Множество ipv6 адресов на одном интерфейсе

а зачем заранее навешивать всю 1000 адресов, когда понадобится, тогда и назначишь нужный IPv6 на интерфейс, в момент обработки входящего соединения на прокси

А что мешает просто взять и потестить всё это?

а на кой черт это нужно?

Ну это понятно, но в итоге-то всё равно окажется херова гора адресов.

Заказчик хочет, лично мне это нахер не нужно: разовый фриланс.

тогда какая разница? делай как хотели, работать будет, а уж скорость какая получится

Они никак не хотели, собственно реализацию надо придумать мне. Вот мне почему-то кажется, что то, что написано в посте - это отстойная реализация, вопрос в том, как сделать лучше.

Без подробностей ничего не понятно. Возможно, тебе нужен iptables.

ну, если требование о жесткой уникальной связи dst-port -> src_ipv6 — внешнее, то от навешивания кучи адресов на интерфейс никак не уйдешь, иначе просто ответ обратно не дойдет

можно, конечно, интерфейс загнать в промиск (работать от рута) и реализовать весь стек протоколов у себя в программе :)

А какие именно подробности нужны?

• Поступает TCP соединение на ipv4:port0 на hostname
• Сервер открывает исходящее соединение от имени ipv6_map[port0] на hostname
• Данные проксируются ipv4:port0<->установленное_соединение_ipv6

Всё происходит в юзерспейсе. Каждому ipv4:portN соответствует свой ipv6N.

давно бы уже написал скрипт, который навешивает 64К адресов на один интерфейс, и проверил :)

Зачем нужен прокси? Он как-то обрабатывает трафик или тупо прокидывает соединение?

Там на входе ещё socks5 авторизация, но к проблеме это не относится. Зачем нужен - вопрос к заказчику, меня он не касается, задача: замапить кучу портов ipv4 на адреса ipv6.

Не, ничего не придумал. Я пытался что-то изобразить с anyip, iptables и NAT, но пока то что предложил Harald самое разумное.

Хотя, я твоего подхода тоже не понимаю. Ты бы попробовал поговорить с заказчиком. Очень часто бывают люди придумают НЁХ для тривиальной задачи и потом страдают с реализацией. Вполне возможно что клиенту вообще нужно не это. В результате, ты ему сделаешь, а у заказчика не заработает то что он хотел.

Короче, выясни сколько адресов нужно забиндить. Если десяток это одно. Если тысячи то тут совсем другие решения нужны.

В задаче сразу стоит условие, что портов пару десятков тысяч и адресов активных пару десятков тысяч, причём адреса меняются раз в N секунд (всего адресов 2^80).

А уточнить, понятное дело, уточню, мне предстоит с ним беседа перед началом работы над заказом, просто нужно предложить предварительный план работ и озвучить возможные косяки. Поднимать стенд и что-то тестить до оплаты неохота, поэтому и задаю вопрос, может кто-то сходу подскажет более оптимальное решение, чем вижу я.

Ну так как соединение закончится, так сразу и убирай этот адрес с интерфейса

а, судя по гуглению в интернетах, рекомендуемые значения для net.ipv6.conf.all.max_addresses это 16, 32 и 64, по дефолту почти везде стоит 16

чтобы этот лимит не превысить. И будет у тебя количество одновременных исходящих соединений с этого интерфейса ограничено net.ipv6.conf.all.max_addresses

По идее можно ещё несколько интерфейсов сделать в виде алиасов и на каждый по несколько IPv6 цеплять.

Ещё в ядре линукса для IPv6 есть фича - каждое новое исходящее соединение открывать с нового рандомного адреса в пределах выделенной подсетки. Не знаю, поможет ли это тебе, но краем уха про что-то такое читал когда-то

Кстати говоря, в опенстеке с нейтроном floating ip реализован почти так. Neutron-l3-agent создаёт отдельный сетевой неймспейс, в котором два интерфейса:

• qr-*, который смотрит в локалку для виртуалок и
• qg-*, который смотрит во внешнюю сеть и на котором висит 100500 IP-адресов.

Но там пакеты летают не через юзерспейс, а полностью в ядре (iptables SNAT + DNAT).

Так что как минимум навешивание кучи адресов на один интерфейс используется в суровом продакшене без проблем. ИМХО и с биндом на все эти адреса проблем возникнуть не должно.

В мире IPv6 интерфейсу присваивается не один адрес, а целая сеть из огромного количества адресов (/64, например). Назначать в качестве исходящего адреса любой произвольный адрес из этой сети вроде бы возможно без всяких извращений.

Зачем ты пишешь nat64? https://tools.ietf.org/html/rfc6146 если что тут все есть.

то ли ночь, то ли ещё чего...

а вот адрес «remote_addr6» означенный клиент (addr4_client) как задаёт ?

к проксе он коннектиться по ipv4, выставляя её адрес как получателя. В зависимости от порта куда он кинулся вы подменяете/выставляете ipv6 отправителя для следующего плеча. А конечный адресат-то, он что один и тот-же всё время??

Не, я на схеме не указал, это socks5, то есть адрес удалённого хоста задаётся как часть socks5 запроса.

В NAT64 инициатором запроса всегда является ipv6 сторона же, у меня клиентами являются как раз ipv4. Или можно nat64 настроить в reverse режиме?

https://tools.ietf.org/html/rfc2529 так?

16 это для всяческих игорь, так что тут более в железо весь воп упёрся..

Есть подозрение что клиент хочет обойти проблему 64К клиентских соединений .... Тоесть когда ваш софт одновременно будет проксировать порядка 64К сессий по каждому порту (а то и более). Тут без кучи IP никак не обойдешся ...