DS:扩展NAT绑定表

Question

我正试着建立一个DS在后面。由于隧道连接到B4s的重叠地址，正常NAT表无法工作(已经尝试过iptables -t nat -A POSTROUTING -j MASQUERADE)，如RFC 6333所述。扩展NAT表还将包含B4发送的数据包的源B4地址，这意味着AFTR随后知道使用哪个隧道来转发数据包。

如何在Linux上进行扩展？

我正在使用一个基于Debian的系统(Ubuntu18.04)。

我正在使用ip tunnel add dslite mode ip4ip6 local <IPv6 address of AFTR> remote <IPv6 address of B4>建立隧道，AFTR在每个隧道接口上有地址192.0.0.1/29，而B4s在它们的隧道接口上有地址192.0.0.2/29。

注意:我注意到在topix上缺乏资源，这是一种耻辱。这正是我在这里问的原因。任何帮助都是非常感谢的！

Answer 1

好吧，我现在已经做好了。让我带你经历一下我设置它的过程。我的配置部分可以重新启动。

首先，我用2 B4s、1 AFTR和手动设置的所有系统测试了这一点。

另外，我假设您的AFTR有IPv6地址2000::1，第一个B4有address 2000::2，第二个B4有address 2000::3。AFTR的广域网接口在这里有一个名称eth0。

我们现在就开始吧。

首先，我手动在AFTR和B4s上创建了隧道。

在反倾销税方面：

root@AFTR:~# ip tunnel add dslite mode ip4ip6 local 2000::1 remote 2000::2
root@AFTR:~# ip tunnel add dslite2 mode ip4ip6 local 2000::1 remote 2000::3
root@AFTR:~# ip link set dslite up; ip link set dslite2 up
root@AFTR:~# ip a add 192.0.0.1/29 dev dslite; ip a add 192.0.0.1/29 dev dslite2

现在我们已经可以在B4s上建立隧道了。在B4 1上：

root@B4-1:~# ip link set dslite up
root@B4-1:~# ip a add 192.0.0.2/29 dev dslite
root@B4-1:~# ip route add default via 192.0.0.1 dev dslite

在B4 2上：

root@B4-2:~# ip link set dslite up
root@B4-2:~# ip a add 192.0.0.2/29 dev dslite
root@B4-2:~# ip route add default via 192.0.0.1 dev dslite

现在隧道被配置起来了。但NAT尚未在AFTR上实施。

root@AFTR:~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 is the Internet side network card)
root@AFTR:~# echo "1 dslite" >> /etc/iproute2/rt_tables
root@AFTR:~# ip route add default dev dslite table dslite
root@AFTR:~# iptables -t mangle -A PREROUTING -i dslite -j MARK --set-mark 1
root@AFTR:~# iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
root@AFTR:~# iptables -t mangle -I PREROUTING -j CONNMARK --restore-mark
root@AFTR:~# ip rule add fwmark 1 iif eth0 table dslite
root@AFTR:~# echo "2 dslite2" >> /etc/iproute2/rt_tables
root@AFTR:~# ip route add default dev dslite2 table dslite2
root@AFTR:~# iptables -t mangle -A PREROUTING -i dslite2 -j MARK --set-mark 2
root@AFTR:~# ip rule add fwmark 2 iif eth0 table dslite2
root@AFTR:~# sysctl -w net.ipv4.fwmark_reflect=1

现在，B4s应该能够到达IPv4 (当然还有IPv6)互联网。但这并不意味着他们可以接触到彼此，在试验时不要忘记这一点。

它终于解决了..。