Провайдеры сейчас при блокировке показывают странички типа “нет денег”, но работает это только если установлен их локальный днс. А что делать тем, кто использует Яндекс.ДНС или Скайднс и им подобные сервисы? Как отличить “не работает” от “деньги закончились”?
В голову пришло одно интересное решение на базе iptables: iptables -t nat -A PREROUTING -d 1.2.3.4 -p udp -m udp --dport 53 -j ACCEPT – пускаем всех к своему DNS (1.2.3.4). Если этого не сделать – будет срабатывать переброс для переброса для переброса от переброса. В общем работать не будет наша задумка. iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p udp -m udp --dport 53 -m set --match-set allow_users src -j ACCEPT – этим пускаем к внешним ДНС тех, у кого деньги есть iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p udp -m udp --dport 53 -j DNAT --to-destination 1.2.3.4:53 – а этим перебрасываем на свой ДНС (1.2.3.4) тех, кого не разрешили выше.
Мне периодически задают вопрос "а как лучше подключиться к IPv6, если провайдер не поддерживает?" и мне надоело каждый раз писать ответы заново. Пусть тут полежит.
6to4:
+ работает "автомагически" на любом реальном IPv4-адресе. (на Win7/vista включёно по умолчанию, на winxp включается сразу после установки TCP/IP IPv6) Тунель 6to4 на любом внешнем IPv4 адресе
+ для связи между 6to4 адресами используется связь между IPv4-адресами "напрямую" минуя шлюзы (не падает "пинг" и скорость)
+ есть возможность иметь постоянный адрес (при постоянном IPv4) и настроить обратную DNS-зону.
- требует наличие реального IPv4-адреса
- 6to4-релей может быть очень далеко, или вовсе не работать.
- если что-то не работает - довольно сложно бывает найти причину и устранить
- traceroute рисует много звёзд и не красиво :-)
- непредсказуемый "пинг". Часто высокий. teredo:
+ работает почти из-за всех NAT
+ не требует реального IPv4-адреса
+ альтернативные teredo-сервера проще выбирать/настраивать чем у 6to4. И вообще вот список:
teredo.ipv6.microsoft.com
teredo.remlab.net
teredo2.remlab.net
teredo.solar6.net
debian-miredo.progsoc.org
teredo.ginzado.ne.jp
teredo.iks-jena.de
+ для p2p проще проковырять один туннель, чем маяться с пробросом портов, если это вообще возможно.
- если что-то не работает - довольно сложно бывает найти причину и устранить
- traceroute рисует много звёзд и не красиво :-)
- нет возможности сделать обратную DNS-запись
- каждый раз разный адрес.
- непредсказуемый "пинг". Часто высокий.
Впрочем оба варианта это костыли (хоть и порой вынужденные) для получения IPv6. Трясите своего провайдера на тему IPv6 и может быть он задумается о вводе IPv6 на своей сети.
Есть ещё один "костыль", хоть и более-менее "прямой" - туннельные брокеры.
+ есть кому пожаловаться что не работает. Диагностировать довольно легко.
+ постоянный IPv6 адрес. Часто выдают целую подсеть.
+ возможность настройки обратной DNS-зоны
+ некоторые типы туннелей легко проходят через любые NAT-ы и даже proxy-серверы (vtun/openvpn).
+ traceroute рисует красивые маршруты :-)
+ при выборе туннельного брокера часто можно выбрать ближайший сервер. "пинг" может быть приемлемым (~10-70мс).
- это всё же не нативное подключение и туннель может добавить "лишней" нагрузки и увести маршрут до соседнего подъезда через половину земного шара
Ну и пользуясь случаем - если у провайдера нет IPv6, он еб^Wстранный и зачем-то блокирует и 6to4 и teredo или 6to4/teredo просто не хочется - милости прошу - выдам и туннель, и адреса и сеть. Пишите почтой на mikhail собака (этот домен) или в jabber - antmix@stopicq.ru
Если стало интересно и хочется попробовать - здесь более подробно описаны варианты подключения IPv6 с практической стороны.
Комментарии | 
опубликовано: Окт 10, 23:31