我正在研究一种解决方案,以允许防火墙后面的远程 Linux 节点通过 SSH 和 Web 服务器访问。
有人能建议一个可以与 NAT 防火墙配合使用的 IPv6 隧道方案吗?远程节点和中央服务器上需要什么软件?另外,我不相信任何一方的 ISP 都使用原生 IPv6。我还应该指出,远程 Linux 节点将使用蜂窝调制解调器(我们可以选择调制解调器)。
在远程 Linux 节点上拥有静态 IPv6 地址的解决方案是理想的。
答案1
您所询问的设置没有什么不寻常的 - 您使用隧道代理这一事实并没有改变任何事情。
您需要从某个地方(您的隧道代理或您的 ISP - 如果您需要隧道代理但还没有,Google 可以为您找到十几个或更多)获取 IPv6 网络分配,并配置防火墙以处理 IPv6 流量。
无需将 NAT 与 IPv6 结合使用 - 只需让您的防火墙将 IPv6 流量传递(路由)到网络内部的主机,并为每个主机分配一个公共 IPv6 地址。
适当配置防火墙以允许/阻止到 IPv6 地址的流量,一切就绪。
您的防火墙将充当数据包过滤器/直通路由器。无需 NAT。
答案2
我个人对 Hurricane Electric 的隧道服务非常满意,但任何隧道代理都应该可以。如果您可以在网络上对一台主机进行 DMZ(很可能)或仅将协议 41 传递给特定主机(在消费硬件上不太可能),那么您可以使用标准 IPv6 隧道。您将获得至少一个 /64 作为端点,这足以设置静态地址。
如果你无法使用标准的 IPv6 in IPv4 协议,因为你的防火墙不会终止或转发它,那么你可以找一个提供Teredo 隧道它通过 UDP 运行并且无需明确转发即可穿透 NAT。
我的办公室和家都位于 NAT 防火墙后面,但我可以通过 IPv6 顺利地从一个 ping 到另一个。