого").

Answer 3

[nwur]

в IPv6 _нет_ NAT. Совсем.
Сам по себе NAT (в IPv4) ни от чего не защищает, это не его задача. Хотите защищать - ставьте файрвол.
Если нужны лишь обновления по http/https - прокси вам в зубы.