パケットに付けたtagは、divertルール等でカーネル外に出ると失われる (in-kernel nat actionでも同様にtagが剥がれる模様 2021-07-07 追記)
- divertを挟んでの単純なtagベースのフロー制御は機能しない
- tagged skiptoと組み合わせて、別々のdivertを潜らせるという解もあるが、性能を考えると設計で回避すべき
NATがある環境では、incommingとoutgoingでNAT通過後の内側アドレスが異なるので、動的ルールを使う場合はどのポイントで動的ルールを生成するか・ごのポイントで動的ルールアクションを発生するかを意識する必要がある
- keep-stateの代わりにdefer-action付きのrecord-stateを用いることで、動的ルール生成とアクション適用点(check-state)を分離できる

境界ルーター上では、IPv6通信がつかえるようになった

実用レベルでIPv4 over IPv6を使うには、プロバイダー側がMAP-Eなのv4 NATの実装が面倒だし、外部からのIPv4着信を考えるとIPv4 PPPoE接続も維持して、用途によってIPv4経路を選択する必要があるので、routing tableの多重化を行い接続経路やjail/socketにFIBを設定する必要がある

[ツッコミを入れる]

カテゴリー: Admin | Emacs | EPICS | Fortran | FreeBSD | GCC | hgsubversion | IPv6 | KEKB | LHC | Lisp | LLVM | MADX | Ryzen | SAD | samba | tDiary | unix | WWW | YaSAI | お仕事 | イベント | 出張 | 宴会 | 数学 | 艦これ | 買いもの | 追記 | 雑記