Implementación de proxy NAT IPV6







George Lin  |  Ingeniero de programación superior






RESUMEN - Debido al número ilimitado de direcciones IPV6, IPV6 parece hacer que NAT sea innecesario. Por lo tanto, no existe una forma tradicional de ejecutar la operación NAT en IPTABLES como IPV4. Este artículo analiza brevemente cómo implementar un servidor NAT IPV6 simple para redirigir paquetes a un servidor remoto para verificación de seguridad como una aplicación para NAT IPV6.



I. Introducción

NAT (traducción de direcciones de red) es un método para reasignar una dirección IP a otra modificando el encabezado IP de los paquetes mientras se transmiten a través de dispositivos de enrutamiento. En IPV4, diferentes dispositivos en la misma subred pueden aparecer como un solo dispositivo en Internet usando la técnica NAT. NAT es una forma general y esencial de conservar el espacio de direcciones global ante el agotamiento de las direcciones IPV4.

Y ahora, el problema del agotamiento parece resolverse con la cantidad ilimitada de espacios de direcciones IPV6 disponibles. Aún así, la técnica NAT es valiosa y útil para muchas aplicaciones IPV6, como los controles de seguridad en la navegación web.



II - Proxy NAT IPV6

En el sistema Linux, la forma general de implementar una operación NAT es usar IPTABLES. Pero solo es compatible con IPV4 hasta que la red SENAO logre el proxy NAT IPV6. El proxy NAT IPV6 es un módulo del kernel registrado en el netfilter. Cuando el usuario activa la solicitud HTTP para la navegación web, los paquetes IPV4 e IPV6 fluirán hacia el filtro de red y el proxy NAT IPV6 rastreará el flujo de paquetes IPV6. Al filtrar el paquete HTTP IPV6, el proxy NAT IPV6 transferirá el paquete a un servidor remoto reasignando la dirección IPV6 de destino a la dirección IPV6 del servidor de seguridad (ver figura).

El procedimiento de reasignación incluye el cálculo de la suma de comprobación de TCP de los paquetes IPV6 mientras se completa la traducción de la dirección de red. El proxy NAT IPV6 mantiene la tupla de conexión TCP hasta que el servidor de seguridad devuelve el resultado de la verificación. Una vez que el servidor de seguridad devuelve el resultado positivo, el paquete original se enviará sin que el usuario se dé cuenta. De lo contrario, la conexión HTTP será interrumpida por el proxy NAT IPV6 y el usuario será bloqueado por explorar el fraude.

Además de traducir al servidor de seguridad, el proxy NAT IPV6 proporciona opciones para configurar diferentes direcciones IPV6, puertos IPV6, el tiempo en vivo de la tupla y el número máximo de tuplas almacenadas para la personalización.



III - Conclusión

Este artículo describe una manera simple de implementar un servidor NAT IPV6 sin discutir NAT de cono completo, NAT de cono restringido, NAT de cono posrestringido y NAT simétrica, además de invoca la idea de usar NAT en IPV6.



Referencias

1. Traducción de direcciones de red https://en.wikipedia.org/wiki/Network_address_translation
2. Aprovechar al máximo IPV6 https://blog.paloaltonetworks.com/2015/08/getting-the-mostout-of-ipv6



Descargar PDF>




Ver todos los artículos técnicos>