一個介面上的 IPv6 多個地址

我曾經為同一台伺服器上的不同服務分配不同的 IPv6 地址，這樣我可以過濾可以從哪裡訪問的內容，從而提高網路安全性。

我剛剛意識到我唯一可能做錯的事情是我從相同的 /64 前綴中選擇了這些地址。在網關上過濾掉來自外界的連接是沒有問題的，但是伺服器程序之間的隔離可能不好。

如果我理解正確，/64 是建議分配的最小前綴。如果我想禁止（在伺服器上使用數據包過濾器）服務相互通信，那麼它們不應該在同一個子網中，所以我必須分配來自不同 /64 前綴的地址。

我是對的嗎？

或者使用多個 /120 前綴來避免不必要地浪費 IP 範圍也沒有問題？

它應該按照標準工作，還是行為是特定於實現的？

先感謝您！

在你的網路中，我想，從技術上講，你可以做任何你喜歡的事情。如果你真的想要，你可以分配/120。但你不應該。

但實際上你想在這裡解決一個問題嗎？將多個 IPv6 地址從同一 /64 分配給單個伺服器應該是零問題。事實上，如果你願意，你可以分配一個完整的/64或更大（並且有你想要這樣做的原因）。

現在，說了這麼多，看來您最關心的是伺服器內通信。事情是這樣的——即使你從不同的網路分配 IP 地址，伺服器內通信仍然可以工作。因為如果伺服器沒有到目標的路由，它只會路由到預設網關（並因此通過網路級防火牆） - 但在您的情況下，它有到目標的直接路由，因為 IP 地址都在同一個機器。

其次，解決這種網路通信只是蛋糕的一小部分。如果您擔心深度安全性，有什麼辦法可以阻止攻擊者（或流氓應用程序）直接讀寫其他應用程序的記憶體空間？還是磁碟？

實施這種隔離的最常見方法是通過虛擬機。或容器/監獄。

引用自：https://serverfault.com/questions/849343