Questão Sem NAT no IPv6 e apenas um nome DNS, como falo com meus servidores?


No momento, nós possuímos um nome de domínio (por exemplo, superfault.com).

Pela Internet, posso conectar-me a uma variedade de dispositivos em rede usando esse único nome DNS:

                         superfault.com
                         ╔════════════╗              ╔══════════════╗
                         ║device with ║  ┌─────────80╢Web Server 1  ║
                         ║ public IP  ║  │┌────────81╢192.168.1.10  ║
        superfault.com:80╫────────────╫──┘│┌─────3389╢              ║
        superfault.com:81╫────────────╫───┘│         ╚══════════════╝
      superfault.com:3389╫────────────╫────┘         ╔══════════════╗
        superfault.com:25╫────────────╫────────────25╢E-mail server ║ 
       superfault.com:110╫────────────╫───────────110╢192.168.1.11  ║ 
      superfault.com:3390╫────────────╫──────────3389╢              ║ 
       superfault.com:443╫────────────╫────┐         ╚══════════════╝
      superfault.com:3391╫────────────╫───┐│         ╔══════════════╗      
      superfault.com:3392╫────────────╫──┐│└──────443╢Web Server 2  ║ 
      superfault.com:3393╫────────────╫─┐│└──────3389╢192.168.1.12  ║ 
                         ╚════════════╝ ││           ╚══════════════╝
                                        ││           ╔══════════════╗   
                                        │└───────3389╢Desktop PC 1  ║ 
                                        │            ║192.168.2.100 ║
                                        │            ╚══════════════╝
                                        │            ╔══════════════╗   
                                        └────────3389╢Desktop PC 2  ║ 
                                                     ║192.168.2.101 ║
                                                     ╚══════════════╝

AgoraCom o IPv6, posso dar a todos esses dispositivos um endereço IPv6 publicamente roteável:

      superfault.com
      ╔════════════╗              ╔══════════════╗
      ║Gatway      ║              ╢Web Server 1  ║
      ║Firewall    ║              ╢2001::10      ║
      ║2001::1     ║              ╢              ║
      ║            ║              ╚══════════════╝
      ║            ║              ╔══════════════╗
      ║            ║              ╢E-mail server ║ 
      ║            ║              ╢2001::11      ║ 
      ╚════════════╝              ╢              ║ 
                                  ╚══════════════╝
                                  ╔══════════════╗      
                                  ╢Web Server 2  ║ 
                                  ╢2001::12      ║ 
                                  ╚══════════════╝
                                  ╔══════════════╗   
                                  ╢Desktop PC 1  ║ 
                                  ║2001::2:100   ║
                                  ╚══════════════╝
                                  ╔══════════════╗   
                                  ╢Desktop PC 2  ║ 
                                  ║2001::2:101   ║
                                  ╚══════════════╝

Mas eu só possuo 1 nome de domínio, que só pode resolver 1 Endereço IPv6:

  • superfault.com: 2001::1

Então, como eu encontro o endereço IP de todos os meus outros dispositivos? O método simples é usar meu dispositivo de firewall como proxy - qual é a funcionalidade que o NAT fornece. A maneira indesejável e cara é encontrar um nome de domínio livre para cada endereço IPv6 que possuo.

Qual é o equivalente IPv6 do NAT?


Atualizar:

O outro problema é que o IPv6 não permite

http://superuser.com

você tem que usar:

http://www.superuser.com

Então, se um usuário esquecer o www, seu site aparecerá quebrado.

Da mesma forma que o IPv6 não permite:

ftp://superuser.com

como você tem que usar:

ftp://ftp.superuser.com

e não permite

> ventrillo superuser.com

você tem que ter certeza de dizer aos usuários:

> ventrillo ventrillo.superuser.com

2


origem


Re editar: bobagem. IPv6 faz permitir isso; muitos sites simplesmente têm um registro AAAA no domínio simples, como he.net. O que o IPv6 torna um pouco mais difícil é ter vários computadores atrás de um único nome, mas isso é puramente uma limitação do Linux ip6tables, que carece de -j REDIRECT. No entanto, já tem -j TPROXY, que pode ser usado de forma muito semelhante. - grawity
@grawity eu fiz a pergunta de como fazer isso aqui: superuser.com/questions/405709/… - Ian Boyd


Respostas:


Isso é o que subdomínios são para.

Se você possui, por exemplo, superfault.com, você pode criar livremente desktop.superfault.com, mail.superfault.com, ian.superfault.com... (Se você não comprar um, eles estamos razoavelmente barato. Ou visite za.net ou eu.org para um domínio livre.)

Além disso, você faz não precisa NAT para encaminhar portas. Experimentar ip6tables com -j TPROXY.


3



Eles podem ser baratos; mas conseguir um que eu quero seria muito impossível. Mas eu não posso acreditar que eu esqueci subdomínios. No lado negativo agora as pessoas podem usar superfault.com para http, smtp, pop3, tudo isso quebra com subdomínios. - Ian Boyd
@ Ian: Há muito mais do que .com e .org, se tudo que você precisa é de um domínio barato. (Eu desejo mais software suportado SRV para descoberta de serviço, a reconfiguração é realmente uma dor.) - grawity


O que faz você pensar que possui apenas esse nome de domínio e nenhum subdomínio dele? Convencionalmente no sistema de nomes de domínio, o proprietário do example.net. Assim, começa a ser o proprietário de

  • workstations.example.net.
  • mike.workstations.example.net.
  • betty.workstations.example.net.
  • second.servers.example.net.
  • third.servers.example.net., e até mesmo
  • ian.boyd.personal-laptops.example.net.

Se você não tem controle dos subdomínios, então você não tem realmente possui o domínio em primeiro lugar. Se você possui o domínio, a resposta aqui é a simples e direta que o resto do mundo usa amplamente. ☺


2



O que me faz pensar que não possuo subdomínios? Porque eu esqueci! E também porque eu não realmentepossuir o domínio em primeiro lugar (dyndns.org) - e eles não me permitem ter subdomínios (de graça). Mas eu vou dar a aceitar a grawity; ele bateu em você. - Ian Boyd
Se SuperUser - como, infelizmente, não o fizesse - tivesse me dito que a grawity havia respondido enquanto eu escrevia minha resposta, eu teria apenas votado em vez disso, no princípio de que teria sido minha resposta também . - JdeBP