URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 87971
[ Назад ]

Исходное сообщение
"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"

Отправлено opennews , 27-Дек-12 21:16 
Доступно (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) обновление iptables 1.4.17 (http://www.iptables.org), набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter (http://www.netfilter.org/). В новой версии реализована полная совместимость с ядром Linux 3.7 (http://www.opennet.me/opennews/art.shtml?num=35554) и исправлено несколько ошибок. В частности, добавлена поддержка трансляции адресов для IPv6 и включены IPv6-варианты расширений MASQUERADE, SNAT, DNAT и REDIRECT.
Кроме того, добавлено расширение с реализацией спецификации
NPT (http://tools.ietf.org/html/rfc6296) (IPv6-to-IPv6 Network Prefix Translation), нацеленной на организацию связывания один к одному IPv6-адресов (по аналогии с IPv4-to-IPv4 NAT, только для обеспечения доступности одного IPv6-адреса через другой  IPv6-адрес).

URL: http://lists.netfilter.org/pipermail/netfilter-announce/2012...
Новость: http://www.opennet.me/opennews/art.shtml?num=35708


Содержание

Сообщения в этом обсуждении
"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено anonymous , 27-Дек-12 21:16 
Не успел ipv6 начать использоваться, как к нему уже налепили костылей.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Andrey Mitrofanov , 27-Дек-12 21:19 
> Не успел ipv6 начать использоваться, как к нему уже налепили костылей.

Он без костылей не ходит. С костылям тоже. Продолжайте набрасывать.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено mihalych , 27-Дек-12 21:27 
Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 21:32 
> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны
> ip-адресов чуть более чем достаточно.

Решение проблем с нехваткой адресов IPv4 лишь одна из областей применения NAT, которой он не ограничивается.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено mihalych , 27-Дек-12 21:38 
> Решение проблем с нехваткой адресов IPv4 лишь одна из областей применения NAT,
> которой он не ограничивается.

Например? Разъясни же, раз заговорил. Хотя, таки да NAT нужен.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 21:46 
http://ru.wikipedia.org/wiki/NAT#.D0.9F.D1.80.D0.B8.D0.BC.D0...

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено BratSinot , 28-Дек-12 02:34 
И чего вы там нужного для IPv6 увидели?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Анончик , 29-Дек-12 10:32 
• Сокрытие от внешнего наблюдателя структуры внутренней IP-сети.
• Организация системы с распределенной нагрузкой.

Ну хотя да, на админам локалхоста это не нужно.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено GentooBoy , 27-Дек-12 21:47 
Защита пользователей интернет провайдеров.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Xasd , 27-Дек-12 22:02 
> Защита пользователей интернет провайдеров.

ЛОЛШИТО?!

защищает фаервол со специальными правилами (в том числе и тот фаервол который может быть у провайдера, а не только тот который на пользовательском компьютере).

а NAT нужен -- только для экономии IP-адресов и для создания замечательных сетевых глюков у пользователей.

# P.S.: откуда вы только такие берётесь, люди, которые пытаются использовать пищевой кетчуп в качестве смазки для мотора :-D [кетчуп -- он же тоже такой вязкий по консистеции, почему бы не заиспользовать его? да?]

# P.P.S.: если провайдерам будет нужно -- то через фаервольные правила -- они выдывая честные берые IPv6-аредса -- тоже смогут блокировать все входящие TCP-соеденения (разрешая только новые исходящие и уже установленные). в этом случае вроде бы и сеть не будет глючить и торренты нельзя будет нормально обменивать :) .


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено mihalych , 27-Дек-12 22:17 
Так и я о том же! Но пусть будет. Лишнего не бывает, бывает запасное. Например, интернет провайдеры будут выдавать своим клиентам по одному IP адресу, а не диапазон адресов, как обещалось изначально…

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Xasd , 27-Дек-12 22:21 
> Так и я о том же! Но пусть будет. Лишнего не бывает, ...

эт да! лишним не будет! :)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено mihalych , 27-Дек-12 22:46 
>> Так и я о том же! Но пусть будет. Лишнего не бывает, ...
> эт да! лишним не будет! :)

Приходит ко мне товарищ и говорит, что провёл себе интернет к компу, купил ещё ноут, звонил провайдеру, как и ноут подключить? Они ему сказали, что нужно заводить новую точку. Русский бизнес #$&**$$&&#.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 22:22 
> Так и я о том же! Но пусть будет. Лишнего не бывает,
> бывает запасное. Например, интернет провайдеры будут выдавать своим клиентам по одному
> IP адресу, а не диапазон адресов, как обещалось изначально…

При использовании NAT для "безопасности" клиентам вообще белые адреса давать нельзя. Только один айпишник на тыщу клиентов, да и тот к провайдерской кошке привязан.

Впрочем, такое использование NAT - лишь следствие глубоко поражения межушного ганглия провайдерских "админов". Фильтрация транзитного трафика настраивается проще, и не требует защемления яиц клиентов.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 23:17 
Выставлять хомячковые компы голой ж.пой в интернеты - не самая здоровая идея.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 23:22 
> Выставлять хомячковые компы голой ж.пой в интернеты - не самая здоровая идея.

Ага. Как и использовать для их защиты NAT.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 23:41 
> Ага. Как и использовать для их защиты NAT.

Кто ж виноват что индивиды с особо отмороженным межушным ганглием не могут его останками осознать даже то что фильтрацией такого плана должен заниматься stateful firewall, а вовсе не.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено demon , 28-Дек-12 00:14 
Да если уж так приперло, то буквально одной командой IPTables можно получить полный "защитный" эффект NAT-а для "белых" адресов без использования собственно NAT-а. Ну, может двумя командами, если еще UDP зарезать отдельно.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 00:55 
Годный тред-детектор диванных теоретиков.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено GentooBoy , 28-Дек-12 04:10 
вы таки думаете что провайдеры юзают iptables для фильтрации трафика?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено vitlva , 28-Дек-12 09:54 
У Анонима - раздвоение личности s/Аноним/Шмыга/g



"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 03:24 
Разделение локальной и глобальной сети, контакт между которыми должен осуществляться лишь в ограниченном количестве строго контролируемых и специально для того предназначенных точек  - это _азы_ сетевой безопасности. Впрочем, школоте на локалхостах оно "ненужно", да.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 03:46 
> Разделение локальной и глобальной сети, контакт между которыми должен осуществляться лишь
> в ограниченном количестве строго контролируемых и специально для того предназначенных
> точек

Все это замечательно. Но при чем тут NAT?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 03:50 
> Все это замечательно. Но при чем тут NAT?

Видимо, разоблачители диванных теоретиков полагают, что маршрутизация без ната невозможна :)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 05:42 
> Видимо, разоблачители диванных теоретиков полагают, что маршрутизация без ната невозможна :)

Или они не понимают что stateful firewall != NAT.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 09:07 
Даже в г.внороутерах за 80$ NAT есть. Или уже нет? Хомячкам "ненужно"?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено rshadow , 27-Дек-12 23:29 
Абсолютно согласен. От нат всегда были, есть  и будут одни проблемы.
Только пользователям винды, хоть какая то защита от дырявых кишок оси наружу. Но этих вообще от инета надо отключать ибо от них тока спам и другие боты...

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 23:43 
> Только пользователям винды, хоть какая то защита от дырявых кишок оси наружу.

Обычно им достаточно убить 137-139 и прочие 445, после чего наиболее злобная часть вирусни и хакеров пролетает. Провы кстати в курсе и повально давят эти порты.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено mihalych , 28-Дек-12 00:10 
>> Только пользователям винды, хоть какая то защита от дырявых кишок оси наружу.
> Обычно им достаточно убить 137-139 и прочие 445, после чего наиболее злобная
> часть вирусни и хакеров пролетает. Провы кстати в курсе и повально
> давят эти порты.

Кстати не все провы в курсе, чем и пользуюсь, снося винды. :)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено GentooBoy , 28-Дек-12 03:49 
подкиньте как ссылочку какие провы давят  137-139, 445 на внешних ip?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 05:44 
> подкиньте как ссылочку какие провы давят  137-139, 445 на внешних ip?

Навскидку, в таком был замечен МТСовский стрим. И еще кто-то. Сие довольно популярная практика у провов, т.к. вирье долбящее RPC и вечно открытые шары на которые вирье себя пишет всех утомило. Прову срач в сети вызывающий нарекания на их сеть от окружающих тоже ни к чему.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Moomintroll , 28-Дек-12 09:08 
А ещё Спарк (Электро-ком).

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено rshadow , 28-Дек-12 12:28 
Вообще в москве у всех провайдеров в админке личного кабинета есть рычажок безопасности. Типа рубить порты или нет ... причем они там почти все входящие до 1024 порта рубают, включая естественно все виндовые.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 16:36 
Как же я мог забыть что за мкадом жизни нет.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 00:17 
ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 01:21 
> ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.

И наты тоже, ога :D


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено XoRe , 28-Дек-12 01:34 
>> ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.
> И наты тоже, ога :D

Наты любят больше, хотя, конечно не магистральные.
А внешний ip делать как услугу за 100 р в месяц.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено www2 , 28-Дек-12 06:15 
Умник, чем же они ограничивают доступ к сайтам из реестра запрещённых?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено kaminsky , 28-Дек-12 10:23 
acl?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 18:32 
А это типа не фаервол?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено анонимус , 28-Дек-12 07:12 
>>ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.

в пределах мкада не используют, ибо неосиливают


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено rshadow , 28-Дек-12 12:30 
ЛОЛ =) Понятия фаервол у провайдеров вообще нету. Ибо они все на линухах, а там привычнее iptables. Но как не назови один фиг порты блокируют, причем пользователю дают возможность настройки в личном кабинете на сайте, о чем я уже писал выше =)

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 18:33 
> ЛОЛ =) Понятия фаервол у провайдеров вообще нету. Ибо они все на
> линухах, а там привычнее iptables.

iptables не предоставляет функций фаервола?
Опять же, фревые ipfw и pf не предоставляют функций ната?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено GentooBoy , 28-Дек-12 03:44 
А я говорю что это правильно как будто? Я говорю как это юзают.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 29-Дек-12 14:22 
Ответ на PS
Я знаю откуда такие берутся,  их учат в институте этому. Я с учителем по безопасности ооочень долго спорил по этому поводу.  Преподают NAT  как средство защиты.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 22:19 
> Защита пользователей интернет провайдеров.

Не надо путать NAT с фаерволом.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Andrey Mitrofanov , 27-Дек-12 22:31 
>> Защита пользователей интернет провайдеров.
> Не надо путать NAT с фаерволом.

Не надо путать файервол с _защитой. :-P


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 23:23 
>>> Защита пользователей интернет провайдеров.
>> Не надо путать NAT с фаерволом.
> Не надо путать файервол с _защитой. :-P

Защита - это название охранного агентства?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 23:44 
> Защита - это название охранного агентства?

А самба наверное происходит от самбо, которое "самозащита без оружия" :)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Ы , 28-Дек-12 05:41 
Посмотри в БСЭ: Самба - вульгарный парный латиноамериканский танец.

"Я вся горю!" ... какие-же выводы, на основании вышеизложенного сделают местные Ыксперты!
Господа, принимаются ставки - "АналитеГи ЛОР'а" vs "Ыксперты О-нет!'a" 8-)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 22:22 
> Защита пользователей интернет провайдеров.

Да, если вам отпилить ноги, вероятность того что вам упадет на голову кирпич сильно понижается, поскольку таскаться по улице станет очень неудобно и вы станете избегать этого. Вот только нужна ли вам такая "защита"?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено mihalych , 27-Дек-12 22:29 
>> Защита пользователей интернет провайдеров.
> Да, если вам отпилить ноги, вероятность того что вам упадет на голову
> кирпич сильно понижается, поскольку таскаться по улице станет очень неудобно и
> вы станете избегать этого. Вот только нужна ли вам такая "защита"?

А вот если отпилить голову …


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 23:45 
> А вот если отпилить голову …

Тогда станет совсем пофигу. Кстати вариант. Пусть этот генту*б сеть себе отключит. Хакать неподключенную сеть хакеры пока еще не умеют :)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Антоним , 28-Дек-12 02:57 
Умеют. Звонок по телефону и прямой вопрос — «Здраствуйте, я Вася из 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 03:48 
> Умеют. Звонок по телефону и прямой вопрос — «Здраствуйте, я Вася из
> 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»

"А у нас нет сервера, лол"


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 05:46 
>> Умеют. Звонок по телефону и прямой вопрос — «Здраствуйте, я Вася из
>> 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»
> "А у нас нет сервера, лол"

Бригада маскишоу - выехала. Если не найдут ... вобщем у тебя 15 мин. - лучше сам его сделай, сложи на него тонну контрафакта, нацпол, покушение на честь думскихЪ *ей (я ничего не забыл?) - и да ... скажи пароль :)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 05:47 
> *ей - дядей а не то что вы подумали :)

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 05:45 
> 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»

Ну, подскажите ему пароль. Если он сможет ремотно воткнуть сетевой шнур в системник - дайте ему нобелевскую (если ее конечно дают за успехи в телекинезе).



"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено www2 , 28-Дек-12 06:04 
Комп в беспроводной сети - втыкать ничего не нужно :)

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено taaroa , 27-Дек-12 22:10 
> Например?

google://PCI DSS NAT
например


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Xasd , 27-Дек-12 22:17 
>> Например?
> google://PCI DSS NAT
> например

это не те ли самые разработчики стандартов безопасности -- которые запрещают банкам использовать HTTP-заголовок:
"X-Frame-Options: SAMEORIGIN"
для web-страниц авторизации 3D-Secure
????

(этот запрет на "X-Frame-Options: SAMEORIGIN" ---- позволяет магазинам организовать такую схему ввода кода, которая покупалетям не позволит посмотреть на SSL-сертификат (или URL) банковской странички.. очень блин "умно" :-/)

ну тогда понятна ихняя квалификация :-)


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено ILYA INDIGO , 28-Дек-12 00:51 
>Например? Разъясни же, раз заговорил. Хотя, таки да NAT нужен.

1 Офис мелкой или средней компании, у правайдер выдаёт статический IP, конечно же думая что это простой домашний пользователь, который приходит на шлюз, и раздаётся в локалку.
При этом, в отличие от Proxy и VPN нет гемора с настройкой, и можно задейстово вать маскарадинг.
2 Домашний комп, в том числе, в роли шлюза для ноута и смартфона, с возможностью маскарадинга, например для теста клиент/серверных приложений.
3 Классика. Роутер на 2 и/или больше домашних компа, с 1 статическим IP, без гемора в настройках и возможностью маскарадинга.
Мало?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 01:10 
Как бы в варианте ipv6 это всё автоматом получит свои белые адреса. Если, конечно, провайдер дружит с головой и будет выдавать блок /64 на пользователя, как и положено.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено ILYA INDIGO , 28-Дек-12 01:24 
Ну если он будет выдавать блок из 64 по цене одного, то да./
А если нет?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено XoRe , 28-Дек-12 01:37 
> Ну если он будет выдавать блок из 64 по цене одного, то
> да./
> А если нет?

Не мешайте людям мечтать


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 02:27 
Вообще-то это очень по-скромному, как раз с учетом жлобства российских провайдеров. По рекоменадция пользователю должны выдаваться блоки /48, а не /64. А при /64 провайдеру (получающему /32) жмотиться вообще резона никакого.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено rm_ , 28-Дек-12 08:00 
> Ну если он будет выдавать блок из 64 по цене одного, то
> да./
> А если нет?

А что значит "если"? Сотни провайдеров в мире, десяток-другой провайдеров в России, уже запустили IPv6 и выдают как минимум /64, бесплатно. Вам обо всём этом не сообщили?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 09:12 
На кой черт каждому компу "белый" адрес?

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено о_О , 28-Дек-12 14:33 
> На кой черт каждому компу "белый" адрес?

Чтобы быстрее ловить и вешать за яйца опастных коментаторов.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 16:26 
То-то, я смотрю, все "опастные комментарторы" в фейсбуках, вконтактах и прочем, где и так все координаты комментирующего известны, уже без яиц... аж дальше некуда.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 16:24 
Чтобы интернет не ограничивался ородом под названием Web. Который победил, по большому счету, именно из-за отсутствия полноценной связности.

Чтобы нормально работало разнообразное p2p. Чтобы было нормой видео/аудио без всяких операторов. И так далее, и тому подобное. Чтобы было тривиально зацепиться с телефона или  планшета к домашнему медиасерверу (который тогда запросто вырастает в полноценную железку), и не быть прибитым к облачным сервисам, но сохранить мобильность.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено PGArchangel , 28-Дек-12 09:28 
Перенаправление всех портов на прозрачный прокси-сервер, который режет всё, что нужно. Люди и знать не будут, что сидят через прокси.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 14:47 
Как на счет имеющихся двух провайдеров с файловером, причем всё это дома? Без ната тут никак.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 22:18 
> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.

И как это мне поможет, если нужно редиректить трафик на другой порт/хост?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено XoRe , 28-Дек-12 01:38 
>> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.
> И как это мне поможет, если нужно редиректить трафик на другой порт/хост?

xinetd + redirect port.
Ещё могу порекомендовать простую и удобную программу redir, правда она есть не во всяком дистрибутиве.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 03:44 
Юзерспейсовские решения по производительности с прочмокиванием всасывают у ядерных, так что их не рассматриваем.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 05:47 
> xinetd + redirect port.

А что, айпитаблес уже не комильфо? Вот нат тут виноват разве что тем что живет поблизости обычно.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Анонимм , 28-Дек-12 13:23 
>> xinetd + redirect port.
> А что, айпитаблес уже не комильфо?

Netfilter до комильфо еще ой как далеко. Вот когда сможет обрабатывать все виды пакетов, тогда и видно будет.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Анонимм , 28-Дек-12 13:33 
То бишь не из стека TCP/UDP/IP


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 18:36 
> То бишь не из стека TCP/UDP/IP

netfilter (на уровне "IP и выше") поддерживает SCTP и DCCP.
Также там есть модуль работы с ARP/RARP (arptables).

А ebtables вообще работает со всем что можно завернуть в ethernet.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 18:37 
> А что, айпитаблес уже не комильфо? Вот нат тут виноват разве что
> тем что живет поблизости обычно.

Не просто поблизости а, в силу архитектуры netfilter, редиректы являются частным случаем ната.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено анонимус , 28-Дек-12 07:19 
>>> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.
>> И как это мне поможет, если нужно редиректить трафик на другой порт/хост?
> xinetd + redirect port.
> Ещё могу порекомендовать простую и удобную программу redir, правда она есть не
> во всяком дистрибутиве.

Хм, и фтп-трафик тоже?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено о_О , 28-Дек-12 15:29 
> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны
> ip-адресов чуть более чем достаточно в пределах галактики.

Не говорили так, говорили что "NAT не обязателен".


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено mihalych , 27-Дек-12 21:32 
И вообще, имхо это барыгам NAT нужен, дабы спекулировать IP адресами. Да как это вот так вот за просто так раздавать IP адреса бесплатно? Неееет! Не в нашем с вами обществе.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено анонимус , 28-Дек-12 07:26 
> И вообще, имхо это барыгам NAT нужен, дабы спекулировать IP адресами. Да
> как это вот так вот за просто так раздавать IP адреса
> бесплатно? Неееет! Не в нашем с вами обществе.

На счет барыг не знаю, как не знаю и с кем вы там в обществе, но свою корпоративную сетку не буду выставлять голой жопой в инет. Ни мне, ни моим хомячкам это нахрен не нужно.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 09:15 
Не трать бисер, бро.:)
Мне там выше уже объяснили, что это "ненужно".

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 16:28 
Да корпоративщики могут творить что угодно, их право. Хотя всю жтзнь считался секьюрным вариант не с натом, а с полностью закрытым форвардингом и проксями для нужных сервисов. Барыги - это ж оконечные провайдеры, я так понимаю

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 22:05 
Ходит. Москва, старлинк, честная /64 и никаких проблем.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Xasd , 27-Дек-12 22:10 
> Ходит. Москва, старлинк, честная /64 и никаких проблем.

клёёёёва!

всмысле тебе ддают прям всю подсеть /64 ? скок хочешь адресов? или только 1 адрес из TAP (а не TUN) сети размером на /64


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено rm_ , 27-Дек-12 23:57 
> всмысле тебе ддают прям всю подсеть /64 ? скок хочешь адресов? или
> только 1 адрес из TAP (а не TUN) сети размером на
> /64

/me задумчиво помешал кашу в голове у Xasd


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 27-Дек-12 22:26 
> Ходит. Москва, старлинк, честная /64 и никаких проблем.

А что, реально /64 честные выдают?И как у них со стабильностью всего этого?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено rm_ , 27-Дек-12 23:57 
> А что, реально /64 честные выдают?

Прикинь, да? И не только они http://version6.ru/isp


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 00:57 
>> А что, реально /64 честные выдают?
> Прикинь, да? И не только они http://version6.ru/isp

Ничему история людей не учит. 640Кб, да.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Xasd , 28-Дек-12 01:19 
если бы она ничему не учила бы, то тогда в IPv6 была бы не 128-битная разрядность, а 64-битная, или 48-битная :-)

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено XoRe , 28-Дек-12 01:49 
> если бы она ничему не учила бы, то тогда в IPv6 была
> бы не 128-битная разрядность, а 64-битная, или 48-битная :-)

Если каждому давать по /64, то получится близко к 64-битной )


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 02:30 
и чем вам 2^64 пользователей мало? При любой, самой чудовизной недоутилизации этого на много лет хватит. А за это время один хрен что-то сдохнет другое. Или вы думаете, что ipv6 при любом мыслимом дизайне проживет столько же сколько четвертый? Ни в жизнь - мир всё быстрее становится.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Антоним , 28-Дек-12 03:06 
2^128 по любому хватит только нашей Галактике, другим галактикам придётся использовать NAT. :-|

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 04:34 
Ничего страшного - к тому времени на ЛОРе будет допилена libastral. По данным из надежных источников IP она не использует, там другие протоколы :-)

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 05:48 
> Если каждому давать по /64, то получится близко к 64-битной )

Ну как бы 2^64 пользователей в обозримом будущем на этой планете не предвидится. Ну разве что если всех бацилл захотеть в сеть связать. Ну, придется им кластеризоваться как-то по 2^64 на кластер.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 11:19 
Всё равно, ни к чему /64 на одного хомячкового (не корпоративного) абонента. Более чем достаточно /120 на хомячка. Трудно представить в квартире даже сотню абонентских устройств.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено rm_ , 28-Дек-12 11:40 
> Всё равно, ни к чему /64 на одного хомячкового (не корпоративного) абонента.
> Более чем достаточно /120 на хомячка. Трудно представить в квартире даже
> сотню абонентских устройств.

Для SLAAC обязан быть /64, со /120 она работать не будет.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 28-Дек-12 12:54 
Ну-ка попробуй в линуксе добавить маршрут для сетки /120

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Crazy Alex , 28-Дек-12 17:05 
И это правильно. В условиях изобилия решать, чего у кого сколько будет - дикость.

"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено vi , 28-Дек-12 19:15 
> - дикость.

Это, Вы, случайно не про "Человека Разумного"?


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Led , 29-Дек-12 02:21 
>> - дикость.
> Это, Вы, случайно не про "Человека Разумного"?

"Человек Разумный" не поставит запятые там, где ты их наугад влепил.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено vi , 29-Дек-12 07:46 
>>> - дикость.
>> Это, Вы, случайно не про "Человека Разумного"?
> "Человек Разумный" не поставит запятые там, где ты их наугад влепил.

Хотелось поэзии, а получилась проза, как ни крути ;)

Ну все, хватит сарказмить, а то удалят не смотря на то, что комент Crazy Alex-а то дельный.


"Обновление iptables 1.4.17 с поддержкой IPv6 NAT"
Отправлено Аноним , 29-Дек-12 17:36 
Как минимум NPT нужен для реализации провайдеронезависимых адресов в локальной сети. Вешать по несколько адресов на девайс как-то глупо. Измененять все адреса в сети при смене провайдера или выдаваемых им префиксов - ещё глупее.
Есть, конечно, Mobile IP (http://tools.ietf.org/html/rfc6275 ), но судя по этой части:

>   When routing packets directly to the mobile node, the correspondent
>   node sets the Destination Address in the IPv6 header to the care-of
>   address of the mobile node.  A new type of IPv6 routing header (see
>   Section 6.4) is also added to the packet to carry the desired home
>   address.  Similarly, the mobile node sets the Source Address in the
>   packet's IPv6 header to its current care-of addresses.  The mobile
>   node adds a new IPv6 "Home Address" destination option (see
>   Section 6.3) to carry its home address.

в сути своей это тот же NAT с дополнительными костылями для удобства. Да и насколько я понимаю, адреса там всё равно будут привязаны к одному провайдеру (Home Address).