Iptables 规则 一些简单实例和详细介绍(转)
设定规则
iptables -p INPUT DROP
iptables -p OUTPUT ACCEPT
iptables -p FORWARD DROP
1、防止外网用内网IP欺骗
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
查看nat规则
iptables -t nat -L
2、如果想取消上面所加的规则:
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
3、阻止一个IP连接本机
iptables -t filter -A INPUT -s 192.168.1.5 -i eth0 -j DROP
4、查看本机的IPTABLES的所填规则
iptables -L -n
5、清除filter中所有的规则连接
iptables -F
清除filter中使用者自定义连接中的规则
iptables -X
6、保存所修改的iptables规则
/etc/rc.d/init.d/iptables save
重新启动iptables服务
service iptables restart
7、关闭不安全的端口连接本机
iptables -A OUTPUT -p tcp –sport 31337 -j DROP
iptables -A OUTPUT -p tcp –dport 31337 -j DROP
8、开启所需要的端口
22
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT
80
iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
9、禁止一个IP或者一个IP段访问服务器端口服务
80端口
iptables -t filter -I INPUT 2 -s 192.168.5.0/24 -p tcp –dport http -j DROP
FTP端口
iptables -t filter -I INPUT 2 -s 192.168.7.9 -p tcp –dport ftp -j DROP
用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改
iptables – [RI] chain rule num rule-specification[option]
用iptables – RI 通过规则的顺序指定
iptables -D chain rule num[option]
删除指定规则
iptables -[LFZ] [chain][option]
用iptables -LFZ 链名 [选项]
iptables -[NX] chain
用 -NX 指定链
iptables -P chain target[options]
指定链的默认目标
iptables -E old-chain-name new-chain-name
-E 旧的链名 新的链名
用新的链名取代旧的链名
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。
可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作’target’(目标),也可以跳向同一个表内的用户定义的链。
TARGETS
防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。
ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
TABLES
当前有三个表(哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块,这时若模块没有加载,(系统)将尝试(为该表)加载适合的模块。这些表如下:filter,这是默认的表,包含了内建的链INPUT(处理进入的包)、FORWORD(处理通过的包)和OUTPUT(处理本地生成的包)。nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成:PREROUTING (修改到来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING(修改准备出去的包)。mangle 这个表用来对指定的包进行修改。它有两个内建规则:PREROUTING(修改路由之前进入的包)和OUTPUT(修改路由之前本地的包)。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。
COMMANDS
这些选项指定执行明确的动作:若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
-A -append
在所选择的链末添加一条或更多规则。当源(地址)或者/与 目的(地址)转换为多个地址时,这条规则会加到所有可能的地址(组合)后面。
-D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法:可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。
-R -replace
从选中的链中取代一条规则。如果源(地址)或者/与 目的(地址)被转换为多地址,该命令会失败。规则序号从1开始。
-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以,如果规则序号为1,规则会被插入链的头部。这也是不指定规则序号时的默认方式。
-L -list
显示所选链的所有规则。如果没有选择链,所有链将被显示。也可以和z选项一起使用,这时链会被自动列出和归零。精确输出受其它所给参数影响。
-F -flush
清空所选链。这等于把所有规则一个个的删除。
–Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用,在清空前察看计数器,请参见前文。
-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。
-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用,如果被引用,在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数,这条命令将试着删除每个非内建的链。
-P -policy
设置链的目标规则。
-E -rename-chain
根据用户给出的名字对指定链进行重命名,这仅仅是修饰,对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则,而且内建链和用户自定义链都不能是规则的目标。
-h Help.
帮助。给出当前命令语法非常简短的说明。
PARAMETERS
参数
以下参数构成规则详述,如用于add、delete、replace、append 和 check命令。
-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部,也可以是数值,代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上”!”表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议,而且这是缺省时的选项。在和check命令结合时,all可以不被使用。
-s -source [!] address[/mask]
指定源地址,可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字,在网络掩码的左边指定网络掩码左边”1″的个数,因此,mask值为24等于255.255.255.0。在指定地址前加上”!”说明指定了相反的地址段。标志 –src 是这个选项的简写。
-d –destination [!] address[/mask]
指定目标地址,要获取详细说明请参见 -s标志的说明。标志 –dst 是这个选项的简写。
-j –jump target
-j 目标跳转
指定规则的目标;也就是说,如果包匹配应当做什么。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果规则的这个选项被忽略,那么匹配的过程不会对包产生影响,不过规则的计数器会增加。
-i -in-interface [!] [name]
i -进入的(网络)接口 [!][名称]
这是包经由该接口接收的可选的入口名称,包通过该接口接收(在链INPUT、FORWORD和PREROUTING中进入的包)。当在接口名前使用”!”说明后,指的是相反的名称。如果接口名后面加上”+”,则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为”+”,那么将匹配任意接口。
-o –out-interface [!][name]
-o –输出接口[名称]
这是包经由该接口送出的可选的出口名称,包通过该口输出(在链FORWARD、OUTPUT和POSTROUTING中送出的包)。当在接口名前使用”!”说明后,指的是相反的名称。如果接口名后面加上”+”,则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为”+”,那么将匹配所有任意接口。
[!] -f, –fragment
[!] -f –分片
这意味着在分片的包中,规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口(或者是ICMP类型的),这类包将不能匹配任何指定对他们进行匹配的规则。如果”!”说明用在了”-f”标志之前,表示相反的意思。
OTHER OPTIONS
其他选项
还可以指定下列附加选项:
-v –verbose
-v –详细
详细输出。这个选项让list命令显示接口地址、规则选项(如果有)和TOS(Type of Service)掩码。包和字节计数器也将被显示,分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍(不过请参看-x标志改变它),对于添加,插入,删除和替换命令,这会使一个或多个规则的相关详细信息被打印。
-n –numeric
-n –数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下,程序试显示主机名、网络名或者服务(只要可用)。
-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值,代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。
–line-numbers
当列表显示规则时,在每个规则的前面加上行号,与该规则在链中的位置相对应。
MATCH EXTENSIONS
对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包,而且他们大多数都可以通过在前面加上!来表示相反的意思。
tcp
当 –protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项:
–source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口:端口也可以指定包含的(端口)范围。如果首端口号被忽略,默认是”0″,如果末端口号被忽略,默认是”65535″,如果第二个端口号大于第一个,那么它们会被交换。这个选项可以使用 –sport的别名。
–destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 –dport别名来代替。
–tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记,一个用逗号分开的列表,第二个参数是用逗号分开的标记表,是必须被设置的。标记如下:SYN ACK FIN RST URG PSH ALL NONE。因此这条命令:iptables -A FORWARD -p tcp –tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。
[!] –syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求;例如,大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接,而出去的TCP连接不会受到影响。这等于 –tcp-flags SYN, RST, ACK SYN。如果”–syn”前面有”!”标记,表示相反的意思。
–tcp-option [!] number
匹配设置了TCP选项的。
udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项:
–source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的–source-port选项说明。
–destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的–destination-port选项说明。
icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项:
–icmp-type [!] typename
这个选项允许指定ICMP类型,可以是一个数值型的ICMP类型,或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。
mac
–mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。
limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了”!”标记)
–limit rate
最大平均匹配速率:可赋的值有’/second’, ‘/minute’, ‘/hour’, or ‘/day’这样的单位,默认是3/hour。
–limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5
multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。
–source-port [port[, port]]
如果源端口是其中一个给定端口则匹配
–destination-port [port[, port]]
如果目标端口是其中一个给定端口则匹配
–port [port[, port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
mark
这个模块和与netfilter过滤器标记字段匹配(就可以在下面设置为使用MARK标记)。
–mark value [/mask]
匹配那些无符号标记值的包(如果指定mask,在比较之前会给掩码加上逻辑的标记)。
owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链,而且即使这样一些包(如ICMP ping应答)还可能没有所有者,因此永远不会匹配。
–uid-owner userid
如果给出有效的user id,那么匹配它的进程产生的包。
–gid-owner groupid
如果给出有效的group id,那么匹配它的进程产生的包。
–sid-owner seessionid
根据给出的会话组匹配该进程产生的包。
state
此模块,当与连接跟踪结合使用时,允许访问包的连接跟踪状态。
–state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。
unclean
此模块没有可选项,不过它试着匹配那些奇怪的、不常见的包。处在实验中。
tos
此模块匹配IP包首部的8位tos(服务类型)字段(也就是说,包含在优先位中)。
–tos tos
这个参数可以是一个标准名称,(用iptables -m tos -h 察看该列表),或者数值。
TARGET EXTENSIONS
iptables可以使用扩展目标模块:以下都包含在标准版中。
LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后,linux内核会通过printk()打印一些关于全部匹配包的信息(诸如IP包头字段等)。
–log-level level
记录级别(数字或参看 syslog.conf(5))。
–log-prefix prefix
在纪录信息前加上特定的前缀:最多14个字母长,用来和记录中其他信息区别。
–log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。
–log-tcp-options
记录来自TCP包头部的选项。
–log-ip-options
记录来自IP包头部的选项。
MARK
用来设置包的netfilter标记值。只适用于mangle表。
–set-mark mark
REJECT
作为对匹配的包的响应,返回一个错误的包:其他情况下和DROP相同。
此目标只适用于INPUT、FORWARD和OUTPUT链,和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性:
–reject-with type
Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited,该类型会返回相应的ICMP错误信息(默认是port-unreachable)。选项 echo-reply也是允许的;它只能用于指定ICMP ping包的规则中,生成ping的回应。最后,选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则,只匹配TCP协议:将回应一个TCP RST包。
TOS
用来设置IP包的首部八位tos。只能用于mangle表。
–set-tos tos
你可以使用一个数值型的TOS 值,或者用iptables -j TOS -h 来查看有效TOS名列表。
MIRROR
这是一个试验示范目标,可用于转换IP首部字段中的源地址和目标地址,再传送该包,并只适用于INPUT、FORWARD和OUTPUT链,以及只调用它们的用户自定义链。
SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址(此连接以后所有的包都会被影响),停止对规则的检查,它包含选项:
–to-source [-][:port-port]
可以指定一个单一的新的IP地址,一个IP地址范围,也可以附加一个端口范围(只能在指定-p tcp 或者-p udp的规则里)。如果未指定端口范围,源端口中512以下的(端口)会被安置为其他的512以下的端口;512到1024之间的端口会被安置为1024以下的,其他端口会被安置为1024或以上。如果可能,端口不会被修改。
–to-destiontion [-][:port-port]
可以指定一个单一的新的IP地址,一个IP地址范围,也可以附加一个端口范围(只能在指定-p tcp 或者-p udp的规则里)。如果未指定端口范围,目标端口不会被修改。
MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP(拨号)连接:如果你拥有静态IP地址,你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像,当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址(以后所有建立的连接都将关闭)。它有一个选项:
–to-ports [-port>]
指定使用的源端口范围,覆盖默认的SNAT源地址选择(见上面)。这个选项只适用于指定了-p tcp或者-p udp的规则。
REDIRECT
只适用于nat表的PREROUTING和OUTPUT链,和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身(本地生成的包被安置为地址127.0.0.1)。它包含一个选项:
–to-ports [ ]
指定使用的目的端口或端口范围:不指定的话,目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。
DIAGNOSTICS
诊断
不同的错误信息会打印成标准错误:退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2,其他错误返回代码为1。
BUGS
臭虫
Check is not implemented (yet).
检查还未完成。
COMPATIBILITY WITH IPCHAINS
与ipchains的兼容性
iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个;以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口;-o引用输出接口,两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时,iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆,所以以下选项作了不同的处理:
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链。
2. 什麼是IPv6?
IPv6是新的第三層傳輸協議(參 考http://www.linuxports.com/howto/intro_to_networking/c4412.htm#PAGE10 3HTML),它將用來取代IPv4(也叫做IP).
IPv4是很早以前設計的,現在對IPv4提供更多的地址和性能方面有著更高的要求. 在IPv6中主要的變革是重新設計了報頭. 包括將地址位的大小從32 bits 增加到 128 bits. 因為第三層傳輸主要負責end-to-end(端對端)基於地址的數據包路 由. 它必需包含新的IPv6地址(來源和目標),這點就像IPv4一樣.
下面這個連結提供了更多有關IPv6的資訊, 和RFC 的例表等等:
http://www.switch.ch/lan/ipv6/references.html
2.1 IPv6在Linux作業系統上的歷史
將要做的: 更好的時間排列, 更多的內容...
2.2 開始
第一次將與IPv6有關的代碼加入 Linux kernel 2.1.8 的工作是由Pedro Roque 在1996年11月完成的. 它基於BSD API: ______________________________________________________________
diff -u --recursive --new-file v2.1.7/linux/include/linux/in6.h linux/include/linux/in6.h--- v2.1.7/linux/include/linux/in6.h Thu Jan 1 02:00:00 1970+++ linux/include/linux/in6.h Sun Nov 3 11:04:42 1996@@ -0,0 +1,99 @@+/*+ * Types and definitions for AF_INET6+ * Linux INET6 implementation+ * + * Authors:+ * Pedro Roque <******>+ *+ * Source:+ * IPv6 Program Interfaces for BSD Systems+ * <draft-ietf-ipngwg-bsd-api-05.txt> ______________________________________________________________
以上的代碼來自patch-2.1.8 (e-mail 地址在複製&貼上時漏掉了)
2.3 其間
因為缺少人手, 在核心加入IPv6的計劃不能按照討論的或新的RFCs執行.
在2000年的10月, 一個叫做USAGI(http://www.linux-ipv6.org/)的計劃在日本 正式啟動. 目標是執行所有不見了的, 擱淺的(IPv6 support in Linux)計劃. 計劃緊隨 KAME project (http://www.kame.net/) 的腳步. 依據 vanilla Linux 核心源代碼進行遂步的改動.
2.4 現在
不幸的是 USAGI 的 patch(補丁)很大, Linux networking 維護人員無法將它包 含進現在Linux 2.4.x 系列的源代碼當中去. 因此2.4.x 失去了一些(多數)括展 性, 並且不支持所有當前的設計和RFCs. 這導致了它和其它作業系統會產生一些 協同問題.
2.5 將來
USAGI 現在正在將當前的括展加入到 Linux 2.5.x 核心當中.
希望2.6.x 系列核心能有一個真正和最新的IPv6功能.
2.6 IPv6 的地址會是什麼樣 ?
剛才提過, IPv6 的地址有128 bits 長. 這樣的 bits 可以產生39個十進字數 字: ______________________________________________________________
2^128-1: 340282366920938463463374607431768211455 ______________________________________________________________
這樣的地址很難記得住. IPv6的地址是逐位定位的(就像IPv4, 但這個觀點不是 公認的). 所以十六進制能更好地代表這些數字, 4 bits(也叫做"nibble")表現 為數字(0-9)或字符 a-f(10-15). 這種格式將IPv6的地址長度縮減到個32字符. ______________________________________________________________
2^128-1: 0xffffffffffffffffffffffffffffffff ______________________________________________________________
這種表現形式仍然很不方便. (可能混淆或遺漏單個十六進制數字), 所以IPv6的 設計者將地址形式定為每16bit就用":"區分開來. 開頭的"0x"(在程式設計當中 用來表示十六進制數值)被移除了: ______________________________________________________________
2^128-1: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff ______________________________________________________________
一個有效的地址(稍後請看地址類型)如下: ______________________________________________________________
3ffe:ffff:0100:f101:0210:a4ff:fee3:9566 ______________________________________________________________
為了簡化, 每個16bit開頭的0可以被省略: ______________________________________________________________
3ffe:ffff:0100:f101:0210:a4ff:fee3:9566 -> 3ffe:ffff:100:f101:210:a4ff:fee3:9566 ______________________________________________________________
連續的並且數值為0的16bit地址段可以用"::"表示. 但是一個IPv6地址當中只能 出現一次, 不然這種方法保持不了多久. ______________________________________________________________
3ffe:ffff:100:f101:0:0:0:1 -> 3ffe:ffff:100:f101::1 ______________________________________________________________
簡化得最短的IPv6 localhost地址: ______________________________________________________________
0000:0000:0000:0000:0000:0000:0000:0001 -> ::1 ______________________________________________________________
這種方法也叫做 compact (base85 coded) representation defined RFC 1924 / A IPv6緊湊地址表示法(定於1996), 但沒有提起過, 例如: ______________________________________________________________
# ipv6calc --addr_to_base85 3ffe:ffff:0100:f101:0210:a4ff:fee3:9566Itu&-ZQ82s>J%s99FJXT ______________________________________________________________
資訊: ipv6calc 是一個IPv6地址格式的計算和轉換的計劃, 您可以在這裡找到: http://www.bieringer.de/linux/IPv6/ipv6calc/
2.7 FAQ(基礎)
為什麼叫IPv6,而不能成為IPv4之後的IPv5 ?
在任何IP頭, 前4bits 是為協議版本號所保留的. 所以理論上一個協議的版本號 在0和15之間是有效的:
* 4 己經為IPv4所使用. * 5 為 Stream 協議所保留(STP, RFC 1819 http://rfc.net/rfc1819.html 沒有公開過)
IPv4之後可用的版本號是6, 因此 IPv6 就這樣旦生了!
IPv6 地址: 為什麼會有這麼長的bits
在設計IPv4的時候,人們認為32bit的長度足夠全世界使用. 看一看這些年, 32bit 就現在和未來幾年來說是足夠的. 然而, 32bits 不能在將來滿足全球各 種網路設備對IP地址的需求. 想一想將來要連結網路的移動電話, 汽車(包括電 子總控系統), 烤麵包機,冰箱, 照明開關...
所以設計者採用了128bits, 是今天IPv4 大小(2^96)與長度的4倍.
實際使用的大小可能比它看起來的還要小. 因為現在的定義地址設計, 64bits 用於interface identifiers(界面標識). 另外64bits用於路由. 寄於現在嚴格 的層數集合(/48, /35, ...), IPv6 所能提供的地址空間還是可能不夠, 希望這 種情況不要在往後的幾年裡發生.
IPv6 地址: 為什麼在新的設計裡bits這麼小?
雖然, (可能)有些人(在Internet裡)考慮IPv8和IPv6, 設計無論從接受和執行都 是那麼的遙遠. 在此其間128bit對於報頭和數據傳輸來說是最佳的選擇.
考慮到在IPv4里和IPv6里的最大/最小傳輸單位(MTU,它們分別是576byte 和 1280 byte), IPv4 的報頭是20 byte(最小值,可以通過調節IPv4的選項增大 到60byte), IPv6 的報頭是48 byte(固定不變的), 報頭分別占它們MTU的3.4% 和3.8%, 這意昧著報頭佔了很大一部分開銷. 更大bits的地址需要更大的報頭, 因而佔據更大的開銷.
同樣,顧及到MTU正常連結的最大值(像現在的以太網): 1500byte(除了特別的列 子:9k byte 應用在 Jumbo frames 當中). 最終,如果要傳輸在第三層數據包中 占10%或20%報頭, 這樣的IP地址在設計上也就沒有意義了.
3. 地址的類型
3.1 沒有前綴的地址
Localhost 地址
這是一個特別為loopback interface(回送界面或環繞)定義的地址, 就像IPv4的 "127.0.0.1" 對於IPv6 localhost address 是: ______________________________________________________________
0000:0000:0000:0000:0000:0000:0000:0001 ______________________________________________________________
或縮減成 ______________________________________________________________
::1 ______________________________________________________________
這個地址的數據包將它當作host(主機)發送的來源和目標.
未指明的地址
這是一個在IPv4當中表示 "所有" 或"0.0.0.0". 對於IPv6為: ______________________________________________________________
0000:0000:0000:0000:0000:0000:0000:0000 ______________________________________________________________
或者是: ______________________________________________________________
:: ______________________________________________________________
這些地址大多 用在/顯示 socket 捆綁(到所有IPv6地址)或路由表當中.
注意:未說明的地址不能當成目標地址來使用.
植入了IPv4地址的IPv6地址
它包含了兩個地址其中一個為IPv4地址.
IPv4映射IPv6地址
IPv4-only IPv6-compatible 是由IPv6後台產生的有時 用於或顯示 sockets . 它只捆綁IPv4地址.
這些地址被定義為擁有長度為96的前綴特殊地址(a.b.c.d 是IPv4地址): ______________________________________________________________
0:0:0:0:0:ffff:a.b.c.d/96 ______________________________________________________________
或者使用縮寫形式 ______________________________________________________________
::ffff:a.b.c.d/96 ______________________________________________________________
這些地址也用於自動遂道, 已經被6to4tunneling取代.
3.2 網路部分,也叫做前綴
設計者定義並預留了一部份空間以便於將來遇到像現在這樣的需求. RFC 2373 [July 1998] / IP Version 6 Addressing Architecture (http://rfc.net/rfc2373.html) 定義了現在的地址設計, 但已經有了新的草案 (ftp://ftp.ietf.org/internet-drafts/)draft-ietf-ipngwg-addr-arch-*.txt
讓我們來看一下不同的前綴定義(和地址類型):
連結本地地址的類型
這些地址不對外界(Internet)連接有效. 以這些地址為目標的數據包不會通過路 由器. 這種連結用於以下情形:
* 同其它任意一個也使用這個連結的人進行通訊. * 同其它任意一個擁有特殊地址的連結進行通訊.(例如尋找路由)
它們的地址由以下這些開頭("x"是任意的十六進制字符,一般是"0") ______________________________________________________________
fe8x: <- 目前只有這個在用.fe9x:feax:febx: ______________________________________________________________
一個開頭為以上這些前綴的地址, 由IPv6沒有在界面指定IP地址的時候創立.
目前只有fe80在使用.
本地站點的地址定義
這些地址和IPv4相似(http://rfc.net/rfc1918.html RFC 1918 / Address Allocation for Private Internets) 它的優勢: 只用16bits 就可以定義65536 個子網.同IPv4的10.0.0.0/8相似.
另一個優勢:在IPv6的界面上可以定義多個IP地址, 在已有本地站點地址的基礎 上還可以加上一個global(全局)地址.
它們的地址由以下這些開頭("x"是任意的十六進制字符,一般是"0") ______________________________________________________________
fecx: <- 大多數使用這個fedx:feex:fefx: ______________________________________________________________
Global(全局)地址類型 "(Aggregatable) global unicast"可聚合的全局唯一地址.
今天,只有一個全局地址類型的定義(第一個設計,也是多年以來一直使用的叫做 "provider based," [3]RFC 1884 / IP Version 6 Addressing Architecture [obsolete]) 您能在早期的核心源代碼中找到一些.
它們的地址由以下這些開頭("x"是任意的十六進制字符,一般是"0") ______________________________________________________________
2xxx:3xxx: ______________________________________________________________
注意: 前綴"aggregatable" 被當前的草案拋棄了. 下面有一些更有意義的子類 型定義:
6bone test addresses
這些是最初定義和使用的全局地址. 它們的開頭是 ______________________________________________________________
3ffe: ______________________________________________________________
例子 ______________________________________________________________
3ffe:ffff:100:f102::1 ______________________________________________________________
一個無唯一全局化的特別6bone例子 ______________________________________________________________
3ffe:ffff:100:f102::1 ______________________________________________________________
這些主要都是例子, 因為如果使用真實的地址,可能會有些人將它拷貝&貼上 到 他們自己的配置中去. 從而不注意地複製了全局唯一地址, 這樣會導致原來擁有 這個地址的主機產生一些問題(比如,請求的回應包不會被發送.) 您可以從這些 前綴當中申請一個, 看這裡: "如何加入6bone" 也有一些在 tunnel brokers 他 們發佈用於測試6bone 的地址前綴.
6to4 地址
這些地址是為特別tunneling機制設計的. [4][RFC 3056 / Connection of IPv6 Domains via IPv4 Clouds 和 [5]RFC 2893 / Transition Mechanisms for IPv6 Hosts and Routers], 給IPv4地址和可能的子網編碼並以類似下面的形式 開頭: ______________________________________________________________
2002: ______________________________________________________________
例子,重新對192.168.1.1/5編碼: ______________________________________________________________
2002:c0a8:0101:5::1 ______________________________________________________________
這個shell命令將幫助您用一個IPv4地址產生這樣的地址: ______________________________________________________________
ipv4="1.2.3.4"; sla="5"; printf "2002:%02x%02x:%02x%02x:%04x::1" `echo $ipv4 |tr "." " "` $sla ______________________________________________________________
參照tunneling using 6to4 and information about 6to4 relay routers.
從分級路由分配到的地址
這些地址分配給Internet服務供商(ISP)並且有類似如下的開頭: ______________________________________________________________
2001: ______________________________________________________________
主ISP(擁有骨幹網路)的前綴是由local registries分配的, 並且現在他們分配 的前綴長度為35.
主ISPs通常分配給下級ISPs的前綴長度為48.
Multicast addresses(多點傳送的地址)
Multicast addresses 應用於服務當中.
它們總是有同下面相類似的開頭(xx是範圍值) ______________________________________________________________
ffxy: ______________________________________________________________
它們有著不同的範圍和類型:
Multicast scopes(多點傳達送範圍)
Multicast scope 是用來定義發送實體的multicast 數據包有效最遠傳輸值的參 數.
通常,下面的範圍已經被定義: * ffx1: 本地節點, 數據包不會離開節點. * ffx2: 本地連結, 數據包不會被路由,所以它們不會離開這個特別的連結. * ffx5: 本地站點, 數據包不會離開站點. * ffx8: 本地組織, 數據包不會離開組織(執行起來不那麼容易,必須依靠路由 協議) * ffxe: 全局範圍. * 其它的都被保留
Multicast(多點傳送)類型
許多類型都已經定義/保留(細節請參照 [6]RFC 2373 / IP Version 6 Addressing Architecture). 這裡有一些例子: * 所有節點地址: ID=1h, 所有本地節點主機的地址(ff01:0:0:0:0:0:0:1) 或 已連接好的地址(ff02:0:0:0:0:0:0:1). * 所有路由地址:ID=2h,所有本地節點的路由地址(ff01:0:0:0:0:0:0:2), 已 連接的(ff02:0:0:0:0:0:0:2), 或本地站點(ff05:0:0:0:0:0:0:2).
Solicited node link-local multicast address(本地多播請求的節點地址)
在neighborhood discovery(多播發現)中當成目標地址使用的特別多播地址. 與IPv4不同,ARP(地址解析協議)將不在IPv6中使用.
例子: ______________________________________________________________
ff02::1:ff00:1234 ______________________________________________________________
使用前綴表示它是一個本地多播地址, 後綴由目標地址產生. 這個例子當中將有 一個數據包發往"fe80::1234", 但是網路堆棧並不知道第二層的MAC(多媒體通 路). 它將上部份的104 bits 更改為 "ff02:0:0:0:0:1:ff00::/104" 下部分24 bits 不變. 現在這個地址以on-link(在線)的形式尋找相應的節點(這個節點應 當發送了包含有第二層 MAC 地址的回應包)
Anycast addresses(隨播地址)
Anycast addresses是一個特別的地址, 它用於鄰近的DNS或DHCP服務, 或用於相 似的dynamic groups(動態組群). 地址從 unicast address (單播地 址aggregatable global or site-local at the moment)空間中取得. 隨播地址 的機制(從客戶端的觀點來看)由動態路由協議控制.
注意:隨播地址不能成為作為來源地址, 它必需以目標地址的身份出現.
Subnet-router Anycast addresses(子網路隨播路由器)
一個Subnet-router Anycast addresses的例子. 假設一個分配了如下IPv6地址 的節點: ______________________________________________________________
3ffe:ffff:100:f101:210:a4ff:fee3:9566/64 <- 節點的地址 ______________________________________________________________
Subnet-router將使用沒有後綴的地址 (least significant 64 bits): ______________________________________________________________
3ffe:ffff:100:f101::/64 <- subnet-router anycast address ______________________________________________________________
3.3 地址類型(主機)
因為自動的配製/隨機分配,在當前的地址類型中主機使用更低的 64 bits地址. 因此每個subnet(子網)可以擁有大量的地址.
主機的地址分配可以有如下幾種形式:
自動分配(also known as stateless)
在自動分配當中,主機的地址由界面的MAC地址決定. 使用EUI-64方法,指定一 個IPv6 地址. 如果沒有可用的MAC(如:虛擬設備), 就用其它的代替(如IPv4地址 或物理界面的MAC地址)
再看一下前面的例子: ______________________________________________________________
3ffe:ffff:100:f101:210:a4ff:fee3:9566 ______________________________________________________________
這裡: ______________________________________________________________
210:a4ff:fee3:9566 ______________________________________________________________
主機地址由NIC的MAC地址決定: ______________________________________________________________
00:10:A4:E3:95:66 ______________________________________________________________
用 [7]IEEE-Tutorial EUI-64 作為EUI-48 的標識符.
自動分配帶來的隱私問題
因為自動分配的是唯一地址,客戶端在不通過任何代理的情況下容易被跟蹤. 這 是個公認的問題,它的解決方法是:privacy extension,定義於 [8]RFC 3041 / Privacy Extensions for Stateless Address Autoconfiguration in IPv6 這 裡也有一個草案: [9]draft-ietf-ipngwg-temp-addresses-*.txt 使用不同的靜 態數值, 每次產生一個新的後綴. 注意: 只對client 的連接有效, 對於servers 沒有什麼用處.
手動設定
對於servers來說, 大概很容易記起簡單的地址. 同時也可以向它的界面添加一 個IPv6地址: ______________________________________________________________
3ffe:ffff:100:f101::1 ______________________________________________________________
手動設定的後綴為"::1",例子當中最重要的第6 bits設定為"0", 它為anycast addresses(任意傳送地址)保留 (the universal/local bit of the automatically generated identifier).
3.4 路由的前綴長度
在早期設計階級,使用完全分離的路由分級來最大層度地縮小路由表. 論證的方 法是使用當前IPv4的核心路由數目(> 104 thousand in May 2001) 減少硬體記 憶體的需求來控制路由表和速度(較少的個數使查找速度加快).
前綴長度(也叫做子網路遮罩)
同IPv4相似, 網路產生可路由的路徑. 因為128 bits標準的netmasks 看起來不 怎麼樣. 設計者借鑒了IPv4的風格: Classless Inter Domain Routing (CIDR [10]RFC 1519 / Classless Inter-Domain Routing) 它們是用於IP地址路由 的bits號碼. 也叫做"/"
例子: ______________________________________________________________
3ffe:ffff:100:1:2:3:4:5/48 ______________________________________________________________
它們可以被擴展成: ______________________________________________________________
網路:3ffe:ffff:0100:0000:0000:0000:0000:0000 ______________________________________________________________ ______________________________________________________________
子網路遮罩:ffff:ffff:ffff:0000:0000:0000:0000:0000 ______________________________________________________________
Matching a route(路由匹配)
在一般情況下(no QoS), 在路由表裡查找一個重要的地址數值意味著路由前綴的 長度必需先匹配.
例子, 如果路由表像下面那樣(清單未完全例出): ______________________________________________________________
3ffe:ffff:100::/48 :: U 1 0 0 sit12000::/3 ::192.88.99.1 UG 1 0 0 tun6to4 ______________________________________________________________
IPv6的目標地址將被下面的設備路由: ______________________________________________________________
3ffe:ffff:100:1:2:3:4:5/48 -> routed through device sit13ffe:ffff:200:1:2:3:4:5/48 -> routed through device tun6to4 ______________________________________________________________
4. 準備IPv6的運行系統
4.1 IPv6-ready kernel
現在的Linux發行版的核心都具備了運行IPv6的條件. IPv6功能被編譯成一個可 載入模組. 在一般情況下模組不會在開機的時候自動載入.
參照更新的資訊: [11]IPv6+Linux-Status-Distribution
檢察現在的系統是否支持IPv6
注意您的/proc-file-system.必需有如下的結構: ______________________________________________________________
/proc/net/if_inet6 ______________________________________________________________
一個簡單的測試: ______________________________________________________________
# test -f /proc/net/if_inet6 && echo "Running kernel is IPv6 ready" ______________________________________________________________
如果失敗, 表明模組沒有載入.
試著載入模組
執行載入模組的命令: ______________________________________________________________
# modprobe ipv6 ______________________________________________________________
如果成功, 模組會在列表中顯示,執行如下命令: ______________________________________________________________
# lsmod |grep -w 'ipv6' && echo "IPv6 module successfully loaded" ______________________________________________________________
讓模組自動載入
模組是可以自動載入的,只要在核心模組設定文件( /etc/modules.conf 或 /etc/conf.modules)中加入: ______________________________________________________________
alias net-pf-10 ipv6 # automatically load IPv6 module on demand ______________________________________________________________
也可以關掉IPv6模組的自動載入: ______________________________________________________________
alias net-pf-10 off # disable automatically load of IPv6 module on demand ______________________________________________________________
編譯有 IPv6 功能的核心
如果以上兩個結果都證實了核心不具有IPv6功能, 您可以有如下選擇: * 升級成外包裝有IPv6支持說明的Linux發行版(推薦新手使用)再看一下這裡: [12]IPv6+Linux-Status-Distribution * 編譯一個新的vanilla核心(如果您知道該怎麼選擇,會比較簡單). * 重新編譯您現在擁有的發行版核心(不太容易). * 將核心同 USAGI 的擴展一起編譯.
如果您決定編譯一個核心,您必需讀過 [13]Linux Kernel HOWTO. 以及這方面的 經驗.
注意:您必需使用核心2.4.x系列或更高. 因為IPv6對2.2.x系列缺少相應的支持. 並且需要ICMPv6 和 6to4 支持的補丁.(補丁可以在 [14]kernel series 2.2.x IPv6 patches找到).
將核心同 USAGI 的擴展一起編譯.
只推薦熟悉核心編譯和IPv6的用戶使用. 參照: [15]USAGI project / FAQ.
IPv6-ready network devices
不是所有的設備都有能力傳輸IPv6數據包, 這裡有一個現狀表: [16] IPv6+Linux-status-kernel.html#transport.
現階段不會支持IPv6的連結
* Serial Line IP (SLIP, [17]RFC 1055), should be better called now to SLIPv4, device named: slX * Parallel Line IP (PLIP), same like SLIP, device names: plipX * ISDN with encapsulation rawip, device names: isdnX
在將來都不會支持IPv6的設備
* ISDN with encapsulation syncppp, device names: ipppX (design issue of the ipppd, will be merged into more general PPP layer in kernel series 2.5.x)
4.2 IPv6-ready 網路設定工具
別扯太遠了, 如果您有一個正在運行IPv6的核心,怎麼會沒有設定的工具呢? 安 裝包裡早就有幾個這樣的工具了.
net-tools package
net-tools package 包含一些工具如: ifconfig ,route. 這些可以令您在界面 上設定IPv6. 在命令行(shell) 用ifocnig -? 或 route -? 查看諸如IPv6 或 inet6.如果有,則說明具備IPv6設定能力.
輸入以下命令進行檢查: ______________________________________________________________
# /sbin/ifconfig -? 2>& 1|grep -qw 'inet6' && echo "utility 'ifconfig' is?IPv6-ready" ______________________________________________________________
也可以使用route: ______________________________________________________________
# /sbin/route -? 2>& 1|grep -qw 'inet6' && echo "utility 'route' is IPv6-ready" ______________________________________________________________
iproute package
Alexey N. Kuznetsov (Linux 網路代碼現階段的維護者) 寫了一個tool-set可 以通過netlink 設備來設定網路.它可以比net-tool提供更多的功能, 但沒有多 少文檔並且它不是為膽小的人設計的. ______________________________________________________________
# /sbin/ip 2>&1 |grep -qw 'inet6' && echo "utility 'ip' is IPv6-ready" ______________________________________________________________
如果沒有找到 /sbin/ip 那麼我極力推薦您安裝iproute package. * 可以在您的發行版中找到(如果有的話) * 在 [18]Original FTP source下載並編譯它. * 直接可以安裝的RPM包: [19]RPMfind/iproute (推薦編譯 SRPMS )
4.3 IPv6-ready 測試/調式 程式
在為IPv6準備好了系統後,您可以用IPv6進行網路通訊. 首先您必需學習如何用 嗅探程式來檢查IPv6數據包. 強烈推薦這樣做,因為 在debugging/troubleshooting 中有利於快速診斷.
IPv6 ping
這個程式一般在iputils包裡, 用來測試簡單傳輸發送 ICMPv6 回應請求並等 待ICMPv6 回應包.
用法: ______________________________________________________________
# ping6 < hostwithipv6address ># ping6 < ipv6address ># ping6 [-I < device >] < link-local-ipv6address > ______________________________________________________________
例子: ______________________________________________________________
# ping6 -c 1 ::1PING ::1(::1) from ::1 : 56 data bytes64 bytes from ::1: icmp_seq=0 hops=64 time=292 usec--- ::1 ping statistics ---1 packets transmitted, 1 packets received, 0% packet lossround-trip min/avg/max/mdev = 0.292/0.292/0.292/0.000 ms ______________________________________________________________
提示 ping6必需有適當的root權限才能使用, 如果不是root組用戶,使用時可能 產生問題:
1.ping6 不在用戶的路徑當中 (probably, because ping6 is generally stored in /usr/sbin -> add path (not really recommended)
2.ping6 不能被正確執行, 通常沒有適當的權限 chmod u+s /usr/sbin/ping6
為ping6指定界面
用local-addresses 作為ping6 目標必需指定一個界面. 否則核心將不知道數據 包發往哪個設備. 在沒有指定的情況下會有這樣的輸出: ______________________________________________________________
# ping6 fe80::212:34ff:fe12:3456connect: Invalid argument ______________________________________________________________
為ping6指定界面的結果: ______________________________________________________________
# ping6 -I eth0 -c 1 fe80::2e0:18ff:fe90:9205PING fe80::212:23ff:fe12:3456(fe80::212:23ff:fe12:3456) from?fe80::212:34ff:fe12:3478 eth0: 56 data bytes64 bytes from fe80::212:23ff:fe12:3456: icmp_seq=0 hops=64 time=445 usec--- fe80::2e0:18ff:fe90:9205 ping statistics ---1 packets transmitted, 1 packets received, 0% packet loss round-trip?min/avg/max/mdev = 0.445/0.445/0.445/0.000 ms ______________________________________________________________
Ping6 to multicast addresses(多播地址)
一個發現IPv6-active hosts 的比較有趣的機制: ______________________________________________________________
# ping6 -I eth0 ff02::1 PING ff02::1(ff02::1) from fe80:::2ab:cdff:feef:0123 eth0: 56 data bytes64 bytes from ::1: icmp_seq=1 ttl=64 time=0.104 ms64 bytes from fe80::212:34ff:fe12:3450: icmp_seq=1 ttl=64 time=0.549 ms (DUP!) ______________________________________________________________
與IPv4不同的是, ping 的回應在廣播地址中是可以屏蔽的,目前只有IPv6防火牆 可以做到.
IPv6 traceroute6
這個程式一般在iputils包裡, 和IPv4的traceroute程式相似, 但與當前版本不 同的是IPv6不能正確地使用ICMP echo-request. 看下面這個例子: ______________________________________________________________
# traceroute6 www.6bone.nettraceroute to 6bone.net (3ffe:b00:c18:1::10) from 3ffe:ffff:0000:f101::2, 30?hops max, 16 byte packets 1 localipv6gateway (3ffe:ffff:0000:f101::1) 1.354 ms 1.566 ms 0.407 ms 2 swi6T1-T0.ipv6.switch.ch (3ffe:2000:0:400::1) 90.431 ms 91.956 ms 92.377 ms 3 3ffe:2000:0:1::132 (3ffe:2000:0:1::132) 118.945 ms 107.982 ms 114.557 ms 4 3ffe:c00:8023:2b::2 (3ffe:c00:8023:2b::2) 968.468 ms 993.392 ms 973.441 ms 5 3ffe:2e00:e:c::3 (3ffe:2e00:e:c::3) 507.784 ms 505.549 ms 508.928 ms 6 www.6bone.net (3ffe:b00:c18:1::10) 1265.85 ms * 1304.74 ms ______________________________________________________________
IPv6 tracepath6
這個程式一般在iputils包裡, 它用來追蹤MTU的路徑.看下面的例子: ______________________________________________________________
# tracepath6 www.6bone.net 1?: [LOCALHOST] pmtu 1480 1: 3ffe:401::2c0:33ff:fe02:14 150.705ms 2: 3ffe:b00:c18::5 267.864ms 3: 3ffe:b00:c18::5 asymm 2 266.145ms pmtu 1280 3: 3ffe:3900:5::2 asymm 4 346.632ms 4: 3ffe:28ff:ffff:4::3 asymm 5 365.965ms 5: 3ffe:1cff:0:ee::2 asymm 4 534.704ms 6: 3ffe:3800::1:1 asymm 4 578.126ms !NResume: pmtu 1280 ______________________________________________________________
IPv6 tcpdump
在Linux作業系統中 tcpdump 是主要的數據包捕獲工具.IPv6支持 3.6 的版本.
tcpdump用於降低數據包雜訊的參數: * icmp6: 過濾本地ICMPv6通訊. * ip6: 過濾本地IPv6通訊.(包括 ICMPv6) * proto ipv6: filters tunneled IPv6-in-IPv4 traffic * not port ssh: 在遠程SSH會話中禁止SSH數據包的顯示. to suppress displaying SSH packets for running tcpdump in a remote SSH session
使用命令行參數也可以從一個數據包中捕獲/列印資訊. * "-s 512": 增加捕獲限定為512 bytes. * "-vv": 詳細列印. * "-n": 不將地址轉換成名稱,在名稱服務有問題時可以用到.
IPv6 ping to 3ffe:ffff:100:f101::1 native over a local link ______________________________________________________________
# tcpdump -t -n -i eth0 -s 512 -vv ip6 or proto ipv6tcpdump: listening on eth03ffe:ffff:100:f101:2e0:18ff:fe90:9205 > 3ffe:ffff:100:f101::1: icmp6: echo?request (len 64, hlim 64)3ffe:ffff:100:f101::1 > 3ffe:ffff:100:f101:2e0:18ff:fe90:9205: icmp6: echo?reply (len 64, hlim 64) ______________________________________________________________
IPv6 ping to 3ffe:ffff:100::1 routed through an IPv6-in-IPv4-tunnel
1.2.3.4和5.6.7.8是遂道的終點(這些都是例子). ______________________________________________________________
# tcpdump -t -n -i ppp0 -s 512 -vv ip6 or proto ipv6tcpdump: listening on ppp01.2.3.4 > 5.6.7.8: 2002:ffff:f5f8::1 > 3ffe:ffff:100::1: icmp6: echo request?(len 64, hlim 64) (DF) (ttl 64, id 0, len 124)5.6.7.8 > 1.2.3.4: 3ffe:ffff:100::1 > 2002:ffff:f5f8::1: icmp6: echo reply (len?64, hlim 61) (ttl 23, id 29887, len 124)1.2.3.4 > 5.6.7.8: 2002:ffff:f5f8::1 > 3ffe:ffff:100::1: icmp6: echo request?(len 64, hlim 64) (DF) (ttl 64, id 0, len 124)5.6.7.8 > 1.2.3.4: 3ffe:ffff:100::1 > 2002:ffff:f5f8::1: icmp6: echo reply (len?64, hlim 61) (ttl 23, id 29919, len 124) ______________________________________________________________
4.4 IPv6-ready programs(能和IPv6協同工作的程式)
在當前的發行版中已經包含了能和IPv6協同工作的程式(服務端/客戶端) 參照: [20]IPv6+Linux-Status-Distribution. 或者檢查 [21] http://www.bieringer.de/linux/IPv6/status/IPv6+Linux-status-apps.html 一些可用程式的線索: [22]IPv6 & Linux - HowTo - Part 3或 [23]IPv6 & Linux - HowTo - Part 4.
4.5 IPv6-ready 客戶端程式 (selection)
想要進行下面的測試, 您的作業系統必需擁有IPv6能力. 有些例子是真實地連結 了6bone的情況下做的.
檢查DNS對IPv6地址的解析能力
因為這幾年Domain Name System (DNS)安全的不斷升級, 它們中的大部份都具備 了對IPv6 地址類型AAAA的解析能力. (新的類型A6 只有BIND9和更高的版本支 持)檢查DNS對IPv6地址的解析能力: ______________________________________________________________
# host -t AAAA www.join.uni-muenster.de ______________________________________________________________
將得到下面的結果: ______________________________________________________________
www.join.uni-muenster.de. is an alias for ns.join.uni-muenster.de.ns.join.uni-muenster.de. has AAAA address 3ffe:400:10:100:201:2ff:feb5:3806 ______________________________________________________________
IPv6-ready telnet clients
IPv6-ready telnet 客戶端. 對它進行一個簡單的測試: ______________________________________________________________
$ telnet 3ffe:400:100::1 80Trying 3ffe:400:100::1...Connected to 3ffe:400:100::1.Escape character is '^]'.HEAD / HTTP/1.0HTTP/1.1 200 OKDate: Sun, 16 Dec 2001 16:07:21GMT Server: Apache/2.0.28 (Unix)Last-Modified: Wed, 01 Aug 2001 21:34:42 GMTETag: "3f02-a4d-b1b3e080"Accept-Ranges: bytesContent-Length: 2637Connection: closeContent-Type: text/html; charset=ISO-8859-1Connection closed by foreign host. ______________________________________________________________
如果telnet只出現"cannot resolve hostname", 說明作業系統的IPv6還未激活.
openssh
openssh已經支持IPv6, 但必需對它用以下的參數進行編譯後才能使用: * --without-ipv4-default: the client tries an IPv6 connect first automatically and fall back to IPv4 if not working * --with-ipv4-default: default connection is IPv4, IPv6 connection must be force like following example shows: ______________________________________________________________
$ ssh -6 ::1user@::1's password: ******[user@ipv6host user]$ ______________________________________________________________
如果您的ssh不能對 -6 進行反應, 可能作業系統的IPv6還未激活,或ssh的版本 太低.
ssh.com
他們的客戶/服務端程式是免費的.
IPv6-ready web 流覽器
目前支持IPv6的web 流覽器列表: [24]IPv6+Linux-status-apps.html#HTTP.
這些流覽器大部份都存在問題: * 如果 proxy(代理)只支持IPv4, IPv6的請求將會失敗. 方法: 升級proxy * Automatic proxy settings (*.pac) 不能對IPv6的不同請求進行適當的處 理 (written in Java-script and well hard coded in source like to be seen in Maxilla source code).
一些早期的版本不能對IPv6地址進行正確的操作, 如: [25] http://[3ffe:400:100::1]/
一個小測試,顯示在沒有代理的情況下的 URL 和 流覽器.
URLs for testing
測試IPv6最方便的方法是訪問: [26]http://www.kame.net/. 如果海龜是活動 的, 說明連接是通過IPv6進行的, 它不動的話, 說明連接是通過IPv4進行的.
4.6 IPv6-ready server 程式
包括:sshd, httpd, telnetd,
5. 設定interfaces(界面)
5.1 不同的網路設備
一個節點存在不同的網路設備, 可以對它們進行如下分類: * Physically bounded, like eth0, tr0 * Virtually existing, like ppp0, tun0, tap0, sit0, isdn0, ippp0
Physically bounded(物理綁定)
包括 Ethernet 或者 Token-Ring 它們不需要特別的處理.
Virtually bounded(虛擬綁定)
需要特別的支持.
IPv6-in-IPv4 tunnel interfaces
這個interfaces(界面)也稱作sitx, sit 是"Simple Internet Transition" 的 縮寫. 它可以將IPv6的數據包塞進IPv4, 通過IPv4到達另一個地點.
sit0 不能使用在專用的tunnels 上.
5.1.2.2. PPP interfaces
PPP interfaces 從IPv6 enabled PPP daemon 那裡獲得 IPv6 的能力.
5.1.2.3. ISDN HDLC interfaces
具有IP封裝的HDLC IPv6 能力以經包含在核心當中.
5.1.2.4. ISDN PPP interfaces
目前不支持 ISDN PPP interfaces (ippp) aren't IPv6 enabled by kernel. Also there are also no plans to do that because in kernel 2.5.+ they will be replaced by a more generic ppp interface layer.
5.1.2.5. SLIP + PLIP
目前不支持Like mentioned earlier, this interfaces don't support IPv6 transport (sending is OK, but dispatching on receiving don't work).
5.1.2.6. Ether-tap device
Ether-tap devices使用自動的設定.在使用之前先將 "ethertap" 模組掛進來.
5.1.2.7. tun devices
就連我都還沒試過呢! Currently not tested by me.
5.1.2.8. ATM
01/2002: vanilla的核心目前不支持, USAGI 的擴展支持ATM-IPv6
5.1.2.9. 其它的
我漏掉了什麼?
5.2 Bringing interfaces up/down(設定界面的開/關)
使用 "ip"
使用方法: ______________________________________________________________
# ip link set dev <interface> up# ip link set dev <interface> down ______________________________________________________________
例子: ______________________________________________________________
# ip link set dev eth0 up# ip link set dev eth0 down ______________________________________________________________
使用 "ifconfig"
使用方法: ______________________________________________________________
# /sbin/ifconfig <interface> up# /sbin/ifconfig <interface> down ______________________________________________________________
例子: ______________________________________________________________
# /sbin/ifconfig eth0 up# /sbin/ifconfig eth0 down ______________________________________________________________
6. 設定IPv6地址
6.1 列印當前的IPv6地址
使用 "ip"
使用方法: ______________________________________________________________
# /sbin/ip -6 addr show dev <interface> ______________________________________________________________
例子:一個靜態的主機地址 ______________________________________________________________
# /sbin/ip -6 addr show dev eth02: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_ fast qlen 100inet6 fe80::210:a4ff:fee3:9566/10 scope linkinet6 3ffe:ffff:0:f101::1/64 scope globalinet6 fec0:0:0:f101::1/64 scope site ______________________________________________________________
自動設定的地址和它的存活時間: ______________________________________________________________
# /sbin/ip -6 addr show dev eth03: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen? 100inet6 2002:d950:f5f8:f101:2e0:18ff:fe90:9205/64 scope global dynamicvalid_lft 16sec preferred_lft 6secinet6 3ffe:400:100:f101:2e0:18ff:fe90:9205/64 scope global dynamicvalid_lft 2591997sec preferred_lft 604797sec inet6 fe80::2e0:18ff:fe90:9205/10? scope link ______________________________________________________________
使用 "ifconfig"
使用方法: ______________________________________________________________
# /sbin/ifconfig <interface> ______________________________________________________________
例子, 它只列印IPv6地址: ______________________________________________________________
# /sbin/ifconfig eth0 |grep "inet6 addr:"inet6 addr: fe80::210:a4ff:fee3:9566/10 Scope:Linkinet6 addr: 3ffe:ffff:0:f101::1/64 Scope:Globalinet6 addr: fec0:0:0:f101::1/64 Scope:Site ______________________________________________________________
6.2 增加一個IPv6地址
其原理同IPv4的"IP ALIAS"(IP別名)相同
使用 "ip"
使用方法: ______________________________________________________________
# /sbin/ip -6 addr add <ipv6address>/<prefixlength> dev <interface> ______________________________________________________________
例子: ______________________________________________________________
# /sbin/ip -6 addr add 3ffe:ffff:0:f101::1/64 dev eth0 ______________________________________________________________
使用 "ifconfig"
使用方法: ______________________________________________________________
# /sbin/ifconfig <interface> inet6 add <ipv6address>/<prefixlength> ______________________________________________________________
例子: ______________________________________________________________
# /sbin/ifconfig eth0 inet6 add 3ffe:ffff:0:f101::1/64 ______________________________________________________________
6.3 移除IPv6地址
這個不常用, 不要用它移除不存在的地址, 一些早期的核心會因為受不了而掛 掉.
使用 "ip"
使用方法: ______________________________________________________________
# /sbin/ip -6 addr del <ipv6address>/<prefixlength> dev <interface> ______________________________________________________________
例子: ______________________________________________________________
# /sbin/ip -6 addr del 3ffe:ffff:0:f101::1/64 dev eth0 ______________________________________________________________
使用 "ifconfig"
使用方法: ______________________________________________________________
# /sbin/ifconfig <interface> inet6 del <ipv6address>/<prefixlength> ______________________________________________________________
例子: ______________________________________________________________
# /sbin/ifconfig eth0 inet6 del 3ffe:ffff:0:f101::1/64 ______________________________________________________________
7. 設定IPv6路由
7.1 列印現有的路由
使用"ip"
使用方法: ______________________________________________________________
# /sbin/ip -6 route show [dev <device>] ______________________________________________________________
例子: ______________________________________________________________
# /sbin/ip -6 route show dev eth03ffe:ffff:0:f101::/64 proto kernel metric 256 mtu 1500 advmss 1440fe80::/10 proto kernel metric 256 mtu 1500 advmss 1440ff00::/8 proto kernel metric 256 mtu 1500 advmss 1440default proto kernel metric 256 mtu 1500 advmss 1440 ______________________________________________________________
使用 "route"
使用方法: ______________________________________________________________
最新评论