主机特定的ipv6地址范围，用于在pfsense dhcpv6中旋转的地址

我已经做了一些调整和修补，并在过去的几天里得到了一个好地方。

所以我会写一个我要工作的总结。

刷新主题：我想在我的pfsense框的单个（LAN）接口后创build一个networking。 对networking的要求是提供工作在ipv6地址的networking工作站。 networking不应允许全球networking识别此networking上的设备，但应提供一个选项，以根据此networking中的地址编写防火墙规则。 我希望此networking中的所有主机能够“匿名”浏览网页并保持不明身份，并且我希望此networking中的所有主机对直接连接到我的pfsense框的其他networking具有访问限制。 所以我需要识别每个主机，并写入每个主机（或每个员工angular色）的防火墙规则，限制一些访问内部资源。

据我所知，有三种方法来实现这一点。

1）使用ULAs（唯一本地地址）进行内部通信，并对静态ULAs有访问限制，但使用NAT66进行全局通信，保护主机身份。 这被认为是不好的。

2）在networking中每个员工具有多个angular色（访问级别）的VLAN。 这样防火墙规则就可以基于VLAN来写，忽略了地址，每个主机都可以拥有用于全局和本地通信的GUA（全局唯一地址）。 可能有临时的隐私地址来帮助保护全球networking的身份。 这不是一个选项，因为我想用一个VLAN做这个。

3）仍然保持有一个单一的VLAN与GUA，但分配一个特定的地址范围为每个主机可以旋转其地址。 这样我就可以根据这些范围编写防火墙规则，并用旋转地址保护身份。 这是我想要达到的目标，但是在pfsense中发现是不可能的（与一些商业解决scheme相反）。

现在我find了第四种方法来实现这一点。

4）局域网中的每个主机有两个不同的networking地址：一个ULA和一个GUA。 实际上可以有多个GUA，因为GUA是自动生成的。 我可以通过向networking中的主机发布全局前缀来让路由器通告负责pipe理GUA。 这些GUA随后将被用于到达全球networking，并且主机可以使用隐私（旋转）地址，以使它们不能从全球networking中识别。 至于ULAs：DHCPv6服务器会照顾这些地址，为每个主机提供每个DUID LUA的统计信息。 这些地址可以用于所提到的内部通信，并且基于这些地址写入防火墙规则。 为了使这个工作，我需要每个主机在本地networking只有一个地址，所以我必须禁用RA（路由器通告）这个前缀。 默认情况下，pfsense生成/var/etc/radvd.confconfiguration文件，其中包含所有RA列出的前缀，并且也始终将RAvv6前缀添加到RA。 这样，所有的主机都得到了多个地址，这些地址会导致他们使用隐私地址作为源，而我的防火墙规则是没有用的，所以我注释了为/ etc / inc中的radvd.conf文件生成DHCPv6前缀子句的部分/ services / inc文件，并且DHCPnetworking不再通过路由器通告进行广告。 这样每个主机在这个本地前缀中只有一个地址。 除此之外，我还要确保主机总是使用ULA来访问内部资源和GUA以获取全局资源，这要归功于RFC6724（ https://tools.ietf.org）中的源地址select协议中的第二条规则/ html / rfc6724 ），它说与目的地具有相同范围（全局，本地，链接本地）的源地址将被优先考虑。 由于这个和内部资源有本地地址以及我所有的工作方式我想要的。 唯一的窍门是改变/etc/inc/services.inc文件来注释掉一部分。 此外，我还必须为networking接口的第二个前缀设置一个IP别名types的虚拟IP地址。 所以一个地址被设置为接口（在我的情况下是本地的），另一个（全局地址）被设置为虚拟IP。

所以第四种方式是按预期工作，而且不需要更多的VLAN或NAT66或者pfsense没有提供的function。