Патрик МакХарди (Patrick McHardy) представил (http://marc.info/?l=linux-netdev&m=132185445023922) в списке рассылке linux-netdev первою тестовую реализацию IPv6 NAT для Netfilter (http://www.netfilter.org), подсистемы для фильтрации и преобразования пакетов в ядре Linux. На данном этапе разработки код еще не готов к повседневному применению и содержит проблемы с асинхронной передачей пакетов и их окончательной сборкой. Тем не менее, в скором времени IPv6 NAT планируется довести до полностью работоспособного состояния и направить запрос на включение в следующий релиз ядра Linux.
IPv6 NAT позволяет осуществить подмену адресной информации в пакетах IPv6 в соответствии с заданными правилами трансляции, примерно так как это делается в классическом трансляторе адресов для IPv4. Для реализации поддержки IPv6 NAT, существующий в ядре код netfilter был переработан с целью разделения модуля NAT на два независимых компонента, один из которых включает в себя ядро подсистемы NAT, а второй реали...URL: http://marc.info/?l=linux-netdev&m=132185445023922
Новость: http://www.opennet.me/opennews/art.shtml?num=32395
> Напомним, что сама идея NAT заключалась в том, чтобы обойти проблему нехватки IPv4-адресов и не соответствует концепции IPv6 как сети, в которой каждое устройство, подключенное к интернет, должно иметь свой собственный выделенный IPv6-адрес.но если вдруг наши "замечательные" интернет-провайдера задумают при подключении абонента -- не выдывать более чем один IPv6-адрес -- то добро пожаловать опять в этот каменный век NAT-технологий :-/
NAT скорее понятие безопасности, причем тут каменный век.
какую безопасность подразумевает nat, если не секрет?
Установка mission-critical-машины за NAT-ом, не?))
http://ru.wikipedia.org/wiki/DMZ_%28%D0%BA...
не!
нет
Решать это NAT'ом - все равно что загораживать дорогу грузовиками вместо противотанковых ежей. Разница в том, что в ipv4 грузовики бесплатные.
Пардон, то есть не бесплатные, а уже "включены в стоимость".
В принципе иногда огородить хомяков натом проще. Способ так себе, но работает. Хоть машины голой жопой в инет не торчат.
> какую безопасность подразумевает nat, если не секрет?Ну смотрите.
Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.
В итоге список портов одной windows XP получился такой:
135-139:TCP - netbios
445:TCP - SYSTEM
1025:TCP - SVCHOST.EXE
1028:TCP - ALG.exe - Служба шлюза уровня приложения
5000:TCP - UPnP - UniversalPlugandPlay, безконфигурационное подключение сетевых девайсов.
135-139:UDP - netbios
445:UDP - SYSTEM
500:UDP - LSASS.EXE - Службы IPSEC
1027:UDP - SVCHOST.EXE - (фантом живет пару минут после старта)
1900:UDP - SVCHOST.EXE - Служба обнаружения SSDP
4500:UDP - LSASS.EXE - Службы IPSECЭто порты одной только windows.
А теперь 3 утверждения насчет windows:
1. Фиг его знает, какие _ещё_ порты открывают службы windows XP.
2. Фиг его знает, как сильно поменялся набор портов windows Vista/7.
3. Фиг его знает, какие порты будут открыты в windows 8.Плюс есть службы, которые запускаются на время.
И засечь какие порты они слушают - нужно посидеть постараться.Плюс, могут быть службы на рандомных портах.
Ведь RPC-вызовы как раз и используют случайные номера портов.
А windows очень любит RPC.Плюс, есть ещё просто программы, которые открывают порты.
Особенно "радуют" программы, предустановленные производителем компов/ноутбуков.
Помнится, порадовал набор sony vaio.
Точно не помню, но было что-то типа такого: сервер справки, сервер http для сервера справки, ещё один сервер для сервера справки и т.д.)Плюс, есть не только windows, но и mac os и линуксы разные.
Если делать фаерволл не только для себя, а для всех, нужно учесть популярные *nix службы.
cups, avahi и т.д.
Плюс порты, которые открывает mac os.А ещё...)
А ещё стоит упомянуть 100500 устройств типа телефонов, точек доступа, телевизоров, wifi клавиатур и любых других устройств, подключаемых по сети.
Какие там могут быть открыты порты - вообще никаких гарантий.
Что взбредет разработчикам прошивок, то и откроют.
Про качество прошивок и про дефолтные пароли тоже не забываем.Но и это ещё не все:)
Ибо всегда может появиться какая-нибудь новая хрень, с открытыми портами и дырявыми паролями.
Какой-нибудь чудо девайс с открытым ssh портом и известным дефолтным паролем на root.Поэтому список портов и служб, которые надо закрывать... это большой список)
И этот список постоянно меняется.
Его нужно поддерживать в актуальном состоянии.А ещё надо - не закрыть нужные порты!
Например, у одного юзера открыта дырявая веб-камера без пароля - надо закрыть.
А у другого вполне себе не дырявая веб-камера, которой он пользуется через интернет - надо открыть.
Если вы - провайдер, который заикается о безопасности для своих пользователей, то у вас появляется очень много работы)Поэтому, ну нах.
Лучше закрыть домашнюю сеть NAT'ом.
А нужные порты пробрасывать вручную или через upnp.
upnp, кстати, поддерживают даже роутеры 2-3 летней давности.Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)
> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)А не приходила в голову мысль, что вместо того чтобы закрывать все ненужные порты можно открыть только нужные? И сразу жизнь наладится и упроститься...
>> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)
> А не приходила в голову мысль, что вместо того чтобы закрывать все
> ненужные порты можно открыть только нужные? И сразу жизнь наладится и
> упроститься...Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.
Тот же skype - надо ему пробросить порт, посылает запрос на роутер.
uTorrent тоже это умеет.
Вместо NAT можно поставить фаерволл (настроить на компе или железку).
Но технологии, аналогичной upnp (когда устройство само просит разрешить доступ) - нету.
Можно, конечно, ручками открывать - но это уже другой уровень геммороя.
IGD - довольно уродливый костыль, возникший как попытка решения кучи проблем, созданных натом. И попытки гордиться этим убожеством выглядят весьма нелепо.
И skype, и utorrent, и все программы которые умеют upnp, умеют (или очень быстро научатся) точно также и добавлять разрешающие правила в виндовый фаервол, что почти устраняет данную проблему
(не договорил)...почти устраняет данную проблему на винде. Почти - потому что есть куча сторонних фаерволов, которые никто не стандартизовывал. Но это полностью их проблемы. На никсах такой проблемы нет в принципе.
> И skype, и utorrent, и все программы которые умеют upnp,1) У upnp своих проблем с безопасностью хватает
2) Совместимость не всегда 100%, особенно у китайских роутеров и индусского скайпа.
3) Это усложняет софт и требует таскать больше кода, больше багов, больше дыр.Можно сперва создать себе проблема а потом героически их забороть. Но зачем?
Перечитайте пост, я же с вами не спорю, наоборот хотел сказать, что отсутствие аналога upnp в по умолчанию закрытом ipv6-фаерволе - это не проблема, даже в массовых масштабах.
> Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.А покажи-ка мне реализацию IGD для IPv6, дружок.
> Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.Ага, например, джаваскрипт из браузера просит пробросить ему снаружи порты самбы...
> Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.Стоп, так вы об upnp или о безопасности? Они же взаимно исключают друг друга.
Если вы включили на своем роутере управляемый проброс портов средствами upnp - значит, вы фактически выставили всю свою локалку голой задницей в интернет.
> значит, вы фактически выставили всю свою локалку голой задницей в интернет.А это называется декоративная безопасность. Вроде выглядит как безопасность а по факту - вот так вот. Некоторые настолько увлекаются ИБД что умудряются надуть даже самих себя.
> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)Есть. Называется "брандмауэр" (aka firewall).
> Есть. Называется "брандмауэр" (aka firewall).Админы локалхостов (а именно они здесь с умным видом рассуждают о безопасном nat) о такой штуке не знают.
Впрочем, особо умные таки знают, что она есть, но изучать боятся.
>> Есть. Называется "брандмауэр" (aka firewall).
> Админы локалхостов (а именно они здесь с умным видом рассуждают о безопасном
> nat) о такой штуке не знают.
> Впрочем, особо умные таки знают, что она есть, но изучать боятся.Извините, вы сети каких размеров админили?)
Вот придет к вам друг с ноутбуком.
Подключится к вашему wifi.
Получит ip по DHCP.
Выйдет в интернет.
Захочет пообщаться через skype или sip (особенно h.323, которому открытый порт подавай).
Если у вас роутер с NAT и upnp, то voip программа сама себе нужный порт пробросит.
А если у вас роутер без NAT, но с фаерволлом - как вы это будете делать?
Сначала посмотрите, какой ip получил ноут, потом посмотрите, какой порт нужно открыть?)
>[оверквотинг удален]
> Вот придет к вам друг с ноутбуком.
> Подключится к вашему wifi.
> Получит ip по DHCP.
> Выйдет в интернет.
> Захочет пообщаться через skype или sip (особенно h.323, которому открытый порт подавай).
> Если у вас роутер с NAT и upnp, то voip программа сама
> себе нужный порт пробросит.
> А если у вас роутер без NAT, но с фаерволлом - как
> вы это будете делать?
> Сначала посмотрите, какой ip получил ноут, потом посмотрите, какой порт нужно открыть?)У меня шлюз на линуксе, который, внезапно, поддерживает обратные соединения безо всяких костылей.
> У меня шлюз на линуксе, который, внезапно, поддерживает обратные соединения безо всяких
> костылей.Вот благодаря таким как вы самоуверенным в безопасности NAT и существует очень серьезная проблемма безопасности
Я понимаю если бы вы сказали IPNAT или NGNAT но та реализация как просто стандартный NAT ето самая что ни на есть дыра
> Вот благодаря таким как вы самоуверенным в безопасности NAT и существует очень
> серьезная проблемма безопасности
> Я понимаю если бы вы сказали IPNAT или NGNAT но та реализация
> как просто стандартный NAT ето самая что ни на есть дыраВо-первых, я о безопасности NAT не говорил, во-вторых, ipnat в линуксе выкинули еще во времена 2.3 :)
А что вам не нравится в стандартном NAT в Linux? И какие нестандартные NAT вы знаете? В Linux есть ровно 3 вида NAT - SNAT, DNAT и MASQUERADE (суть которого - всё тот же SNAT). И есть модули для него и для фаерволла, которые анализируют трафик сложных протоколов и пускают ответный трафик. У меня на шлюзе подгружены 4 таких модуля:nf_conntrack_ftp
nf_nat_ftp
nf_conntrack_pptp
nf_nat_pptpДыр в этой реализации NAT, да ещё и прикрытой фаерволлом закрытым по умолчанию, я не знаю.
> А что вам не нравится в стандартном NAT в Linux?Судя по тому, что он считает единственно верными ipnat и ng_nat (местечковые реализации NAT во фре, практически не поддерживают протоколы с обратными соединениями), мы имеем дело с очередным носителем света истины, не знакомым с матчастью.
> Извините, вы сети каких размеров админили?)Не вижу смысла отвечать на этот вопрос человеку, который путает IGD с UPnP.
> А если у вас роутер без NAT, но с фаерволлом - как
> вы это будете делать?
> Сначала посмотрите, какой ip получил ноут, потом посмотрите, какой порт нужно открыть?)Не знаю, как у вас на виндах, а у нас в линуксе фаервол нормально отрабатывает такие протоколы.
>> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)
> Есть. Называется "брандмауэр" (aka firewall).Может вы прочтете мое сообщение с начала и видите строчку "Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом." ?
А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)
> А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)Закрыть на шлюзе доступ к хосту его подсети из внешних сетей - вполне тривиальная задача. Жаль, что вы этого не понимаете.
>> А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)
> Закрыть на шлюзе доступ к хосту его подсети из внешних сетей -
> вполне тривиальная задача. Жаль, что вы этого не понимаете.Я говорю про брандмауер на клиентской машине.
Жаль, что вы этого не поняли
>> какую безопасность подразумевает nat, если не секрет?
> Ну смотрите.Смотрим.
> Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.
Делаем первые выводы:
1) Бсдельник как обычно равняет все по винде, потому что его ось на десктопе просто швах.
2) Файрволом вы тоже пользоваться не умеете. Иначе б знали что нормальный сценарий это "все убить а потом разрешить нужное".
3) То что в винде по дефолту - жалкое подобие файрвола, чисто для галочки. И даже в 2008 R2 их "advanced" файрвол снабжен рядом таких кретинизмов что нормальным фаерам и не снились. Это как блок питания в дешевом корпусе - вроде бы есть, но при попытке отожрать с него написанные на нем якобы 300 ваттов он просто умирает. Или как китайские вентиляторы для корпуса, которые вроде на настоящий вентиль и похожи, но в отличие от - умудряются сдохнуть за 2 недели работы.
4) Некоторые протоколы в винде, например, RPC в винде крайне недружествены натам и фаерам. Виндозный файер содержит спецчит, но в остальных его может и не быть. Впрочем провы все-равно порезали все виндозное г-но у себя на железках. Их вирусы заканали и они в массе своей просто закрыли все опасные виндозные порты.> В итоге список портов одной windows XP получился такой:
> 135-139:TCP - netbios(обычно удавлено провами, ибо решето)
> 445:TCP - SYSTEM(обычно удавлено провами, ибо решето)
> 1025:TCP - SVCHOST.EXE
Динамическое назначение исходящих портов или RPC.
> 1028:TCP - ALG.exe - Служба шлюза уровня приложения
По идее это кусок файрвола и есть. Зачем ему 1028 - ??
> 5000:TCP - UPnP - UniversalPlugandPlay, безконфигурационное подключение сетевых девайсов.
Ага. Забавный сервис, в плане абуза не по назначению. Позволяет редиректить порты без аутентификации :)
> 135-139:UDP - netbios
(обычно удавлено провами, ибо решето)
> 445:UDP - SYSTEM
(обычно удавлено провами, ибо решето)
> 500:UDP - LSASS.EXE - Службы IPSEC
???
> 1027:UDP - SVCHOST.EXE - (фантом живет пару минут после старта)
Динамически назначаемый порт для исходящих датаграм?
> 1900:UDP - SVCHOST.EXE - Служба обнаружения SSDP
Бюро Медвежьих Услуг :)
> 4500:UDP - LSASS.EXE - Службы IPSEC
> Это порты одной только windows.Ну так скажите спасибо МС за то что они превратили систему в бюро медвежьих услуг. Настолко ядрено что нетбиос например удавлен всеми провами которых достали постоянные вирусы через маздайные шары.
> А теперь 3 утверждения насчет windows:
> 1. Фиг его знает, какие _ещё_ порты открывают службы windows XP.
> 2. Фиг его знает, как сильно поменялся набор портов windows Vista/7.
> 3. Фиг его знает, какие порты будут открыты в windows 8.Сразу видно профессионального сисадмина, который понятия не имеет что творится у него в системе. С такими господами вы легко повторите участь LSE и DigiNotar. Вперед к новым достижениям, господа.
> Плюс есть службы, которые запускаются на время.
> И засечь какие порты они слушают - нужно посидеть постараться.А ничего что вы настолько некомпетентны что вообще не понимаете как настраивать файрвол? Стандартная политика: DENY ALL, ALLOW (what really needed). При таком подходе вам будет наплевать сколько там служб. Если они вам не нужны - вреда от них не будет. Так на фаере осядет и нежелательная активность всех вирей/троянов и самой ОС, которая недалеко от них ушла с ее кучей медвежьих услуг и дыр.
> Плюс, могут быть службы на рандомных портах.
> Ведь RPC-вызовы как раз и используют случайные номера портов.
> А windows очень любит RPC.А еще она очень любит троянов. Нормально настроеный фаер может в принципе зарубить и исходящий трафф большинства троянов, сохранив вам банковские реквизиты, пароли и что там у вас еще. Но недо-администраторы о такой фигне не знают. Зато аватар себе понавесили, угумс.
> Плюс, есть ещё просто программы, которые открывают порты.
> Особенно "радуют" программы, предустановленные производителем компов/ноутбуков.
> Помнится, порадовал набор sony vaio.1) Вы не умеете пользоваться файрволом.
2) Вы не контролируете свою систему.Чего удивляться то тому что это помойка, независимо от наличия ната? Вам достаточно подцепиться к открытой точке доступа таким ноутом и ... и от интранета в который вы попали, где водится неизвестно что вас никакой нат защищать ВНЕЗАПНО не будет. И все что там есть - обрушится на вашу гранд-помойку.
> Точно не помню, но было что-то типа такого: сервер справки, сервер http
> для сервера справки, ещё один сервер для сервера справки и т.д.)
> Плюс, есть не только windows, но и mac os и линуксы разные.Какое красочное оправдание разведенной вами помойки и кривого администрирования.
> Если делать фаерволл не только для себя, а для всех, нужно учесть
> популярные *nix службы.
> cups, avahi и т.д. Плюс порты, которые открывает mac os.Если делать файрвол то надо тупо перекрыть в WAN и из WAN все что не нужно. Зачем вам вывешивать CUPS и Avahi в WAN? Хотя конечно позволить всему миру печатать на своем принтере - достаточно оригинально :)
> А ещё...)
> А ещё стоит упомянуть 100500 устройств типа телефонов, точек доступа, телевизоров, wifi
> клавиатур и любых других устройств, подключаемых по сети.
> Какие там могут быть открыты порты - вообще никаких гарантий.Так и скажите: вы не умеете пользоваться файрволами. Все с вами понятно.
> Что взбредет разработчикам прошивок, то и откроют.
> Про качество прошивок и про дефолтные пароли тоже не забываем.
> Но и это ещё не все:)
> Ибо всегда может появиться какая-нибудь новая хрень, с открытыми портами и дырявыми паролями.
> Какой-нибудь чудо девайс с открытым ssh портом и известным дефолтным паролем на root.По этому поводу могу посоветовать:
1) Осознать уже наконец как надо настраивать файрволы.
2) Заменить прошивку на сетевом девайсе-роутере выступающем гейтвеем на что-то типа openwrt, авторы которого не такие адские лабухи как кетайцы из длинков, тплинков и прочих асусов, которые даже параметры CONNTRACK прописать нормально не могут. Так что после получаса работы торента девайс клинит, т.к. полностью кончилась память и девайс приходит в себя только после пинка вачдогом.> Поэтому список портов и служб, которые надо закрывать... это большой список)
> И этот список постоянно меняется. Его нужно поддерживать в актуальном состоянии.Поэтому надо научиться уже пользоваться файрволами на уровне человека, а не обезьяны. И проблема отпадет как класс.
> А ещё надо - не закрыть нужные порты!
> Например, у одного юзера открыта дырявая веб-камера без пароля - надо закрыть.Ужас. Вы вообще системный админ? Сочувствую конторе где такой нерюх работает - безопасность сети оной наверняка на уровне плинтуса. На месте вашего шефа я бы уже начал срочно искать замену такому "админу".
> А у другого вполне себе не дырявая веб-камера, которой он пользуется через
> интернет - надо открыть.И что? Если вы хотите контролировать траффик - да, вам придется разобраться в том как работают сетевые протоколы и что и кула льзя/нельзя. В обе стороны. Нат кстати перекрывает кислород лишь в 1 сторону.
> Если вы - провайдер, который заикается о безопасности для своих пользователей, то
> у вас появляется очень много работы)Судя по описанию, вы какой-то баклан, который почему-то возомнил что он - сисадмин. Хотя не умеет файрволом пользоваться. И считает виндовое недоразуменее за фаер. Я практически уверен что в вашей сети безопасностью и не пахло, там пахнет лишь имитацией бурной деятельности, а знание предмета - не фонтан.
> Поэтому, ну нах. Лучше закрыть домашнюю сеть NAT'ом.
Половина программ потом работает откровенно через анус. Потому что в исходном дизайне протокола подразумевается нормальное 2-стороннее коннективити между участниками. А умственные инвалиды вместо участников - это что, олимпиада для даунов?
> А нужные порты пробрасывать вручную или через upnp.
> upnp, кстати, поддерживают даже роутеры 2-3 летней давности.Осталось только добавить что он напрочь несекурный. Там никакой авторизации - нет. Поэтому если например вирус в интранете хочет зафорвардить на машину с собой порт для шелла чтобы не городить реверс - добро пожаловать!
> Если есть более эффективное, но такое же простое решение, как NAT, буду
> рад его узнать)Научиться уже юзать фаер как человек, а не специально обученная обезьяна.
>>> какую безопасность подразумевает nat, если не секрет?
>> Ну смотрите.
> Смотрим.
>> Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.
> Делаем первые выводы:
> 1) Бсдельник как обычно равняет все по винде, потому что его ось
> на десктопе просто швах.Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда". Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.
На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.
> Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда".А я думал что к общеидиотскому подходу к управлению фаером. Элементарное непонимание как вообще оно рулится по нормальному если действительно секурность сети интересует.
> На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.
Не более бездарно и неумело чем расписаное выше "управление" фаером :P.
>> Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда".
> А я думал что к общеидиотскому подходу к управлению фаером. Элементарное непонимание
> как вообще оно рулится по нормальному если действительно секурность сети интересует.Лично я сейчас наблюдаю элементарное непонимание реального процесса обслуживания корпоративных сетей. То, о чём вы говорите - это практически недостижимый идеал, когда все используемые ИС изначально построены исходя из соображений безопасности и инженерной красоты. К сожалению, в подавляющем большинстве ситуаций это не так и надо работать с тем, что есть, а не с тем, что хочется. Перекроить всю инфраструктуру - это, конечно, красиво, но если от этого пострадают бизнес-процессы организации (а они пострадают), то конечная прибыль как-то не видна.
Да, если интересует именно секурность сети, то используются вообще другие методы: от заворачивания КАЖДОГО клиента в персональный VLAN до физического разделения сегментов (да-да, перенос данных на дискетах-флешках-etc).
>> На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.
> Не более бездарно и неумело чем расписаное выше "управление" фаером :P.Оно было описано человеком, который явно занимается этим на практике. И его выводы более или менее совпадают с моими, а мне довелось со всех сторон поучаствовать в решении вопросов данной тематики.
>Да, если интересует именно секурность сети, то используются вообще другие методы: от заворачивания КАЖДОГО клиента в персональный VLAN до физического разделения сегментов (да-да, перенос данных на дискетах-флешках-etc).Если интересует именно секурность, то компьютер нужно отключить от розетки и взорвать. Дальше план такой: ставим заборы с колючей проволокой и пулемётчиками с прожекторами по углам, пускаем по территории патрули с автоматами и собаками, ставим круглосуточную охрану на вход. Перед входом в офис ставим две раздевалки и шлюз для личного досмотра сотрудников. В первой раздевалке люди раздеваются, оставляют свою одежду в шкафчике, в шлюзе их досматривают, дальше идёт вторая раздевалка, где сотрудники одеваются в свою рабочую одежду из шкафчика. Как вам план? Самая лучшая информационная безопасность. А ещё хорошо бы, чтобы сотрудники жили на охраняемой территории, а перед увольнением профилактически расстреливались, чтобы не допустить утечку информации.
>[оверквотинг удален]
> Если интересует именно секурность, то компьютер нужно отключить от розетки и взорвать.
> Дальше план такой: ставим заборы с колючей проволокой и пулемётчиками с
> прожекторами по углам, пускаем по территории патрули с автоматами и собаками,
> ставим круглосуточную охрану на вход. Перед входом в офис ставим две
> раздевалки и шлюз для личного досмотра сотрудников. В первой раздевалке люди
> раздеваются, оставляют свою одежду в шкафчике, в шлюзе их досматривают, дальше
> идёт вторая раздевалка, где сотрудники одеваются в свою рабочую одежду из
> шкафчика. Как вам план? Самая лучшая информационная безопасность. А ещё хорошо
> бы, чтобы сотрудники жили на охраняемой территории, а перед увольнением профилактически
> расстреливались, чтобы не допустить утечку информации.Помимо шарашек типа "туроператор Кызылым-Ога" бывают ещё и крупные корпорации, и предприятия оборонной промышленности, и министерства, и много чего ещё.
Я и не буду спорить: это идиотизм, когда, например, мобильники нельзя, а флешки пропускают (на одном известном мне предприятии оборонки именно так). Но это не отменяет того факта, что иногда нужны и жёсткие, а подчас и драконовские меры. Просто из-за того, что ценность информации во много раз превышает зарплату работающих с ней сотрудников (а подчас её вообще измерить адекватно нельзя).
> Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.Для самых умных фаервол работает на шлюзе. А туда обычно ставят серверную ОС.
Нет, кому-то и винда с бсдями - серверные оси, но зачем же свои личные проблемы другим навязывать?
>> Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.
> Для самых умных фаервол работает на шлюзе. А туда обычно ставят серверную
> ОС.
> Нет, кому-то и винда с бсдями - серверные оси, но зачем же
> свои личные проблемы другим навязывать?1. А что, машины внутри корпоративной сети прикрывать нельзя? Вы так изящно отрезали часть моего комментария, что смотрится, конечно, по-другому.
2. Если для вас *BSD несостоятельны как серверные ОСи, то медицина здесь, увы, бессильна.
3. Комментарии по делу будут?
В следующий раз отвечу на все ваши уколы.
Но сейчас давайте по существу.Обзываться вы умеете, я уже понял.
А умеете ли вы думать?
Попробуйте посмотреть не с точки зрения своего, или моего компьютера.
А с точки зрения большого провайдера с большим количеством клиентов - домашних пользователей.Проблему, которую я поднял, можно озвучить так:
Сейчас есть NAT, который хоть для того и не предназначался, но фактически защищает домашние локалки обычных пользователей.
Нормально фаера "из коробки" - нет.
Если убрать NAT - будет много дырявых устройств.
Если дать всем внешние ip, будет много дырявых устройств с внешним ip.
И не у меня, или у вас, а у миллионов обычных пользователей.
У тех, кто не знает про ipv4/ipv6.Сразу, определимся с терминологией.
Домашняя локалка обычного пользоателя - я под этим подразумеваю:
- роутер
- 1 или более компов (стационарных, ноутбучных, планшетных)
- 0 или более устройств (телефоны, камеры, сетевые хранилища, принтеры и т.д.)Обычный пользователь - это человек, который умеет пользоваться компом, но не настолько хорошо, чтобы нормально настроить фаерволл на компе, или на роутере.
Сейчас многочисленные попытки соединения из интернета обрубаются на роутере.
Это правильно.
Хотя рубятся они не за счет фаерволла - на многих железках его тупо нет.
Попытки соединения рубятся за счет NAT (если в NAT таблице тупо нет записи про такой порт, значит пакет отбрасываем)С приходом ipv6 предлагают убрать NAT.
А для каждого устройства использовать внешний маршрутизируемый ip адрес.Если сейчас в устройствах отключить NAT, в сети просто появится очень много уязвимых устройств.
Потому что:
а) у большинства простых пользователей нет нормальных фаерволлов
б) на рынке тоже не густо роутеров с функциями нормальных фаерволлов
в) даже если такие модели роутеров есть, люди массово за ними не побегут
г) массово прошивать свои роутеры люди так же не станутВ результате, от NAT отказываемся а его защитные функции никому не передаем.
5 баллов.Знаете, откуда в свое время резко появилось _очень много_ спам-ботов?
Это пользователи подключались по ADSL, а их компы получали внешние ip адреса.
А в то время windows с внешним ip адресом - это уже через час затрояненная машина.
Слава богу, что стали ставить роутеры и прятать за ними компы с windows.
Но ...
Вот у пользователей появились мини-локалки со всякими девайсами.
И тут - "эй, а давайте всем устройстам дадим внешние ip адреса и отключим NAT?".
Действительно, почему бы не выставить побольше дырок в интернет?
Закрыть их все равно нечем.
Видать, история людей не научила.И поэтому я считаю, что NAT - неплохая штука для защиты простых пользователей.
Только потому, она есть в каждом роутере.
А другой защиты в каждом роутере - нет.
> Если сейчас в устройствах отключить NAT, в сети просто появится очень много уязвимых устройств.И даже сквозная аутентификация IPSec, которая присутствует в спецификации IPv6 ОБЯЗАТЕЛЬНО и которая позволяет моментально обнаружить несущий угрозу узел, не поможет?
> А еще она очень любит троянов. Нормально настроеный фаер может в принципе
> зарубить и исходящий трафф большинства троянов, сохранив вам банковские реквизиты,
> пароли и что там у вас еще.Позновато пишу, но может кто-то тогда просветит, каким образом вы исходящий трафф закроете? Разрешите порты назначения по списку? Так это не панацея, какой-нибудь скрипт может получать данные от вирусни или трояна через открытый вами порт (проверить открытые порты на файрволе находять в локалке не сложно), а файрволы не умеют интелектуально разбираться чего ваши компы в интернет посылают (ну может cisco-asa и умеет, не юзал, не знаю, и далеко не всем админам на нее денег дадут), и всякие прокси тоже не настолько интелектуальны чтобы тотально все контролировать. Или может вы еще будет список разрешенных хостов назначения вести? Да и проблема вирусни больше в том что она вам эпидемию в локалке устроит, а грамотный троян ваш файрвол обойдет если сможет попасть на хост вашей локалки стараниями нерадивого пользователя. В итоге не надо кричать о том что файрволы спасают банковские реквизиты и пароли, их спасает грамотная политика внутри компании, сеть с хорошей иерархией куда кому можно лазить, разграниченая VLAN'ами и пограничными файрволами между ними, а если оборудование VLAN'ы не поддерживает то помогает разграничить IPSec, правда его еще осилить надо.
> какую безопасность подразумевает nat, если не секрет?Заранее сори не смог до конца прочитать, скорее всего кто-то уже высказал со мной совпадающие мнение.
С моей точки зрения NAT не обеспечивает безопасность, как таковая она просто помнит кто,через нее что передал и возвращает обратный пакетик тому хосту,который сформировал пакетик в Интернет. ..
..Но эта технология позволяет сконцентрировать свое внимание по защите корпоративной(домашней) локальной сети, только на одном узле установив туда средства блокировки портов, перенаправления портов и другие средства программной защиты.
Вопрос всем, господам комментирующим...Что проще отследить в потоке больших объем информации 1 узел или n-ое количество узлов?
В ipv6 позаботились о безопасности и скрывать пользователей за nat не имеет смысла для этого там есть другой механизм
>В ipv6 позаботились о безопасности и скрывать пользователей за nat не имеет смысла для этого там есть другой механизмWhat?
MT6D
> MT6DПервая ссылка в гугле? ;)
> NAT скорее понятие безопасности, причем тут каменный век.Скорее, некоторые дебилы упорно не понимают что это задача _файрвола_, а нат в его роли вообще оказался так, до кучи.
имеется в виду анонимность
> имеется в виду анонимностьНат в общем случае не обеспечивает анонимность сколь-нибудь заслуживающую внимание.
Конечно, если вы перданете в автобусе где еще 20 человек, вас может и не вычислят, за незначительностью происшествия. А вот если вы бомбу повезете и у вычисляющих будет информация "в этом автобусе бомба" - вы уж извините, но поймают вас в 2 счета.
С NAT как-то примерно аналогично: неуловимый джо неуловим через NAT лишь когда он никому не нужeн.
Такие как ты, и Tor критикуют, и прочие технологии анонимизации. Ну если настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом. А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз. И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.
> А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз. И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.Какие вы смешные.
Пока ваше личное никому нафиг не интересно - вы можете прятаться, дрожать и верить в свою неуловимость.
Но как только вами заинтересуются - никакие детские методы отпугивания Буки вас не спасут.
> Такие как ты, и Tor критикуют, и прочие технологии анонимизации.В плане именно анонимизации Tor на голову лучше. Только вот у него есть свои проблемы. Например, может так выйти что exit node'ой является машина ФСБшника (FBIшника, CIAшника) собирающая максимально возможное досье. Или машина хакера коллекционирующего пароли. Поэтому Tor хорошая штука, но пользоваться им надо с умом и очень осторожно. В свете взломов SSL кстати это вообще сплошной головняк, поскольку теоретически даже то что вы законектились к почтовому ящику или что там у вас по SSL еще не гарантирует что MITM не перехватит SSL сессию. Больно уж допуркуа по дефолту висит в списке доверяемых ауторити, каждая их которых может удостоверить что угодно, вплоть до того что дважды два - пять.
> Ну если настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом.
Просто если беретесь маскироваться всерьез, на нат надеяться - ну знаете, никто же не делает броню у танков из фанеры, да? Зачем советовать фанерную "броню" другим?
> А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз.
NAT идентифицирует вас с точностью до конкретной помойки с котами, как правило привязанной к довольно узкой географической локации. Так что если кот нашкодил, выделить его из еще десятка - не особая проблема. Видимость защиты - это круто, конечно...
> И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.
Да, только если вас протрейсили до NAT - найти вас становится уже не ахти какой проблемой.
Как побочный бонус - если какой-то удод поймал вирус и наспамил через эту помойку, вы будете забанены "до кучи" всеми блеклистами. Потому что живете в одной помойке с вредителем сельского хозяйства. А оно вам надо, когда все сайты/почта/... рассказывают вам что вы редиска и вообще пошли б вы вон, позорный спамер?!
> Такие как ты, и Tor критикуют, и прочие технологии анонимизации. Ну если
> настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом. А
> другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз.
> И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.Личное нужно передавать лично, а не через публичные информационные сети, тогда и гарантии будут сколь-нибудь серьёзные. А если вы связались с вконтактиком и асечкой, то добро пожаловать в социальный стриптиз-бар.
NAT нужен , В ТОМ ЧИСЛЕ, для сокрытия внутренней организации сети класса от С и больше/выше. И давайте не будем галдеть о том, что можно определить другими косвенными путями.
Суть технологии именно в частности и в этом и дополняет другие защитные механизмы. Ну и например при испольовании проксирующих серверов, эта технология как нельзя кстати дополняет собой обеспечение безопасности внутреннего сегмента сети. Особенно когда речь идёт о юзерских хостах.
> Особенно когда речь идёт о юзерских хостах.Еще одна обезьяна с микроскопом вместо молотка, путающая stateful фаер, прокси и прочая с натом.
> NAT нужен , В ТОМ ЧИСЛЕ, для сокрытия внутренней организации сети класса
> от С и больше/выше. И давайте не будем галдеть о том,
> что можно определить другими косвенными путями.
> Суть технологии именно в частности и в этом и дополняет другие защитные
> механизмы. Ну и например при испольовании проксирующих серверов, эта технология как
> нельзя кстати дополняет собой обеспечение безопасности внутреннего сегмента сети. Особенно
> когда речь идёт о юзерских хостах.Если на шлюзе фаерволлом закрыть правильные типы ICMP, да настроить перезапись значения TTL в IP-пакете прямо на шлюзе, то фиг снаружи узнают что-то об организации сети. Будут знать только адреса хостов, а как они там организованы - не узнают.
анонимность от "я вычислю твой ip"? ))
Спасибо, посмеялся. :)
> NAT скорее понятие безопасности, причем тут каменный век.NAT для безопасности - как микроскоп для колки орехов.
То есть, употребляется только альтернативно одаренными.
NAT к безопасности не имеет никакого отношения. Это иллюзия недоадминов.
Если ты не догадываешься резать попытки установки соединений извне в таблице FORWARDING в iptables, и вместо этого рекомендуешь использовать nat, то это твои личные проблемы.
подозреваю что акулы таки будут выделять 1 адрес per user и пытаться дальше пробивать что бы пользователи на каждое доп железку заключали отдельный договор.. как это пытаются делать сейчас за подключение ещё 1 телевизора на кабель через делитель
>> 1 телевизора на кабель через делитель
> А что, где-то остались еще такие клоуны? Ничего, интернет их скоро окончательно
> закoпает.А зачем? IPTV нужно далеко не всем и не все железки умеют. Кабельное телевидение пока ещё живёт и вполне себе
> Кабельное телевидение пока ещё живёт и вполне себеНу так принимаешь на комп вместо телеящика и раздаешь на все нужные девайсы. Правда честно говоря это уже не нужно: в интернете все-равно ассортимент больше.
> заключали отдельный договор.. как это пытаются делать сейчас за подключение ещё 1 телевизора на кабель через делительЭээ... что? А кто вообще щас гонит нешифрованный платный IPTV поток? какой смысл решать это лишним договором? У всех вменяемых провов IPTV давно шифрован, и никаким "делителем" (это что вообще такое?) вы его оттуда не вытащите, если только прошивку или плеер для PC/xbox реверсить.
А, пардон. Я почему-то думал что вы про IPTV. Совсем зажрался, забыл как раньше было...
Укртелеком
> не выдывать более чем один IPv6-адресТо им придется делать это руками, потому что хоть с IPoE хоть с вариантами PPP автоконфигурация не работает на блоках меньше /64. И единственное решение в таком случае — прописывать адрес и маршруты _руками_.
Так что я не завидую таким провайдерам, если вдруг они найдутся.
> единственное решение в таком случае — прописывать адрес и маршруты _руками_.Да, разжую поподробнее.
IPv6 по Ethernet, 802.11 и т.д. — это SLAAC (RA). Которому надо префикс максимум в /64 (иначе он не сможет EUI-64 прицепить в конец и вся SLAAC не выйдет).
PPP это IP6CP (который устанавлвиает только link-local'ы) + RA.
DHCPv6 только дополняет RA, но не заменяет его.
SEND никак не меняет картину.
Можно сделать с OpenVPN, но это очень неудачное решение для домашнего провайдера.
Еще можно сделать очень суровый анальный цирк с DNS46 и NAT-PT (которые considered harmful, но draft'ы RFC живы), но это очень большая жопа. Хотя для провов, которые не могут осилить билингование IPv6 — единственныОстается ручная вбивка адреса. Всего /128, хехе, и без опечаток. А потом еще адреса роутера (ну, там покороче можно обойтись, fe80::1%eth0 хватит). Клиент нынче пошел уже не торт — двух слов связать не может, техподдержка регулярно объясняется на уровне "внизу экрана слева у вас кнопочка круглая или прямоугольная". А платить за вызов саппорта каждый ращ, когда пришло время переустанавливать ШИНДОШS(tm) — денег не хватит.
Короче, /128 на клиента — самоубийство для провайдера.
Случайно нажал «Отправить».> Хотя для провов, которые не могут осилить билингование IPv6 — единственны
… единственный путь, если не менять биллинг. Или путь как очень legacy клиентам с IPv4, никак не умеющим IPv6 (скажем, копрорациям, застрявшим во временях Windows 9x, хехе) дать доступ к IPv6-сети. Но это реально большая жопа, потому что реализаций — 0.25 штуки, и то, если и заработает — в бою не тестировалось. Не позавидую.
Билинг то не сложен, сохранить и посчитать сколько бит откуда и куда - задача пустяковая.
Да и количество информации, которую лопатить надо растет не очень сильно - раза в полтора.
а вот сдать этот билинг -для работы оказывается чрезвычайно сложно,и я совсем не уверен что СОРМ тесты будут пройдены нормально ( Точнее, почти уверен в обратном).
> Билинг то не сложен, сохранить и посчитать сколько бит откуда
> и куда - задача пустяковая.
> Да и количество информации, которую лопатить надо растет не очень сильно
> - раза в полтора.
> а вот сдать этот билинг -для работы оказывается чрезвычайно сложно,и я
> совсем не уверен что СОРМ тесты будут пройдены нормально (
> Точнее, почти уверен в обратном).Ну если раньше биллинг сдавали, то и сейчас сдадут)
Врядли выйдет закон об обязательной пересертификации биллингов на предмет поддержки ipv6.
Есть сертификат ещё на 3 года?
Ну и отлично.
Веселье начнется через год-два-три.
Если повезет, к новой сертификации поддержку ipv6 уже допишут и протестируют.
На пользователях.
К сдаче в СОРМ она придет уже обезбаженная.
> К сдаче в СОРМ она придет уже обезбаженная.А сам СОРМ как обычно реализуют, да? Т.е. отдачей на лапу? :)
>> К сдаче в СОРМ она придет уже обезбаженная.
> А сам СОРМ как обычно реализуют, да? Т.е. отдачей на лапу? :)Злые Вы - СОРМ честно сдан, причем это оказалось в том случае, довольно просто. ( Не надо бояться и думать что это невозможно), но вот пройдут ли тесты на Ipv6 клиента ( да и есть ли они вообще такие тесты... скоро узна.) . Билинг - сертификат пора проделвать опять же - не такая сложная процедура была ( что будет при IPv6 - ой не ясно). Сейчас адреса IPv6 есть только на серверах и компах сотрудников. (:
> но вот пройдут ли тесты
> на Ipv6 клиентаВ современных виндах есть поддержка ipv6 сразу после установки.
По DHCP новые адреса выдать и все.
Если грамотно сделать, юзеры даже не почувствуют.
А если неграмотно... мне жаль юзеров и саппортов)
да и вообще, при неграмотном внедрении ipv6, можно эта... как Digi-Notar в общем)
>> К сдаче в СОРМ она придет уже обезбаженная.
> А сам СОРМ как обычно реализуют, да? Т.е. отдачей на лапу? :)Это уже другое дело.
Как договорятся, так и реализуют)
> Билинг то не сложен, сохранить и посчитать сколько бит откуда и куда - задача пустяковая.Это-то да, простейший (но полноценный) биллинг в 100SLOC впишется, и ему будет плевать на версию IP. Хотя его сертифицировать — полная жопа, угу.
Я думал о тех провайдерах, которые не пошли через административные терни, сделав свое, удобное решение, а купили сертифицированную систему.
> Это-то да, простейший (но полноценный) биллинг в 100SLOC впишетсяА почему Вы счётчик биллингом называете?
А с чего Вы это взяли? На нормальных языках в 100SLOC можно много засунуть. Да, размер тест-юнитов, документации и использованных готовых библиотек я не учитываю.У меня первый прототип (но вполне работавший, хотя и не в продакшене) самодельного prepaid-биллинга умел принимать деньги, делать покупки на один из возможных тарифных планов, принимать аккаунтинг от RADIUS и сигналить об изменении подписки. Python, Riak, RabbitMQ. И как раз где-то 100, ну, может, 150SLOC был, пока не разросся.
Хотя, в общем-то, можно сказать что и счетчик (точнее, несколько), оно недалеко от истины, вопрос, наполовину, в семантике.
Зная наших провайдеров, они лучше посадят больше девочек-блондинок в саппорт. И не такая уж сложная задача - вбить вручную адрес с бумажки.Хоть у меня и есть /64, автоконфигурированием я не пользуюсь. Мне проще запоминать адреса типа xxxx:xxxx:xxxx:xxxx:192:168:0:1
Плохо их знаете. Саппорт просто завалят, будут писать русскую «а» вместо латинской «a», вписывать все что угодно, кроме того, что написано, и вообще — чего только не делать. Я изредка подменяю провайдерский саппорт, когда вдруг все на выезде, знаком не по наслышке.В регионах где один пров и все, и новичкам на рынок не пролезть — ну, там что угодно взлетит, даже стояние на голове, как условие работы интернета. Но таких мест, как мне кажется, немного, по крайней мере, в европейской части страны. Конкуренты придут незамедлительно и скажут спасибо.
У меня тоже /64 и адреса я не запоминаю кроме одного, мой_префикс::2, где находится DNS. Чего и Вам советую.
всего лишь поменяй провайдера или в крайнем случае тарифный план. IP-адресов IPv6 столько, что можно покупать пачками, и хватит на несколько поколений людей.
> всего лишь поменяй провайдера или в крайнем случае тарифный план. IP-адресов IPv6
> столько, что можно покупать пачками, и хватит на несколько поколений людей.Ага, про IPv4 то же самое говорили. Слышали, доооооо.
Во времена Винта Сёрфа никому в голову не приходило, что счет хостов в Арпанете будет когда-нибудь исчисляться сотнями миллионов и что сетки класса А будут выкупать пачками.
> Ага, про IPv4 то же самое говорили. Слышали, доооооо.2^32 это меньше чем человеков на планете. Уже тогда. Как бы можно было догадаться. А вот выюзать 2^128 и даже 2^64 адресов... эээ удачи, да. Можно каждому микробу по адрксу дать и еще останется :)
>> Ага, про IPv4 то же самое говорили. Слышали, доооооо.
> 2^32 это меньше чем человеков на планете. Уже тогда. Как бы можно
> было догадаться. А вот выюзать 2^128 и даже 2^64 адресов... эээ
> удачи, да. Можно каждому микробу по адрксу дать и еще останется
> :)Вот интересно, люди говорят:
2^ 128 - это очень много адресов, хватит каждому микробу, потому поднимают громкий вой, а почему мне не хотят выделять /64, чтобы удобно конфигурить, да, еще потребуется вычесть неиспользованные куски у провайдеров ( я не пробовал, но думаю что сетку меньше чем /48 по анонсам порубят) ., да еще мультикаст и иные служебные. Спаммеров, убивателей досок и прочее. - и опять дефицит будет.
> но если вдруг наши "замечательные" интернет-провайдера задумают при подключении абонента -- не выдывать более чем один IPv6-адрес -- то добро пожаловать опять в этот каменный век NAT-технологий :-/А как через DHCP выдать сеть на какой-нибудь ASUS WL-520 пользователя?
> в скором времени IPv6 NAT планируется довести до полностью работоспособного состояния и направить запрос на включение в следующий релиз ядра Linux.А кто там говорил "only over my dead body"? Не сам ли Патрик? Или все-таки Вельте?
>> в скором времени
>> довести до полностью работоспособного состояния и направить запрос на включение в
> А кто там говорил "only over my dead body"?
>Или все-таки Вельте?Да. http://lwn.net/Articles/452853/rss
Ну, "направят они запрос", а там тело Гарольда. Вот там и посмотрим, кто живее - запрос, тело, или [его заявление] "only over".
Т.е. пришли к тому от чего уходили?
Уже нет, в IPv6 адресов всем хватает. NAT делается для совместимости софта и протоколов которые еще не могут работать с IPv6.
> Напомним, что сама идея NAT заключалась в том, чтобы обойти проблему нехватки IPv4-адресовЯ бы не сказал, что REDIRECT или NETMAP всегда используются для решения именно этой проблемы. Иногда админу просто удобнее сделать доступ к разным хостам/службам через один виртуальный адрес/порт, в зависимости от различных параметров пакета (в частности, от исходного адреса).
Кстати, надеюсь, допиливание поддержки IPv6 в IPVS теперь стронется с мертвой точки.
Ну и достаточно часто есть также задача скрыть топологию своей сети от внешнего мира.
И да, именно для этих целей существуют файрволы ...
Их настраивать надо. Для этого надо голову иметь.
А тут NAT поставил и массу проблем вообще закрыл. Большинство на этом и останавливается и довольно долго этого им оказывается достаточно.
Чтобы реализовать такой уровень "защиты" для реальных IPv4 адресов, которую "обеспечивает" NAT, в Iptаbles достаточно одной строки конфига. Т.е. ровно столько же сколько требуется для включения NAT-а.
Если говорить о "сокрытии внутренней топологии", то это конечно полезно, но не соответствует идеологии IP. Если у вас закрытая корпоративная сеть, то почему ваши пользователи не пользуются прокси-сервером (socks, и т.п.), который обеспечивает кроме сокрытия еще и контроль?
> Чтобы реализовать такой уровень "защиты" для реальных IPv4 адресов, которую "обеспечивает"
> NAT, в Iptаbles достаточно одной строки конфига.Строку в студию ! Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.
> Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.Открою вам страшную тайну: основное предназначение conntrack - как раз обеспечение логики фильтрации. Логика nat там уже сверху накручена.
> Строку в студию ! Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED -j DROP
Присоединяюсь как автор коммента про одну строку.
> Присоединяюсь как автор коммента про одну строку.После такой строки вас завалят звонками клиенты с жалобами о неработе FTP и прочих нетривиальных протоколов.
> После такой строки вас завалят звонками клиенты с жалобами о неработе FTP и прочих нетривиальных протоколов.Подучите матчасть. В частности, о том, как работает conntrack, и что такое RELATED.
> Подучите матчасть. В частности, о том, как работает conntrack, и что такое RELATED.Подучите матчасть сколько там и чего вгружается из модулей чтобы работали всякие FTP, VoIP и прочая. Там еще с дюжину модулей трекающих свои протоколы индивидуально, бл. Гемор и костыли.
> Подучите матчасть сколько там и чего вгружается из модулей чтобы работали всякие FTP, VoIP и прочая. Там еще с дюжину модулей трекающих свои протоколы индивидуальноИ что? Строчка всё равно одна.
> Подучите матчасть сколько там и чего вгружается из модулей чтобы работали всякие FTP, VoIP и прочая. Там еще с дюжину модулей трекающих свои протоколы индивидуально, бл. Гемор и костыли.Подучите матчасть. Для работы этих протоколов через нат, модулей должно быть в два раза больше (все те же, что и для фаервола + соответствующие для ната).
> -j DROPИ половина программ начинает работать через жо...
Поясните.
> Поясните.Новые входящие соединения к клиенту будут рубиться. Многие протоколы требуют создание ответного соединения.
>> Поясните.
> Новые входящие соединения к клиенту будут рубиться. Многие протоколы требуют создание ответного
> соединения.Мля, для этого там написано слово RELATED.
> Мля, для этого там написано слово RELATED.Оно не обеспечивает пропуск _нового_ входящего соединения. Поэтому клиент получается неполноценным инвалидом.
> Оно не обеспечивает пропуск _нового_ входящего соединения. Поэтому клиент получается неполноценным
> инвалидом.К кому и куда?
> Новые входящие соединения к клиенту будут рубиться. Многие протоколы требуют создание ответного
> соединения.Учите матчасть. Механизм conntrack прекрасно поддерживает большинство таких протоколов, и пропускает ответные соединения как RELATED.
> iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED
> -j DROPЭто правило пропустит уже установленные соединения, но дропнет все запросы на новые входящие соединения к клиенту. FTP, SIP и подобные протоколы используют установку нового ответного соединения на машину клиента, предсказать порт на которое будет соединение можно только проанализировав протокол приложения, чем и занимается conntrack.
>> iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED
>> -j DROPSorry, "RELATED" не заметил. Забираю свои слова обратно, FTP и подобное работать будет.
>>> iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED
>>> -j DROP
> Sorry, "RELATED" не заметил. Забираю свои слова обратно, FTP и подобное работать
> будет.А входящие торрент запросы?
> А входящие торрент запросы?Входящие торрент-запросы не работают ни через фаервол, ни через нат. Для них в любом случае нужно отдельные костыли сооружать.
> Входящие торрент-запросы не работают ни через фаервол, ни через нат. Для них
> в любом случае нужно отдельные костыли сооружать.Уточним, они прекрасно работают если не пользоваться угробищами типа натов.
>> Входящие торрент-запросы не работают ни через фаервол, ни через нат. Для них
>> в любом случае нужно отдельные костыли сооружать.
> Уточним, они прекрасно работают если не пользоваться угробищами типа натов.Они прекрасно работают через NAT, это зависит от его типа. И они вообще не работают через файрвол, так как специально запрещено и нужно открывать дырку.
> Они прекрасно работают через NAT, это зависит от его типа. И они
> вообще не работают через файрвол, так как специально запрещено и нужно
> открывать дырку.Все, что работает через NAT, будет работать и через фаервол, т.к. принцип один и тот же.
Ну, если не считать IGD/UPnP, включение которого эквивалентно выставлению своего айпишника в инет безо всякой защиты.
>> Они прекрасно работают через NAT, это зависит от его типа. И они
>> вообще не работают через файрвол, так как специально запрещено и нужно
>> открывать дырку.
> Все, что работает через NAT, будет работать и через фаервол, т.к. принцип
> один и тот же.Что O_O? Принцип вообще другой, автоматический проброс например при NAT 1 в 1 и полная блокировка в файрволе типа iptables -P FORWARD DROP
>> Уточним, они прекрасно работают если не пользоваться угробищами типа натов.
> Они прекрасно работают через NAT, это зависит от его типа. И они
> вообще не работают через файрвол, так как специально запрещено и нужно
> открывать дырку.Через нат входящие соединения инициированные независимо от вас обычно не работают совсем. Потому что когда ремотный пир ломится на айпишник и порт, который вроде как ваш, у ната возникает резонная дилемма: я этого блохастого в первый раз вижу! Кому из вон той толпы машин за мной форвардить его пакеты?! Это же нигде и никак не указано. Юзер должен или явно захинтить портфорвард определенного порта эксклюзивно себе (костылем типа upnp или nat-pmp) или сделать соединение в нужную сторону сам. В результате два инвалидика за натом не могут приконектиться к друг другу вообще. Точнее, на некоторых типах натов все-таки могут путем выполнения хитрого танца с бубном "nat traversal" через третьего-лишнего, но если честно - это уже измымательство над идеей протокола IP и используется только потому что му...ков с натами на IPv4 порасплодилось :). Ну а с фаерами как несложно догадаться разрешено только то что разрешено. Насколько и что будет работать - определяется правилами фаера.
> Уточним, они прекрасно работают если не пользоваться угробищами типа натов.Они прекрасно работают только там, где все открыто нараспашку.
> И да, именно для этих целей существуют файрволы ...Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.
>> И да, именно для этих целей существуют файрволы ...
> Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.Те, которые в traceroute TTL рубят :)
> Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.Те которые удавливают все исходящие пакеты вообще. А клиенты пропускаются через прокси с авторизацией и только так. До кучи хорошо спасает от вирусов и прочей пакости, которые на раз обламываются послать пароли хозяевам в такой конфигурации. Совершенно стандартная практика у корпоративщиков.
>> Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.
> Те которые удавливают все исходящие пакеты вообще. А клиенты пропускаются через прокси
> с авторизацией и только так. До кучи хорошо спасает от вирусов
> и прочей пакости, которые на раз обламываются послать пароли хозяевам в
> такой конфигурации. Совершенно стандартная практика у корпоративщиков.294, ты опять пёрнул в лужу. Полную изоляцию (отсуствие прямой связности) файрволом не не называют, ибо он по определению фильтрует, т.е. пропускает то, что нужно.
> Ну и достаточно часто есть также задача скрыть топологию своей сети от
> внешнего мира.И конечно же поэтому надо использовать нат. А не всякие там файрволы, прокси, редиректы и так далее, созданные как раз для всего этого, угумс. Вот ведь стадо макак с микроскопами - вот дай им микроскопом гвоздить и все тут! А молоток не, это фи. Мы вот микроскопом уже привыкли, а молоток - его осваивать же надо!
Насколько мне помнится, NAT в IPVS уже вполне себе запилен. Есть некоторые неудобства, как то отсутствие возможности натить в link-local. Но в целом вполне себе.
Кому не надо, то не используйте. А кому понадобится, хорошо, что лёд тронулся в данном вопросе.
Всегда проще не пользоваться ,тем что не нужно, чем когда нужно заниматся извратом или ещё хуже ,когда мозгов на решение проблемы не хватило, говорить что невозможно что-то сделать. Спасибо разработчикам данной функции, для крупных корп. сетей самое оно.
Можно предположить, что найдутся достойные задачи для IPv6 NAT, но к сожалению, админы локалхоста будут пользоваться этим микроскопом для забивания гвоздей, а программерам сетевых приложений придется опять строить костыли типа STUN-а.
Поэтому уж лучше не надо.Админам крупных корпоративных сетей надо _ТЩАТЕЛЬНО_ читать документацию по IPv6, т.к. в протоколе очень много заложено именно для них.
> Кому не надо, то не используйте. А кому понадобится, хорошо,Нет, дружок, сети - они взаимодействие подразумевают. И если какой му...к не хочет соблюдать сетевой протокол - так может пусть он вообще не подключается к сети тогда? А то все эти полузомби-инвалиды, у которых вроде бы есть интернет но вроде как и нет уже порядком достали и в IPv4. Создателей геморроя на ровном месте - мало кто любит.
Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя, я думаю, обычные домовые сети даже не подозревают о существовании IPv6.
> Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя,
> я думаю, обычные домовые сети даже не подозревают о существовании IPv6.Торговать песком поштучно весьма спорное мероприятие
>> Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя,
>> я думаю, обычные домовые сети даже не подозревают о существовании IPv6.
> Торговать песком поштучно весьма спорное мероприятиеА вдруг наши эникеи так и будут делать, глядя на v4?
> А вдруг наши эникеи так и будут делать, глядя на v4?А почему им так не делать? Ведь принцип распределения адресов в IPV6 остался прежним.
> А почему им так не делать? Ведь принцип распределения адресов в IPV6
> остался прежним.Только вот адресов шибко больше. Допустим я плачу бакс в месяц за IPv4. А теперь вспомним что IPv6 в 2^96 раз больше.
Внимание, вопрос на засыпку: а я не затрахаюсь пилить доллар на 2^96 частей? :))
Будете платить бакс за один адрес IPv6. Если можно продавать воздух с себестоимостью в 2**96 раз меньше, но по старой цене, почему нет? Из-за лишнего бакса никуда не денетесь и к новому прову не убежите
> Будете платить бакс за один адрес IPv6.Сразу после того как вы начнете у меня покупать железо по цене золота.
> Если можно продавать воздух с себестоимостью в 2**96 раз меньше,
Если железа в природе больше чем золота и его легче произвести - оно стоит дешевле. Удачи вам в том чтобы продать железную кочергу по цене золотой. Скорее я найду тех кто даст мне /64 совершенно даром, не прямо так через туннель ;). Платить вам за то что вы считаете меня лохом и пытаетесь впарить мне железную кочергу по цене золотой? Нашли дурака!
> но по старой цене, почему нет?
Давайте я вам дам кило железа а вы его загоните по цене золота? Профит делим пополам. Вроде бы вполне выгодное предложение, да? :)))
> Из-за лишнего бакса никуда не денетесь и к новому прову не убежите
Прокину туннель нахаляву и получу /64 задаром. Чего ради я буду вам за полкило железа платить как за полкило золота? Только потому что вы совсем уж обуели?
> Прокину туннель нахаляву и получу /64 задаром. Чего ради я буду вам
> за полкило железа платить как за полкило золота? Только потому что
> вы совсем уж обуели?И как через туннель будут работать торренты? На какой скорости, если пользователей у провайдера этих туннелей будет много? Или Вы верите что оборудование у него безразмерное? Вы своими туннелями создаёте централизованные точки отказа, никакое это не спасение от бакса за адрес :(
> это не спасение от бакса за адрес :(Знаете, а если вы начнете настаивать повсеместно что железо теперь стоит как золото, как максимум вы получите широчайшую контрабанду железа и офигенного размера черный рынок, где железо торгуется по ценам куда более близким к реальным рыночным. Ну и смерть практически в ноль "белого" оборота, потому что дураков платить за железяки как за золото - мало. Вот платить за адрес при том что их 2^64 на одно рыло выдается и таких рыл может быть 2^64 - довольно не умно.
// кстати если у какогонить микрософта помрет их тередо я наверное не очень сильно расстроюсь.
> А вдруг наши эникеи так и будут делать, глядя на v4?Лично мне почему-то кажется, что они именно так и будут делать.
На этой планете, торговля песком, водой, воздухом - весьма прибыльное занятие.
А также различными эфемерными вещами вроде наборов байтиков, территорий на Луне или IPv6-адресов. Количество воздуха все-таки ограничено, хоть и велико, а нематериальные вещи можно продавать вечно
> А также различными эфемерными вещами вроде наборов байтиков, территорий на Луне или
> IPv6-адресов. Количество воздуха все-таки ограничено, хоть и велико, а нематериальные
> вещи можно продавать вечноМТС очень некисло торгует золотыми и платиновыми номерами мобил со времен своего основания. ОЧЕНЬ некисло. Платиновый номер по цене Майбаха. Так что это - работает.
> основания. ОЧЕНЬ некисло. Платиновый номер по цене Майбаха. Так что это
> - работает.Пока живут на свете дураки,
Обманом жить нам, стало быть, с руки.(Песенка лисы-алисы и кота базилио)
> А вдруг наши эникеи так и будут делать, глядя на v4?У них не получится. Раздача /128 связана с очень суровыми техническими заморочками, причем первично именно для провайдера (куче клиентов /128 хватило бы).
См. ветку выше, я там все описал.
> Главное, чтобы провы не пошли по пути "/128 на всю локалку".А какая цель этого? Создать клиентам геморрой? На месте клиентов я бы засудил такого прова за заведомый обман покупателя, потому что то что предоставляет этот пров нарушает RFC стандарта и интернетом не является. О чем конечно же покупателя уведомить забудут.
> На месте клиентов я бы засудил такого прова за заведомый обман покупателя, потому что то что предоставляет этот пров нарушает RFC стандарта и интернетом не является.RFC не является законом или подзаконным актом.
А понятие интернета в законодательстве большинства стран если и определено, то очень и очень расплывчато.
В России, например, это называется "предоставлением телематических услуг". И ни слова про RFC.
> В России, например, это называется "предоставлением телематических услуг".
> И ни слова про RFC.Ну вы рекламируете интернет а продаете какие-то обрезки, не являющиеся оным. Обман покупателя налицо. Некоторым вроде уже выдали за их "до 100500 килобитов" так что как минимум серьезные игроки рынка теперь хотя-бы честно и внятно указывают все моменты. Да, с кучей звездочек и оговорок, но по крайней мере можно найти описание того что по факту получишь.
А так - по этому свинарнику с жульем давно уже ФАС и общество защиты потребителей плачут.
ФАС, даааа.... Это наше всё. правда предустановленную венду он, покочевряжившись, внезапно одобрил, но это же случайность, да?
> одобрил, но это же случайность, да?Насколько я помню они покочевряжились да и потребовали принимать ее назад. И все более-менее серьезные производители вроде как стали это делать более-менее.
>> одобрил, но это же случайность, да?
> Насколько я помню они покочевряжились да и потребовали принимать ее назад....и в этом же, 2010 году сказали, что предустановленная венда - это исключительно для блага пользователей. Dell, напримерЮ свернула свою программу возврата денег за венду.
> все более-менее серьезные производители вроде как стали это делать более-менее.
менее и менее...
Вот скажи, друг, ты вернул деньги за венду в 2011? Пробовал? Я - пробовал. А ты - "слышал".
>>> одобрил, но это же случайность, да?
>> Насколько я помню они покочевряжились да и потребовали принимать ее назад.
> ...и в этом же, 2010 году сказали, что предустановленная венда - это
> исключительно для блага пользователей. Dell, напримерЮ свернула свою программу возврата
> денег за венду.
>> все более-менее серьезные производители вроде как стали это делать более-менее.
> менее и менее...
> Вот скажи, друг, ты вернул деньги за венду в 2011? Пробовал? Я
> - пробовал. А ты - "слышал".Ноут HP - нужного мне конфига без винды не было, купил с Win7, вернул деньги ( правда сумма и усилия несоповставими, но).
> Ноут HP - нужного мне конфига без винды не было, купил с Win7, вернул деньги (правда сумма и усилия несоповставими, но).поделись подробностями. когда, сколько, что делал. у меня не вышло.
>> Ноут HP - нужного мне конфига без винды не было, купил с Win7, вернул деньги (правда сумма и усилия несоповставими, но).
> поделись подробностями. когда, сколько, что делал. у меня не вышло.Собственно было не так сложно:
Ноут Купил ( само собой не активировал винду), далее написал письмо ( текст увы издох, но примерно следующего содержания).
Мною было куплено ... , при попытке использовать обнаружил что, для полноценного использования требуется принять соглашение с третьей стороной, текст соглашения меня не устраивает, процедура изменения соглашения не предусмотрена.
На основании (N решение ФАС) и ( статья ГК о принуждении к сделке), прошу Вас принять меры или технические действия, позволяющие мне полноценно использовать продукт без заключения соглашения с третьими лицами.
Поскольку ( ссылка на их магазин )указаны разные цены на машины с системой от MS и без оной, прошу Вас компенсировать составляющую.C Письмо в СЦ, у меня без скрипа приняли и подписали что приняли, через два дня договолись что я подъеду и оставлю ноут на сутки.
P.S. выдали ничтожно мало ( ~1000 руб) за Win7Pro, но у меня было подходящее настроение чтобы хулиганить ( пусть следят за наличием у продавцов модели без Win)
Не получится. Даже не пытайтесь дергаться в этом направлении. Это только громкие слова.
> Не получится. Даже не пытайтесь дергаться в этом направлении.Если не дергаться - ну так всякие му... будут и дальше продавать всякие недоделки, брак и колбасу с картоном под видом нормального товара. Вообще, даже в России уже был ряд интересных прецедентов когда телекомы получали по шапке за методы ведения бизнеса.
Ну а консультироваться по вопросу имеет ли смысл дергаться имеет смысл с юристом, компетентным в предметной области. Вы являетесь таковым?
Да не дёргайтесь вы так. Драфт IETF почитайте.Во-первых, ТАКОЙ NAT топологию сети не скроет: он СТРОГО 1:1. И вообще, не NAT, а NPT -- Network Prefix Translation. Про сохранение полной связности -- в первом абзаце драфта.
Правда, линуксячьи хомячки могут опять своей дорогой пойти... Ну тады ой. :(
> Во-первых, ТАКОЙ NAT топологию сети не скроет: он СТРОГО 1:1. И вообще,
> не NAT, а NPT -- Network Prefix Translation. Про сохранение полной
> связности -- в первом абзаце драфта.Я бы сказал "упомянуто о полной связности", и далее сказано, что IPv4 NAT нарушает этот принцип, и хорошо бы чтобы IPv6 NAT не нарушал. Но не более того.
Я вот честно говоря не могу найти достойного применения IPv6 NAT, и более того, в упомянутом драфте рассмотрены случаи применения NAT-а и все они признаны нецелесообразными для IPv6
> Я вот честно говоря не могу найти достойного применения IPv6 NATНаколенная альтернатива Mobile IPv6 (который зело мутен в настройке, стоит признаться) с трансляцией префикса домашней сети в гостевую.
> Наколенная альтернатива Mobile IPv6Да, про отсутствие в этом случае самой возможности нормального прямого роутинга я в курсе. Это чисто на коленке для относительно редких случаев "ноут уехал на неделю на дачу, а править везде ACL'и дико неудобно".
вообще-то в xtables всё это давно есть.
> вообще-то в xtables всё это давно есть.RAWNAT очень неудобен, т.к. не поддерживает conntrack.
> RAWNAT очень неудобен, т.к. не поддерживает conntrack.Любите тратить память на отслеживание кучи соединений? :)
> Любите тратить память на отслеживание кучи соединений? :)Примерно как тратить личное время на употребление пищи - не люблю, но надо.
Ппц. Такое впечатление что склероз косит ряды коментаторов. У многих юзеров дома стоят роутеры типа dir 300 615 tp941d и что эти железки умеют ip6 ? Пока не закончится жизненный цикл этих железок ip6 нафиг не уперся ...
> Ппц. Такое впечатление что склероз косит ряды коментаторов. У многих юзеров дома
> стоят роутеры типа dir 300 615 tp941d и что эти
> железки умеют ip6 ? Пока не закончится жизненный цикл этих железок
> ip6 нафиг не уперся ...Ты не поверишь, но сейчас большая часть домашних железок поддерживает ip6. В магазине купить роутер без ip6 это надо очень хорошо постараться, поскольку на них на всех стоит ядро 2.6. Ну и плюс нехилая часть юзеров сидит напрямую, вообще без роутера.
Да и стоит роутер копейки и часто выдается провайдером вообще бесплатно.А если ип6 будет внедрен как стандарт, то проблема решится через пару месяцев. Короче, это не проблема. Куда большую проблему создают сраные закрытые за натом порты.
да ядро и свежесть всего этого - даже не причины возможного отсуствия поддержки IPv6. стандарту IPv6, без всяких дополнений, расширений и подпорок для мотивации перехода, сколько уже лет ? больше десятка, небось. просто прошивки для всего этого собирают с выпиливанием этой самой поддержки, а железячную его поддержку создавать не спешат.настоящая проблема тут - это проблема "курицы и яйца". нет поддержки со стороны ISP конечных пользователей - Content Provider'ы не чешутся, а раз CP не чешутся, то и ISP не чешутся. в итоге - все давят по-старинке, а болванчики читают письмена об устаревших, не актуальных подходах, как мантры.
вон уже сколько тут повылазило апологетов NAT'а и во имя "безопасносте!11", и как инструмента в организации топологии сети, и чуть ли не как чудо-юдо протокола маршрутизации. особенно корпораты, со своим "вот с этого сегмента связности с Интернетом быть не должно, в целях безопасности и тп., но если очень хочется - то можно, так что - будем NAT'ить, тоже в целях безопасносте!11". нельзя, знаете ли, сношать бабу в дырявом презервативе, а потом думать, что она после этого точно не забеременеет.
в руководствах от OpenWRT и DD-WRT -- написанно что с IPv6 всё в порядке :-)
а вы таки не думали, что все эти "домашние роутеры" - есть костыли для поддержки систем, построеных на базе виртуальных тоннелей (не столько VPN, сколько имитации на VLAN'ах и/или PPP) и NAT'а, а в IPv6 сетях они на Х не сдались и, более того, в концепцию связности в Интернете эти поделия никак не входят ?жизненный цикл этих желехок, как и сами эти железки, "решающие" выдуманные проблемы, нафиг не сдались в IPv6-сетях. в крайнем случае, их временно можно заменить на DualStack-Lite клиенты (например, так называемые, B4-элементы на тех же самых CPE, "роутерах", для работы с AFTR и Carrier Grade NAT) либо использовать "как есть" для реализации полного DualStack (IPv6 - напрямую, IPv4 - так же, через костыль).
а вы таки не думали, что помимо костылей, есть ещё и куча других полезных функций?
1. банальный хаб (вход 1 кабель, раздача на несколько девайсов) + банальная точка доступа вифи
2. сервисы типа нтп, скачки торентов и пр, ради которых держать целый комп включённым далеко не всегда охота, да и тот же фаервол "из коробки"
3. Проблемы, может, и выдуманные, но в ближайшие лет 5 они будут актуальны. Я уверен, что для 80% юзеров задача "перехода на ИПв6" свершится только с переходом на девайсы, заведомо работающие только по ИПв6, так как сами перенастроить эти девайсы они не в состоянии. Поэтому ещё лет 10 существовать ИПв4 будет.
4. С массовым переходом на ИПв6 придётся массово устанавливать и ДНС, и файерволы там, где до этого в них необходимости не было, потому что если сейчас я ставлю локальный веб-сервак на 10.1.5.25, и это все могут запомнить, то потом запоминать /128 будет некому, значит, должен быть ДНС. Даже для локальной сети из 3-х компов. А чтобы при этом друзья не ломились на мой смарт, придётся ставить на него файрвол :)
А всякую "концепцию связности в Интернете" и прочие страшные слова оставьте для микрософта. И вообще, если вы о чём-то таки не думали, это ещё не значит, что такого таки нету.
это вам следовало сначала подумать, что хоть "роутеры" - это CPE (Customer premises equipment), всё CPE не обязано быть "роутером". более того, это самое CPE - есть штука обязательная к наличию у пользователя для оказания ему услуг связи, в принципе, и, не у наглых жлобов, ещё и выдаётся ему оператором бесплатно.разговор здесь именно о "роутерах" и приплетать что-то другое не стоит.
>> 1. банальный хаб (вход 1 кабель, раздача на несколько девайсов) + банальная точка доступа вифи
вот давайте только hub'ы выкапывать не будем в 21вом веке, а ? если уж на то пошло, пусть это будут коммутаторы, и будут они не "раздавать" как попало, а быстро-быстро коммутировать, причём железом, а не дрищ-процем.
а эта "банальная точка доступа вифи" будет ethernet/wifi-мостом. отдельным, с коммутирующей платой или ввиде, вами любимого, "нецелого компа".ради стабильного уровня качества вашей же связи.
но как это относится к CPE, оборудованию _необходимому_ для оказания услуг связи, в принципе ?>> 2. сервисы типа нтп, скачки торентов и пр, ради которых держать целый комп включённым далеко не всегда охота, да и тот же фаервол "из коробки"
если ваш "нецелый комп" может потянуть такие изыски, то и прошивочка в нём поди будет не из 90х, а то и, вообще, без проблем заменяемая.
но опять же, как это относится к CPE, оборудованию _необходимому_ для оказания услуг связи, в принципе ?>> 3. Проблемы, может, и выдуманные, но в ближайшие лет 5 они будут актуальны. Я уверен, что для 80% юзеров задача "перехода на ИПв6" свершится только с переходом на девайсы, заведомо работающие только по ИПв6, так как сами перенастроить эти девайсы они не в состоянии. Поэтому ещё лет 10 существовать ИПв4 будет.
сказать-то чего хотели ?
я тут вообще пытался сказать, что высер автора выше: "Пока не закончится жизненный цикл этих железок ip6 нафиг не уперся"© - есть чушь собачья. а вы чего, за/против/посередине ?да и что за "Проблемы, может, и выдуманные, но в ближайшие лет 5 они будут актуальны" ?
я слишком непонятно пытался донести, что при переходе на IPv6 и новый, грамотный, дизайн сетей, отпадёт необходимость в жерезжопных решениях, а значит и дополнительном клиентском оборудовании, за исключением временной необходимости в B4-элементах, CPE в DualStack-Lite конфигурациях ?>> 4. С массовым переходом на ИПв6 придётся массово устанавливать и ДНС, и файерволы там, где до этого в них необходимости не было, потому что если сейчас я ставлю локальный веб-сервак на 10.1.5.25, и это все могут запомнить, то потом запоминать /128 будет некому, значит, должен быть ДНС. Даже для локальной сети из 3-х компов.
необходимость была, но ложить Хер было слишком легко и удобно. с IPv6 - уже нет. опять же, вы тут вменяете, что NAT - есть аналог firewall'а и, вообще, каким-то боком относится к безопасности... про это уже всё было сказано, а запоминать случайные циферки - не людское дело в любом случае.
что, дальше будем сидеть, усугублять проблемы, которых не должно было быть изначально ?от CPE надо избавляться, не мешая при этом собственному клиентскому сетевому оборудованию.
>> А чтобы при этом друзья не ломились на мой смарт, придётся ставить на него файрвол :)
предположу, что "смарт" - это так называемый "smartphone". он у вас такой дырявый, что всё напоказ выставляет и даёт полный удалённым доступ по-умолчанию ? может лучше стоит не костыль под него такой подкладывать, а сменить его нафиг ?
и даже если конфигурация на нём грамотная, и известных программных щелей нет, но firewall всё равно хочется, уж не лучше ли поставить фильтрационную программулину именно на него, без таких костылей ? аппаратной фильтрации вам в вашем "нецелом компе" всё равно никто не даст, а так даже лучше будет.опять же, ради стабильного уровня качества вашей же связи.
>> А всякую "концепцию связности в Интернете" и прочие страшные слова оставьте для микрософта.
ога-ога, использование менее двухсмысленной номенклатуры, и вообще, попытки создать грамотное восприятие сути вопроса с обеих сторон, себя и собеседника - это всё от лешег^Wсотон^WMicrosoft'а, ага. как и знание, в принципе. давайте и дальше херню бездумно делать, по заветам бывалых технологических кретинов.
>> И вообще, если вы о чём-то таки не думали, это ещё не значит, что такого таки нету.
и если я о чём-то не говорил, это не значит, что я не знаю о существовании такого, или что оно каким-то боком относится к теме. может ещё о жизни слоников поговорим ?
>>> 2. сервисы типа нтп, скачки торентов и пр, ради которых держать целый комп включённым далеко не всегда охота, да и тот же фаервол "из коробки"
> если ваш "нецелый комп" может потянуть такие изыски, то и прошивочка в
> нём поди будет не из 90х, а то и, вообще, без
> проблем заменяемая.
> но опять же, как это относится к CPE, оборудованию _необходимому_ для оказания
> услуг связи, в принципе ?Ага, а если производитель железки прошивку с IPV6 не выпустит, то ее на свалку немедленно - как хрень задерживающую наступление светлого будущего. У меня, например, спутниковый рес только IPV4 поддерживает - его в мусорку теперь? 18 килорублей между прочим.
>[оверквотинг удален]
> предположу, что "смарт" - это так называемый "smartphone". он у вас такой
> дырявый, что всё напоказ выставляет и даёт полный удалённым доступ по-умолчанию
> ? может лучше стоит не костыль под него такой подкладывать, а
> сменить его нафиг ?
> и даже если конфигурация на нём грамотная, и известных программных щелей нет,
> но firewall всё равно хочется, уж не лучше ли поставить фильтрационную
> программулину именно на него, без таких костылей ? аппаратной фильтрации вам
> в вашем "нецелом компе" всё равно никто не даст, а так
> даже лучше будет.
> опять же, ради стабильного уровня качества вашей же связи.Да упаси господи! Конечно-же все смартфоны на 100% защищены и все китайские разработчики дают 100% гарантию отсутствия дырок в прошивках, равно как и авторы программ в маркетах :-)))
>> Ага, а если производитель железки прошивку с IPV6 не выпустит, то ее на свалку немедленно - как хрень задерживающую наступление светлого будущего. У меня, например, спутниковый рес только IPV4 поддерживает - его в мусорку теперь? 18 килорублей между прочим.ну ктож виноват, что вы выкинули свои деньги на поделия товарищей, не гнушающихся методами искусвенного застаревания для вынуждения покупки новых железок, либо просто слишком криворуких и бесстыжих, чтобы не позволять себе ляпать abandonware. да ещё и потратили свои собственные деньги на оборудование, нужное оператору для предоставления вам услуг.
могу только посочувствовать вашим жизненным тяжестям. но что, весь остальной мир теперь должен ждать, пока вы разгребёте свои технологические недоделки ?>> Да упаси господи! Конечно-же все смартфоны на 100% защищены и все китайские разработчики дают 100% гарантию отсутствия дырок в прошивках, равно как и авторы программ в маркетах :-)))
конечно же, раз мы не верим в разумную безопасность одного устройства - давайте напялим к нему второе. да вот же беда, не слыхали про botnet'ы на необновляемых "роутерах" ? особенно, тех что по-умолчанию выставляют всякие службы на wan-интерфейс ? тысячи их, а то и миллионы.
а что, вы небось верите, что вы-то сможете если уж не обновить софт, то хоть исправить конфигурацию, и вам такого не светит ? а что вам мешает и обновить софт и исправить конфигурацию на вашем "смарте" (+ вы тут ещё и грязно передёргиваете и игнорируете весь смысл цитируемой вами же моей фразы. который сводится к совету таки поставить и настроить firewall на "смарте". чем он вам не угодил ? вы можете доказать, что он, на том же Android'е, дырявый ?) ?
таки не верите в свои способности ? тогда почему с вашим NAT'ящим "роутером" должна получиться другая история ? так давайте тогда и к нему ещё одну железку прилепим, и ещё, и ещё. где остановимся ?я всё таки предлагаю купить нормальный "смарт" от ответственного производителя, грамотно его настроить и использовать в сети отвественного ISP, не плодя лишних сущностей.
и нечего тут сначала сесть в лужу, а потом оправдываться, мол так - нормально, потому что много других так же делают и живут дальше.
>>предположу, что "смарт" - это так называемый "smartphone". он у вас такой дырявый, что всё напоказ выставляет и даёт полный удалённым доступ по-умолчанию ? может лучше стоит не костыль под него такой подкладывать, а сменить его нафиг ?и даже если конфигурация на нём грамотная, и известных программных щелей нет, но firewall всё равно хочется, уж не лучше ли поставить фильтрационную программулину именно на него, без таких костылей ? аппаратной фильтрации вам в вашем "нецелом компе" всё равно никто не даст, а так даже лучше будет.
>>опять же, ради стабильного уровня качества вашей же связи.
Имеется распределённая сеть из кучи сегментов (подсетей)(естесственно за натом с проксями шахматами и поэтессами) находящихся в разных зданиях, даже на разных этажах, добеса пользователей с таким-же зоопарком устройств от компов на 98-х, до iPad - ов, а так-же хитрыми железками для видеоконференцсвязи и по Вашему получается я должен пойти ко всем и и каждому и настроить им на их устройствах фаерволл???
>> Имеется распределённая сеть из кучи сегментов (подсетей)(естесственно за натом с проксями шахматами и поэтессами) находящихся в разных зданиях, даже на разных этажах, добеса пользователей с таким-же зоопарком устройств от компов на 98-х, до iPad - ов, а так-же хитрыми железками для видеоконференцсвязи и по Вашему получается я должен пойти ко всем и и каждому и настроить им на их устройствах фаерволл???во-первых - как CPE и способ предоставления связи провайдером связан с корпоративной сетью ?
во-вторых - нет, вы обязаны "пойти" по всем и каждому ввереному вам устройству, составляющему вашу сетевую инфраструктуру (сервера, маршрутизаторы, коммутаторы, "хитрые железки для видеоконференцсвязи" и тп.), и настроить firewall'ы на них, а заодно и сконфигурировать их исходя из стандартизационных рекомендаций, корпоративной политики и здравого смысла.
то есть, выполнить свои профессиональные обязанности.в-третьих - не помешало бы перестать использовать логическую фальшь, ввиде приравнивания NAT'а к firewall'у ("естесственно за натом с проксями шахматами и поэтессами"© в этом нет ничего "естественного").
вообще к чему это всё было ? выглядит так, как-будто вы используете NAT не просто между своей сетью и uplink'ом, но и на всех межсегментных соединениях внутри всей своей сети, а теперь шокировано узнаёте отсюда, что мол, оказывается, NAT - не есть функция фильтрации трафика.
вас, наверное, разорвёт, когда к вам придёт озарение, что NAT - есть, по-сути своей, красивое название для руинов уничтоженных понятий "локальный адрес" и "изолированный сегмент", уничтоженных путём игнорирования правила, по-которому маршрутизация пакетов в/вовне такой/го сегмент/а или такие/их адреса/ов запрещается, без исключений. но не велика потеря.
в свете чего предлагаю новую мантру для повторения местным апологетам NAT'а, гуру DoubleThink'а:
"NAT - не firewall, а технологический ублюдок, рождённый из ситуации 'когда маршрутизировать нельзя, но если очень хочется - то можно'"
> это вам следовало сначала подумать, что хоть "роутеры" - это CPE (Customer
> premises equipment), всё CPE не обязано быть "роутером". более того, это
> самое CPE - есть штука обязательная к наличию у пользователя для
> оказания ему услуг связи, в принципе, и, не у наглых жлобов,
> ещё и выдаётся ему оператором бесплатно.
> разговор здесь именно о "роутерах" и приплетать что-то другое не стоит.Успокойтесь, все их "роутерами" называют. Это устоявшееся неточность, как называть счётчики - биллингом или преступников - хакерами.
ну давайте ещё член "палкой" назовём на медосмотре...все виды CPE к этому разговору не имеют отношения, а то, что предыдущий оратор приплёл, не имеет прямого отношения к CPE. вот поделка с NAT'ом и/или туннелем до шлюза оператора уже будет CPE, которое может иметь, а может и не иметь, более широкий функционал.
использования NAT'а, лишнего туннелирования и невыдачи полноценной конфигурации для всех сетевых устройств абонента это никак не оправдывает.
PS: ишь чего придумали - "устоявшаяся неточность" 0_o
и правда: каким бы ни был status quo, всегда сполна найдётся тех, кто будет кровью биться за него, лишь бы не сдвинуло его, в любую сторону.
Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход от ната. Шиза косит ряды разработчиков.
> Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход
> от ната. Шиза косит ряды разработчиков.Кто-то точно тут поспорил, что обязательно напишет :-)
>> Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход
>> от ната. Шиза косит ряды разработчиков.
> Кто-то точно тут поспорил, что обязательно напишет :-)Видать тут с провадингом народ знаком только со стороны потребителя ... представте провайдер авторизует вас как порт или того хуже PPPx .... у вас за Вашей пасОчкой МЕГА СЕТЬ настроенная с Вашем Мего пониманием и амбициозным пониманием сети, с претензией к RFC и т.д. ... если NAT-а на ваше пасОчке не будет - вас ждет череда разочарований и шанс подавиться ядовитой слюной спадающей водопадом с вершины Вашего самолюбия :)
Что правда, то правда, на линуксовом роутере можно сделать костыль с переносом префикса полученного от PPP на сеть ЛАН и это решает проблему. Хотя в стандартах PPPv6 и предусмотрен Network Prefix Delegation, не тех устройствах, которые я тестировал это пока не работает.
Все верно, кроме одного «но.» Терминологического.> Хотя в стандартах PPPv6 и предусмотрен Network Prefix Delegation
1. Нет никакого PPPv6, это безграмотный термин. Есть PPP и есть один из возможных NCP — IP6CP (вариант написания — IPv6CP). Мы же не говорим PPPv4 или PPPIPX.
2. В IP6CP нет никакого Network Prefix Delegation. Все, что творится в PPP/IP6CP с IPv6 — это возможность установить link-local адреса. Дальше PPP не при делах.
3. Network Prefix Delegation — это в DHCPv6, которому плевать в PPP-туннель он завернут или нет.
4. DHCPv6, в общем-то, не совсем нужен — все, вроде бы, решается костылем из 3.5 скриптов, которые выполняют SLAAC, меняют конфиг анонсящего на локалку radvd и HUP'ают демона. И коротким временем анонса. Ну, последствия перенумерации понятны. Хотя не уверен что выйдет, могу врать, может быть и не взлетит.
И, да. По-хорошему, если есть развитая домашняя сеть, то нужно получить себе PI-адрес и запириться с провайдерами по BGP. Все через тот же PPP-туннель, например, по хорошо известным link-local адресам (fe80::1%ppp0 — чем не адрес пира?) Но это в стране эльфов, где единороги какают бабочками, а в этом мире будет сплошное «шо? не…»
можно поподробнее про эти былинные катаклизмы, от которых NAT якобы спасает ?уж не на отсутствие ли всякой фильтрации (то есть ACL и функциональности firewall'а) на устройствах Доступа провайдерской сети, которую смягчает тунеллирование, выдача одного адреса, вместо подсети, и, в-итоге, обязательный NAT, при попытке со стороны пользователя подключить более одного устройства/контролировать подключение на CPE (проще говоря, допуск только данных проходящих через ppp-клиент) намекает автор ?
если так, то автор конечно понимает, что IPv6, решая проблему нехватки адресов, не только избавляет от необходимости в NAT'е, но и от необходимости засовывать IP в connection-oriented прослойку, то есть ppp, вообще, а значит и потвортствует установке правильного железа на Доступ ISP ?
то есть опять - решаем проблемы, которых не должно быть, и не будет, если не продолжать их игнорировать.
Два случая из практики, где NAT бы пригодился:1) Подключение к двум провайдерам
2) Подключение через PPPv6, не видел, чтобы где-то реально работало prefix delegation.
я только что сказал ведь, что от необходимости в ppp, и попыток превратить IP в connection-oriented протокол вообще, где эти имитации соединений могут сподвигатся на сотни километров, аки телефонные circuit-switched соединения, IPv6 отталкивает.это ещё две вещи, которые _задумывались_ быть невыполнимыми (multihoming без BGP, ppp в современных, цифровых, connectionless сетях с достатком адресов). потому что так не надо делать, а точнее - надо делать по-другому. как, например, не надо пытаться разрешать соединения там, где их не должно быть в целях безопасности. а если они должны быть, то делать их полноценно. но кого волнует, что там стандартизаторы и дизайнеры протоколов напридумывали, да ? у всех свои методы, хочешь глобальной connectivity - работать придётся со всеми, даже с технологическими извращенцами.
для избирательности есть firewall'ы, для глобальной маршрутизации и работы с uplink'ами - BGP, а ppp...ppp в современных IP сетях ещё не сдох не от хорошей жизни и мира во всём мире. помереть бы ему вместе с пёр-пёр-аналоговой телефонией, да вот только
1) на "тупом" провайдерском железе, коего большинство, учёт и контроль голого IP-трафика не сделать без больших проблем
2) регистраторы, как почуяли растущую проблему нехватки адресов (а почуяли они это очень давно), так и перестали давать адреса "на вырост", а значит и от красивых дизайнов своих новых сетей, с грамотной иерархией назначения адресов, эффективной маршрутизацией и расчётом на масштабируемость пришлось отказаться. вот вам географическая зона, вот вам пачка адресов - всё одним сегментом, для бОльшей утилизации, потом ещё дадим - из другого pool'а.в голодранца играть нынешнему оператору связи уже как-то стыдно в наше время (а тем более - не оператору, а какому-нибудь корпоративному IT'шнику), а проблему с адресами IPv6 решает.
так что, эти две вещи, что вы указали, эти надуманые проблемы, существуют только от попыток обращаться с новым по-старинке (городить multihoming без BGP - тоже от жлобства купить нормальные маршрутизаторы и/или от недоверия к себе и персоналу собрать аппарат под это дело самостоятельно).вместе с железом, надо и подходы менять. и менталитет.
Не могу похоронить PPPoE.Схема:
1. Два Интернет-провайдера, друг с другом не взаимодействующие. Т.е. договориться нельзя.
2. Один кабельный оператор («последняя миля» между провайдером и клиентом), который этих двух провайдеров сводит в одну розетку у клиентов дома.
3. Клиент, пользующийся двумя провайдерами (по одному кабелю, да). Причем с одного компьютера.Решение только одно — L2-сеть и PPPoE (у каждого провайдера свой Service-Name). IPoE хочется, но не можется по одной простой причине — нет другого доступного метода инкапсуляции кроме PPPoE.
Формально, правда, да, 802.1Q спас бы картину, если бы клиенты его массово умели. Но даже SOHO-роутеры далеко не все хотят, а десктопы с ноутами — вообще без шансов.
> Кто-то точно тут поспорил, что обязательно напишет :-)Я даже знаю как его звали. Это был Капитан Очевидность. Выше по треду кстати тоже его рук дело.
Для тех товарищей которые свято верят в то что NAT их отчаянно защищает, просветитесь что такое Symmetric NAT, Full cone NAT, Address restricted NAT и Port restricted NAT. Ужаснитесь.Практически через все наты кроме симметричного можно просто входить как в открытые двери. Для обратного прохождения симметричного ната нужно чуть поднапрячься. Сложно, но не невозможно.
Нат на IPV6 это чисто фо лулз. Код у пацанов был рабочий, не пропадать же добру, вот и впилили. Нахрена оно нужно - непонятно.
Те кто верит, то есть те кого он как- то защищает, в 99% используют PAT. Вы уверены что оно нормально проходимо для входящих соединений?
> Для тех товарищей которые свято верят в то что NAT их отчаянно
> защищает, просветитесь что такое Symmetric NAT, Full cone NAT, Address restricted
> NAT и Port restricted NAT. Ужаснитесь.
> Практически через все наты кроме симметричного можно просто входить как в открытые
> двери. Для обратного прохождения симметричного ната нужно чуть поднапрячься. Сложно, но
> не невозможно.
> Нат на IPV6 это чисто фо лулз. Код у пацанов был рабочий,
> не пропадать же добру, вот и впилили. Нахрена оно нужно -
> непонятно.
> Те кто верит, то есть те кого он как- то защищает, в 99% используют PAT. Вы уверены что оно нормально проходимо для входящих соединений?С использованием IGD/UPnP и при наличии засланцев в сети - прекрасно проходимо. В отличие от фаервола.
Заладили, млин, "защита-защита" :( А ничего, что при помощи SNAT|DNAT в сети можно малой кровью выполнить кучу приятных "фокусов"? Например, отправить соединения на некий конкретный порт обрабатываться неким конкретным сервисом. Что может при случае подстраховать локал-админов от мисконфигурейшена, а техподдержку - избавить от части дурных звонков.
Ну, короче, есть масса вариантов кроме как SNAT-ить всю сеть в 1 несчастный ip. И очень хорошо, что у сис-прогеров наконец дошли до этого руки.
А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за гаражами ? Обычно выкручиваться приходится от бедности.
> А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за
> гаражами ? Обычно выкручиваться приходится от бедности.Обычно выкручиваться приходится от СЛОЖНОСТИ.
>> А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за
>> гаражами ? Обычно выкручиваться приходится от бедности.
> Обычно выкручиваться приходится от СЛОЖНОСТИ.Ты с админом локалхоста разговариваешь. Для него сложностей не существует. Ваш К.О.
> Обычно выкручиваться приходится от СЛОЖНОСТИ.Обычно от ГЛУПОСТИ. Но это синоним сложности.
NAT в IPv6 нужен для двух вещей1) Multihoming без BGP. Как вы это сделаете без ната?
2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных мануалах по безопасности, и ее по моему никто не отменял.
> 2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных
> мануалах по безопасности, и ее по моему никто не отменял.В IPv6 эту рекомендацию считают устаревшей.
> 1) Multihoming без BGP. Как вы это сделаете без ната?X8-O
А NAT-то зачем?! Сервер слушает на всех адресах, а пакеты роутятся FBR'ом...
> 2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных мануалах по безопасности, и ее по моему никто не отменял.
Почитайте draft IETF. Та реализация NAT'а, которая там описана, реальную адресацию внутри сети не скрывает, ибо она строго 1:1.
С приходящим трафиком нет проблем вообще, а как быть с трафиком исходящим. В IPv4 хост обычно имеет один адрес IP, и роутер решает, через какого провайдера выходить. А в IPv6 хост сам должен разобраться, какой линк выбрать, как вы предлагаете это сделать?
В обоих случая NAT это ненужный больше костыль. Его держат скорее из-за того, что народ к нему привык и прикипел душой.
Мне слабо верится, что будущие isp будут выдавать мне сетку, а не адрес, требуя деньги за каждый девайс.
Как-то по работе нужые был для проверки кое-чего. Так для тестов сам нарисовал на nfqueue+python. Работал, натил.
И вообще, откуда столько воплей? Не нравится - отключи. Хочется - включи. Полная свобода.
> Мне слабо верится, что будущие isp будут выдавать мне сетку, а не
> адрес, требуя деньги за каждый девайс.Придётся. IP v6 не умеет роутить адреса. Он меньше /64 роутить не умеет.
>> Мне слабо верится, что будущие isp будут выдавать мне сетку, а не
>> адрес, требуя деньги за каждый девайс.
> Придётся. IP v6 не умеет роутить адреса. Он меньше /64 роутить не
> умеет.Ооой, мы тут по незнанию запустили в клиента 12 адресов /128 (: - мы все умрем - да ?
У NAT в IPv4 тоже была благородная цель - расширить адресное пространоство. Но админы локалхоста решили, что это такой хитрый файрвол.
Если и в IPv6 будет такая же фигня - то лучше вообще не делать реализацию NAT для IPv6
> У NAT в IPv4 тоже была благородная цель - расширить адресное пространоство.
> Но админы локалхоста решили, что это такой хитрый файрвол.
> Если и в IPv6 будет такая же фигня - то лучше вообще не делать реализацию NAT для IPv6А раз она уже сделана, значит IPv6 — такая же фигня, как IPv4. ;)