Le 17 sept. 2013 à 14:05, Simon Perreault a écrit : > Le 2013-09-17 13:37, Rémi Laurent a écrit : >> Si j'ai bien compris le princi de NPTv6 je pense que ce genre de >> règle devrait faire l'affaire >> >> match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask >> match out on $if inet6 from any to $pfx2/64 nat-to $pfx1/64 >> bitmask > > Pas tout à fait. Le matching doit être inversé, et il manque l'option > "static-port" avec la règle nat-to pour éviter de NATer les ports. > > match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask > match out on $if inet6 from $pfx2/64 to any nat-to $pfx1/64 bitmask > static-port > > Ou plus simple, en utilisant binat-to et en éliminant les termes > redondants: > > match on $if from $pfx2/64 binat-to $pfx1/64 bitmask > > (static-port est implicite avec binat-to.)
Normalement le NPTv6 est sensé swapper les adresses de manière à préserver le checksum intact. Est-ce que l'implémentation d'OpenBSD le fait ? Emmanuel Thierry --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
