訳註: これは作業してる最中のもので、本来、訳作業者以外は見えぬべきものです。 訳作業者以外は見ないでください。意味が反対になったりとか当然にあるから、 内容は利用しないでください。この言語への変換作業(翻訳作業)物に関しては、現在、オープンなライセンス条件ではありません。 十進240のコードのキャラクターを<240>に置換してる場合あり
Chapter24.Setting up TCP/IP on NetBSD in practice

Table of Contents

24.9. IPv6 Connectivity & Transition via 6to4
24.9.10. Tunneling 6to4 through an IPFilter firewall

24.9.IPv6 Connectivity & Transition via 6to4

訳者註開始: この 24.9 節は、訳者の昔の作業、 short guide( http://nobug.tukusi.ne.jp/netbsd-guide/ ) の 10.2.4 節からとほぼ同じです。 作業がおわるまで、そちらを御覧くださいな。と。
24.9.10.Tunneling 6to4 through an IPFilter firewall 節が旧版にはなかったので
そこを先行掲載します。

違うとこって言えば、

たぶん、最新版の 24.9.8.Quickstart using pkgsrc/net/hf6to4 が
ふるい short guide のでは 10.2.4.8 でパッケージ名が pkgsrc/net/6to4 であったのとか、
24.9.9 の 6to4.ipv6.fh-regensburg.de というさーばーが NetBSD 1.5 から 1.6 にかわってたり
RFC 文書が世代交代してるのがあるかも(ドラフトから格上げも含む)といったかんじでしょうか。 NetBSD 1.5.2 の設定という時代のドキュメントだそうですし。
違うって言えば、 IPv6 の基本仕様自体が変化しつつあります。

:訳者註終了。

24.9.10.Tunneling 6to4 through an IPFilter firewall

6to4 プロトコルは IPv6 パケットを IPv4 のカプセルの中に包み、 直接 "TCP" 、 "UDP" または "ICMP" のペイロード type を示すのと同じように、 ほとんどのファイヤーウォールが unknown としてブロックする固有の IP type を与えます。 たいてい、(IPv4) インターネットに直接つながった 同じ機械上に 6to4 ゲートウェイを設定したくなり、 およびたいていファイヤーウォールが runs している    よね。     その場合、ファイヤーウォールの影に隠れたところで your 6to4 ゲートウェイを run したいでしょ。 6to4 パケットを通すのには、 you がファイヤーウォール(漢字で書くと防火壁)にドリルで穴を開ける必要があります。 それをやるところは、ここ! だ。

この例は、ファイヤーウォールでは、 インターネットの接続に "ppp0" インターフェースを使うと仮定しています。

次の行を /etc/ipf.conf の中に入れることで、 IPFilter ファイヤーウォールに 6to4 パケットを通過させることを許します。 (行が \ と共に切れていますが、 space(文字数) 制限のためで; それらの行は、つないで一行にしてください):

# Handle traffic by different rulesets
block in  quick on ppp0 all head 1
block out quick on ppp0 all head 2

### Incoming packets:
# allow some IPv4:
pass  in  log quick on ppp0 proto tcp from any to any \
port = www flags S keep state keep frags  group 1
pass  in      quick on ppp0 proto tcp from any to any \
port = ssh keep state         group 1
pass  in      quick on ppp0 proto tcp from any to any \
port = mail keep state        group 1
pass  in  log quick on ppp0 proto tcp from any to any \
port = ftp keep state       group 1
pass  in  log quick on ppp0 proto tcp from any to any \
port = ftp-data keep state      group 1
pass  in  log quick on ppp0 proto icmp from any to any        group 1
# allow all IPv6:
pass in       quick on ppp0 proto ipv6       from any to any  group 1
pass in  log  quick on ppp0 proto ipv6-route from any to any  group 1
pass in  log  quick on ppp0 proto ipv6-frag  from any to any  group 1
pass in  log  quick on ppp0 proto ipv6-icmp  from any to any  group 1
pass in  log  quick on ppp0 proto ipv6-nonxt from any to any  group 1
pass in  log  quick on ppp0 proto ipv6-opts  from any to any  group 1
# block rest:
blockin  log  quick on ppp0 all                               group 1

### Outgoing packets:
# allow usual stuff:
pass  out     quick on ppp0 proto  tcp from any to any flags S \
keep state keep frags group 2
pass  out     quick on ppp0 proto  udp from any to any         \
keep state keep frags group 2
pass  out     quick on ppp0 proto icmp from any to any         \
keep state            group 2
# allow all IPv6:
pass out      quick on ppp0 proto ipv6       from any to any  group 2
pass out log  quick on ppp0 proto ipv6-route from any to any  group 2
pass out log  quick on ppp0 proto ipv6-frag  from any to any  group 2
pass out log  quick on ppp0 proto ipv6-icmp  from any to any  group 2
pass out log  quick on ppp0 proto ipv6-nonxt from any to any  group 2
pass out log  quick on ppp0 proto ipv6-opts  from any to any  group 2
# block rest:
block out log quick on ppp0 all             group 2

いま、 your ネットワーク上のいかなるホストも v4-カプセル化された IPv6 パケット を send でき("out" ルール)、 receive でき("in" ルール)、 6to4 ゲートウェイとしてのどんな設定も許します。 もちろん、1つのホスト上でこれをしたい、それに、 your ホストとの間で native IPv6 が使いたいだけで、加えて、これを、もっと制限されたルールセットで 行いもしたいのかもしれません、 IPFilter 規則の更なる情報は、どうか ipf.conf(5) を御覧くださいまし。

your ファイヤーウォールがカプセル化された IPv6 パケットを pass するようにした後、 your 6to4 ゲートウェイ で IPv6 トラフィックのモニターができる設定をしたいでしょう。 あるいは制限されていてもしたいでしょう(訳者註:原著がそう見えるので。 この時点では、たとえ自分のネットワークが大きな組織でも、まだ、外部方向には IPv6 が 公開されていないでしょうから、通るパケットはテスト目的だけではないかと。「でも、」 IPv6 は自動設定等のために ICMPv6 パケット以外にも、 UDP/TCP パケットとかもいろいろある((可能性を)指摘しておく)から、注意してね)。 そうするためには、 your 6to4 ゲートウェイの IPFilter を設定する必要があります。 基礎的な monitoring には、 /etc/rc.conf の "ipfilter=yes" を enable にし、 /etc/ipf6.conf の中に以下を入れます:

pass in  log quick on stf0 from any to any
pass out log quick on stf0 from any to any

これは、 your "stf0" トンネルインターフェースから in (入ってくる)および out (出て行く)に進む 全ての (IPv6) トラフィックを log (記録)します。もし必要なら、フィルタールールの追加ができます。

traffic stats について、 your ネットワーク traffic の一般的概観よりも さらなる興味があるなら、IPFilter log ファイルの解析に代わって、 "net-snmp" パッケージと接続した MRTG の利用がお勧めです。