9、IPv6网络服务与数据包过滤配置指南

IPv6网络服务与数据包过滤配置指南

1. DNS与数据包过滤

1.1 DNS现存问题

DNS服务已能正常运行，使我们无需手动输入IPv6地址，但仍有两个问题有待解决：
- 服务器地址配置 ：在IPv4和DHCP环境中，不仅会分配地址配置，还会分配重要服务器（如DNS和NTP服务器）的地址。目前，我们仍需在网络中的所有机器上手动配置这些地址。
- 无状态自动配置的DNS更新缺失 ：无状态自动配置机制虽强大，但缺少像DHCP服务器那样更新DNS的功能。不过，已有一些部分解决方案可简化DNS管理。

1.2 数据包过滤与DNS的交互

数据包过滤与DNS以两种独立方式相互作用：控制哪些机器可以查询哪些名称服务器，以及可能在其自身配置中使用DNS名称。

1.2.1 过滤规则

与IPv4一样，DNS通常使用UDP 53端口进行正常查询。根据DNS实现，数据报可能限制为512字节。如果DNS消息太大无法放入数据报，DNS将自动回退到TCP 53端口。区域传输则始终使用TCP进行。

在IPv4中，通常只允许UDP查询通过数据包过滤器，但在IPv6中，这会成为问题。因为IPv6地址使单个资源记录变大，且每个域名的DNS记录往往更多。如果运行权威名称服务器，应允许TCP，或确保所有资源记录集足够小，能放入UDP数据报。转发服务器和客户端应允许UDP和TCP 53端口。

1.2.2 过滤配置中的DNS名称

在编写包含单个节点规则的数据包过滤配置时，会面临一个常见困境：应将单