Netfilter-Entwickler arbeiten an NAT für ip6tables

Patrick McHardy hat auf der Entwickler-Mailingliste des Netfilter-Projekts Patches für den unter Linux laufenden IPv6-Paketfilter ip6tables veröffentlicht, mit dem die Software Adressinformationen in IPv6-Datenpaketen durch andere ersetzen kann (Network Address Translation, NAT). Der Netfilter-NAT-Patch passt laut McHardy den bislang nur mit IPv4 laufenden Quelltext auf die Erfordernisse von IPv6 an. Mit dem Patch stehen dem IPv6-Paketfilter Ziele wie SNAT/DNAT sowie MASQUERADE, REDIRECT und NETMAP zur Verfügung. Außerdem wurden die NAT-Helfer-Module für FTP sowie SIP an IPv6 angepasst.

Als Gründe für diese Anpassungen nannte McHardy "legitime Einsatzzwecke für IPv6 NAT", die er allerdings nicht näher beschreibt. Außerdem wolle man damit den IPv6-NAT-Entwicklungen verschiedener Hersteller zuvorkommen respektive den bereits vorhandenen Systemen etwas entgegen setzen: Eine "gut getestete Implementierung für alle" sei besser als viele unterschiedliche Selbstentwicklungen, schreibt McHardy. So steht etwa bereits seit dem Sommer 2011 eine NAT66-Implementierung von Terry Moës auf Sourceforge bereit.

Die NAT-Technik wurde Anfang der 90er Jahre des vorigen Jahrhunderts (RFC 1631) aus dem bereits damals absehbaren Mangel an IPv4-Adressen entwickelt und hat das Leben des noch mehrheitlich genutzten IPv4 deutlich verlängert: NAT versteckt hinter wenigen global gültigen und öffentlichen Adressen viele Einzelgeräte, die in lokalen Netzen mit privaten und häufig wechselnden IP-Adressen arbeiten. IPv6 verspricht demgegenüber, jeder Netzwerk-tauglichen Kaffeemaschine mindestens eine global erreichbare und feste Adresse zuweisen zu können. NAT-Verfahren hebeln hingegen das Ende-zu-Ende-Prinzip des Internets aus und erschweren die Entwicklung von Netzwerkprogrammen. Einige Befürworter sehen jedoch gerade darin Vorteile, denn durch NAT könne man die Struktur ganzer LANs verschleiern.

Siehe dazu:

• RFC 6296: IPv6-to-IPv6 Network Prefix Translation

(rek)