Beim internen IPv6 Routing ist mir eine Eigenartigkeit aufgefallen. Ich hatte diese Frage auch schon an den Kundendienst gestellt, aber keine Antwort erhalten. Deswegen versuche ich es mal im Forum.
Alle IPv6 Pakete für mein zugewiesenes Subnetz werden an meinen Rechner weitergeleitet, aber nur wenn mein Rechner per ND diese IPv6 Adresse auflöst. Mein Rechner hängt also schlicht in einen Ethernet-Segment und ich sollte Adressen aus meinem zugewiesenen Subnetz dem Ethernet Interface zuweisen. Das ist für mich etwas überraschend, ich hätte vermutet, daß das komplette Subnetz auf mein Interface als Gateway geroutet wird und nicht
für jede einzelne Adresse die Auflösung per ND erfolgen muß.
Durch das von Ihnen gewählte Verfahren ergeben sich zwei Konsequenzen, die erste unschön und die zweite sicherheitskritisch:
- Mein Rechner empfängt nur IPv6 Pakete für Adressen, die direkt dem Ethernet Interface zugewiesen wurden. Weitere IPv6 Adressen, die internen Interfaces zugewiesen wurden (wie Loop-Back für FreeBSD-Jails), werden nicht weitergeleitet.
- Ich kann für das Ethernet Interface auch eine andere Adresse vergeben, die mir nicht zugewiesen wurde. Damit bin ich in der Lage, Datenpakete anderer Kunden umzuleiten und zu empfangen.
Wäre es nicht besser, wenn Sie mein komplettes /64 Subnetz auf mein Interface als Gateway routen würden und sonst nichts (von link-local unicast und multicast mal abgesehen)?
Frank
Zitat von filewalker