Одна из вещей, которые NAT позволила нам сделать за последнее десятилетие, - это разделить физические услуги на разные серверы, скрываясь за одним интерфейсом.
Например, у меня есть example.com
за NAT на 192.0.2.10
. Я перенослю вперед :80
и :443
на мой веб-сервер. Я тоже порт вперед :25
на мой почтовый сервер и :3389
к терминальному серверу и :8080
к веб-интерфейсу моего компьютера, который скачивает торренты, и история продолжается.
Итак, у меня есть 5 перенаправлений портов на 4 разных компьютера на example.com
.
Затем я иду за аккуратным IPv6. Я назначаю example.com
IPv6-адрес 2001:db8:88:200::10
. Это отлично подходит для моих сайтов, но я хочу перейти на example.com:8080
чтобы добраться до моих торрентов, или example:3389
для входа на мой терминальный сервер.
Как это сделать с IPv6, ведь нет NAT. Конечно, я мог бы создать кучу новых записей DNS для каждой новой службы, но тогда мне нужно обновить всех своих клиентов, которые привыкли просто печатать example.com
чтобы попасть на сайт или терминальный сервер. Мои пользователи глупее двух кирпичей, поэтому они не забудут подключиться к rdp.example.com
.
Какие у меня есть варианты для сохранения функциональности в стиле NAT с IPv6?
Если вы этого не поняли, приведенный выше сценарий не подходит для меня или, возможно, для кого-то все же, но в конце концов это обязательно произойдет. Вы знаете, с DevOps и всем остальным.
Мы Ну наконец то есть шанс уйти одна из самых больших ошибок Интернета позади на свалке истории. Не взорвать.
Настоятельно поощряйте своих клиентов перестань волноваться и научись любить IPv6 без NAT и привыкайте набирать такие вещи, как rdp.example.com
(что они уже должны были делать; сценарий, который вы описали, мне показался ужасно плохим). У нас есть имена хостов частично так как разные сервисы расположены по разным адресам в сети; эта ошибка NAT, к которой вы давно привыкли и которая позволяет вам адресовать отдельные службы на одном и том же имени хоста, которые на самом деле находились на разных адресах в сети, исчезнет и должна исчезнуть.
Начните помогать своим клиентам перейти на новую жизнь с предоставление эти имена хостов сейчас и поощряем их использование, даже если у вас все еще есть только IPv4. Это упростит переход практически для всех.
В случаях, когда вы должны перенаправить порты для редких устаревших приложений, которые не могут быть обновлены, и парень, который не может вспомнить свое собственное имя, если оно не написано на стикере на его мониторе, это все еще можно сделать на уровне 7 с помощью инструменты, такие как xinetd
и socat
. Socat может пересылать как TCP, так и UDP-соединения, поэтому он, вероятно, будет более полезным.
Аналогичный вопрос, с почти таким же ответом, недавно был задан суперпользователю: Как перенаправить IPv6 в m0n0wall?