Ipv6
一個介面上的 IPv6 多個地址
我曾經為同一台伺服器上的不同服務分配不同的 IPv6 地址,這樣我可以過濾可以從哪裡訪問的內容,從而提高網路安全性。
我剛剛意識到我唯一可能做錯的事情是我從相同的 /64 前綴中選擇了這些地址。在網關上過濾掉來自外界的連接是沒有問題的,但是伺服器程序之間的隔離可能不好。
如果我理解正確,/64 是建議分配的最小前綴。如果我想禁止(在伺服器上使用數據包過濾器)服務相互通信,那麼它們不應該在同一個子網中,所以我必須分配來自不同 /64 前綴的地址。
我是對的嗎?
或者使用多個 /120 前綴來避免不必要地浪費 IP 範圍也沒有問題?
它應該按照標準工作,還是行為是特定於實現的?
先感謝您!
在你的網路中,我想,從技術上講,你可以做任何你喜歡的事情。如果你真的想要,你可以分配/120。但你不應該。
但實際上你想在這裡解決一個問題嗎?將多個 IPv6 地址從同一 /64 分配給單個伺服器應該是零問題。事實上,如果你願意,你可以分配一個完整的/64或更大(並且有你想要這樣做的原因)。
現在,說了這麼多,看來您最關心的是伺服器內通信。事情是這樣的——即使你從不同的網路分配 IP 地址,伺服器內通信仍然可以工作。因為如果伺服器沒有到目標的路由,它只會路由到預設網關(並因此通過網路級防火牆) - 但在您的情況下,它有到目標的直接路由,因為 IP 地址都在同一個機器。
其次,解決這種網路通信只是蛋糕的一小部分。如果您擔心深度安全性,有什麼辦法可以阻止攻擊者(或流氓應用程序)直接讀寫其他應用程序的記憶體空間?還是磁碟?
實施這種隔離的最常見方法是通過虛擬機。或容器/監獄。