Доступно (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) обновление iptables 1.4.17 (http://www.iptables.org), набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter (http://www.netfilter.org/). В новой версии реализована полная совместимость с ядром Linux 3.7 (http://www.opennet.me/opennews/art.shtml?num=35554) и исправлено несколько ошибок. В частности, добавлена поддержка трансляции адресов для IPv6 и включены IPv6-варианты расширений MASQUERADE, SNAT, DNAT и REDIRECT.
Кроме того, добавлено расширение с реализацией спецификации
NPT (http://tools.ietf.org/html/rfc6296) (IPv6-to-IPv6 Network Prefix Translation), нацеленной на организацию связывания один к одному IPv6-адресов (по аналогии с IPv4-to-IPv4 NAT, только для обеспечения доступности одного IPv6-адреса через другой IPv6-адрес).URL: http://lists.netfilter.org/pipermail/netfilter-announce/2012...
Новость: http://www.opennet.me/opennews/art.shtml?num=35708
Не успел ipv6 начать использоваться, как к нему уже налепили костылей.
> Не успел ipv6 начать использоваться, как к нему уже налепили костылей.Он без костылей не ходит. С костылям тоже. Продолжайте набрасывать.
Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.
> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны
> ip-адресов чуть более чем достаточно.Решение проблем с нехваткой адресов IPv4 лишь одна из областей применения NAT, которой он не ограничивается.
> Решение проблем с нехваткой адресов IPv4 лишь одна из областей применения NAT,
> которой он не ограничивается.Например? Разъясни же, раз заговорил. Хотя, таки да NAT нужен.
http://ru.wikipedia.org/wiki/NAT#.D0.9F.D1.80.D0.B8.D0.BC.D0...
И чего вы там нужного для IPv6 увидели?
• Сокрытие от внешнего наблюдателя структуры внутренней IP-сети.
• Организация системы с распределенной нагрузкой.Ну хотя да, на админам локалхоста это не нужно.
Защита пользователей интернет провайдеров.
> Защита пользователей интернет провайдеров.ЛОЛШИТО?!
защищает фаервол со специальными правилами (в том числе и тот фаервол который может быть у провайдера, а не только тот который на пользовательском компьютере).
а NAT нужен -- только для экономии IP-адресов и для создания замечательных сетевых глюков у пользователей.
# P.S.: откуда вы только такие берётесь, люди, которые пытаются использовать пищевой кетчуп в качестве смазки для мотора :-D [кетчуп -- он же тоже такой вязкий по консистеции, почему бы не заиспользовать его? да?]
# P.P.S.: если провайдерам будет нужно -- то через фаервольные правила -- они выдывая честные берые IPv6-аредса -- тоже смогут блокировать все входящие TCP-соеденения (разрешая только новые исходящие и уже установленные). в этом случае вроде бы и сеть не будет глючить и торренты нельзя будет нормально обменивать :) .
Так и я о том же! Но пусть будет. Лишнего не бывает, бывает запасное. Например, интернет провайдеры будут выдавать своим клиентам по одному IP адресу, а не диапазон адресов, как обещалось изначально…
> Так и я о том же! Но пусть будет. Лишнего не бывает, ...эт да! лишним не будет! :)
>> Так и я о том же! Но пусть будет. Лишнего не бывает, ...
> эт да! лишним не будет! :)Приходит ко мне товарищ и говорит, что провёл себе интернет к компу, купил ещё ноут, звонил провайдеру, как и ноут подключить? Они ему сказали, что нужно заводить новую точку. Русский бизнес #$&**$$&&#.
> Так и я о том же! Но пусть будет. Лишнего не бывает,
> бывает запасное. Например, интернет провайдеры будут выдавать своим клиентам по одному
> IP адресу, а не диапазон адресов, как обещалось изначально…При использовании NAT для "безопасности" клиентам вообще белые адреса давать нельзя. Только один айпишник на тыщу клиентов, да и тот к провайдерской кошке привязан.
Впрочем, такое использование NAT - лишь следствие глубоко поражения межушного ганглия провайдерских "админов". Фильтрация транзитного трафика настраивается проще, и не требует защемления яиц клиентов.
Выставлять хомячковые компы голой ж.пой в интернеты - не самая здоровая идея.
> Выставлять хомячковые компы голой ж.пой в интернеты - не самая здоровая идея.Ага. Как и использовать для их защиты NAT.
> Ага. Как и использовать для их защиты NAT.Кто ж виноват что индивиды с особо отмороженным межушным ганглием не могут его останками осознать даже то что фильтрацией такого плана должен заниматься stateful firewall, а вовсе не.
Да если уж так приперло, то буквально одной командой IPTables можно получить полный "защитный" эффект NAT-а для "белых" адресов без использования собственно NAT-а. Ну, может двумя командами, если еще UDP зарезать отдельно.
Годный тред-детектор диванных теоретиков.
вы таки думаете что провайдеры юзают iptables для фильтрации трафика?
У Анонима - раздвоение личности s/Аноним/Шмыга/g
Разделение локальной и глобальной сети, контакт между которыми должен осуществляться лишь в ограниченном количестве строго контролируемых и специально для того предназначенных точек - это _азы_ сетевой безопасности. Впрочем, школоте на локалхостах оно "ненужно", да.
> Разделение локальной и глобальной сети, контакт между которыми должен осуществляться лишь
> в ограниченном количестве строго контролируемых и специально для того предназначенных
> точекВсе это замечательно. Но при чем тут NAT?
> Все это замечательно. Но при чем тут NAT?Видимо, разоблачители диванных теоретиков полагают, что маршрутизация без ната невозможна :)
> Видимо, разоблачители диванных теоретиков полагают, что маршрутизация без ната невозможна :)Или они не понимают что stateful firewall != NAT.
Даже в г.внороутерах за 80$ NAT есть. Или уже нет? Хомячкам "ненужно"?
Абсолютно согласен. От нат всегда были, есть и будут одни проблемы.
Только пользователям винды, хоть какая то защита от дырявых кишок оси наружу. Но этих вообще от инета надо отключать ибо от них тока спам и другие боты...
> Только пользователям винды, хоть какая то защита от дырявых кишок оси наружу.Обычно им достаточно убить 137-139 и прочие 445, после чего наиболее злобная часть вирусни и хакеров пролетает. Провы кстати в курсе и повально давят эти порты.
>> Только пользователям винды, хоть какая то защита от дырявых кишок оси наружу.
> Обычно им достаточно убить 137-139 и прочие 445, после чего наиболее злобная
> часть вирусни и хакеров пролетает. Провы кстати в курсе и повально
> давят эти порты.Кстати не все провы в курсе, чем и пользуюсь, снося винды. :)
подкиньте как ссылочку какие провы давят 137-139, 445 на внешних ip?
> подкиньте как ссылочку какие провы давят 137-139, 445 на внешних ip?Навскидку, в таком был замечен МТСовский стрим. И еще кто-то. Сие довольно популярная практика у провов, т.к. вирье долбящее RPC и вечно открытые шары на которые вирье себя пишет всех утомило. Прову срач в сети вызывающий нарекания на их сеть от окружающих тоже ни к чему.
А ещё Спарк (Электро-ком).
Вообще в москве у всех провайдеров в админке личного кабинета есть рычажок безопасности. Типа рубить порты или нет ... причем они там почти все входящие до 1024 порта рубают, включая естественно все виндовые.
Как же я мог забыть что за мкадом жизни нет.
ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.
> ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.И наты тоже, ога :D
>> ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.
> И наты тоже, ога :DНаты любят больше, хотя, конечно не магистральные.
А внешний ip делать как услугу за 100 р в месяц.
Умник, чем же они ограничивают доступ к сайтам из реестра запрещённых?
acl?
А это типа не фаервол?
>>ЛОЛТЫСЛИЛ. Даже средние провайдеры не использует фаерволы, не говоря уже о магистральных. Домашнее задание выгуглить почему оно так.в пределах мкада не используют, ибо неосиливают
ЛОЛ =) Понятия фаервол у провайдеров вообще нету. Ибо они все на линухах, а там привычнее iptables. Но как не назови один фиг порты блокируют, причем пользователю дают возможность настройки в личном кабинете на сайте, о чем я уже писал выше =)
> ЛОЛ =) Понятия фаервол у провайдеров вообще нету. Ибо они все на
> линухах, а там привычнее iptables.iptables не предоставляет функций фаервола?
Опять же, фревые ipfw и pf не предоставляют функций ната?
А я говорю что это правильно как будто? Я говорю как это юзают.
Ответ на PS
Я знаю откуда такие берутся, их учат в институте этому. Я с учителем по безопасности ооочень долго спорил по этому поводу. Преподают NAT как средство защиты.
> Защита пользователей интернет провайдеров.Не надо путать NAT с фаерволом.
>> Защита пользователей интернет провайдеров.
> Не надо путать NAT с фаерволом.Не надо путать файервол с _защитой. :-P
>>> Защита пользователей интернет провайдеров.
>> Не надо путать NAT с фаерволом.
> Не надо путать файервол с _защитой. :-PЗащита - это название охранного агентства?
> Защита - это название охранного агентства?А самба наверное происходит от самбо, которое "самозащита без оружия" :)
Посмотри в БСЭ: Самба - вульгарный парный латиноамериканский танец."Я вся горю!" ... какие-же выводы, на основании вышеизложенного сделают местные Ыксперты!
Господа, принимаются ставки - "АналитеГи ЛОР'а" vs "Ыксперты О-нет!'a" 8-)
> Защита пользователей интернет провайдеров.Да, если вам отпилить ноги, вероятность того что вам упадет на голову кирпич сильно понижается, поскольку таскаться по улице станет очень неудобно и вы станете избегать этого. Вот только нужна ли вам такая "защита"?
>> Защита пользователей интернет провайдеров.
> Да, если вам отпилить ноги, вероятность того что вам упадет на голову
> кирпич сильно понижается, поскольку таскаться по улице станет очень неудобно и
> вы станете избегать этого. Вот только нужна ли вам такая "защита"?А вот если отпилить голову …
> А вот если отпилить голову …Тогда станет совсем пофигу. Кстати вариант. Пусть этот генту*б сеть себе отключит. Хакать неподключенную сеть хакеры пока еще не умеют :)
Умеют. Звонок по телефону и прямой вопрос — «Здраствуйте, я Вася из 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»
> Умеют. Звонок по телефону и прямой вопрос — «Здраствуйте, я Вася из
> 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»"А у нас нет сервера, лол"
>> Умеют. Звонок по телефону и прямой вопрос — «Здраствуйте, я Вася из
>> 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»
> "А у нас нет сервера, лол"Бригада маскишоу - выехала. Если не найдут ... вобщем у тебя 15 мин. - лучше сам его сделай, сложи на него тонну контрафакта, нацпол, покушение на честь думскихЪ *ей (я ничего не забыл?) - и да ... скажи пароль :)
> *ей - дядей а не то что вы подумали :)
> 6-го отдела, не могу войти на ваш серевер, пароль не подскажете?»Ну, подскажите ему пароль. Если он сможет ремотно воткнуть сетевой шнур в системник - дайте ему нобелевскую (если ее конечно дают за успехи в телекинезе).
Комп в беспроводной сети - втыкать ничего не нужно :)
> Например?google://PCI DSS NAT
например
>> Например?
> google://PCI DSS NAT
> напримерэто не те ли самые разработчики стандартов безопасности -- которые запрещают банкам использовать HTTP-заголовок:
"X-Frame-Options: SAMEORIGIN"
для web-страниц авторизации 3D-Secure
????(этот запрет на "X-Frame-Options: SAMEORIGIN" ---- позволяет магазинам организовать такую схему ввода кода, которая покупалетям не позволит посмотреть на SSL-сертификат (или URL) банковской странички.. очень блин "умно" :-/)
ну тогда понятна ихняя квалификация :-)
>Например? Разъясни же, раз заговорил. Хотя, таки да NAT нужен.1 Офис мелкой или средней компании, у правайдер выдаёт статический IP, конечно же думая что это простой домашний пользователь, который приходит на шлюз, и раздаётся в локалку.
При этом, в отличие от Proxy и VPN нет гемора с настройкой, и можно задейстово вать маскарадинг.
2 Домашний комп, в том числе, в роли шлюза для ноута и смартфона, с возможностью маскарадинга, например для теста клиент/серверных приложений.
3 Классика. Роутер на 2 и/или больше домашних компа, с 1 статическим IP, без гемора в настройках и возможностью маскарадинга.
Мало?
Как бы в варианте ipv6 это всё автоматом получит свои белые адреса. Если, конечно, провайдер дружит с головой и будет выдавать блок /64 на пользователя, как и положено.
Ну если он будет выдавать блок из 64 по цене одного, то да./
А если нет?
> Ну если он будет выдавать блок из 64 по цене одного, то
> да./
> А если нет?Не мешайте людям мечтать
Вообще-то это очень по-скромному, как раз с учетом жлобства российских провайдеров. По рекоменадция пользователю должны выдаваться блоки /48, а не /64. А при /64 провайдеру (получающему /32) жмотиться вообще резона никакого.
> Ну если он будет выдавать блок из 64 по цене одного, то
> да./
> А если нет?А что значит "если"? Сотни провайдеров в мире, десяток-другой провайдеров в России, уже запустили IPv6 и выдают как минимум /64, бесплатно. Вам обо всём этом не сообщили?
На кой черт каждому компу "белый" адрес?
> На кой черт каждому компу "белый" адрес?Чтобы быстрее ловить и вешать за яйца опастных коментаторов.
То-то, я смотрю, все "опастные комментарторы" в фейсбуках, вконтактах и прочем, где и так все координаты комментирующего известны, уже без яиц... аж дальше некуда.
Чтобы интернет не ограничивался ородом под названием Web. Который победил, по большому счету, именно из-за отсутствия полноценной связности.Чтобы нормально работало разнообразное p2p. Чтобы было нормой видео/аудио без всяких операторов. И так далее, и тому подобное. Чтобы было тривиально зацепиться с телефона или планшета к домашнему медиасерверу (который тогда запросто вырастает в полноценную железку), и не быть прибитым к облачным сервисам, но сохранить мобильность.
Перенаправление всех портов на прозрачный прокси-сервер, который режет всё, что нужно. Люди и знать не будут, что сидят через прокси.
Как на счет имеющихся двух провайдеров с файловером, причем всё это дома? Без ната тут никак.
> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.И как это мне поможет, если нужно редиректить трафик на другой порт/хост?
>> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.
> И как это мне поможет, если нужно редиректить трафик на другой порт/хост?xinetd + redirect port.
Ещё могу порекомендовать простую и удобную программу redir, правда она есть не во всяком дистрибутиве.
Юзерспейсовские решения по производительности с прочмокиванием всасывают у ядерных, так что их не рассматриваем.
> xinetd + redirect port.А что, айпитаблес уже не комильфо? Вот нат тут виноват разве что тем что живет поблизости обычно.
>> xinetd + redirect port.
> А что, айпитаблес уже не комильфо?Netfilter до комильфо еще ой как далеко. Вот когда сможет обрабатывать все виды пакетов, тогда и видно будет.
То бишь не из стека TCP/UDP/IP
> То бишь не из стека TCP/UDP/IPnetfilter (на уровне "IP и выше") поддерживает SCTP и DCCP.
Также там есть модуль работы с ARP/RARP (arptables).А ebtables вообще работает со всем что можно завернуть в ethernet.
> А что, айпитаблес уже не комильфо? Вот нат тут виноват разве что
> тем что живет поблизости обычно.Не просто поблизости а, в силу архитектуры netfilter, редиректы являются частным случаем ната.
>>> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны ip-адресов чуть более чем достаточно в пределах галактики.
>> И как это мне поможет, если нужно редиректить трафик на другой порт/хост?
> xinetd + redirect port.
> Ещё могу порекомендовать простую и удобную программу redir, правда она есть не
> во всяком дистрибутиве.Хм, и фтп-трафик тоже?
> Так ведь говорили же, что на ipv6 NAT не нужен ибо зоны
> ip-адресов чуть более чем достаточно в пределах галактики.Не говорили так, говорили что "NAT не обязателен".
И вообще, имхо это барыгам NAT нужен, дабы спекулировать IP адресами. Да как это вот так вот за просто так раздавать IP адреса бесплатно? Неееет! Не в нашем с вами обществе.
> И вообще, имхо это барыгам NAT нужен, дабы спекулировать IP адресами. Да
> как это вот так вот за просто так раздавать IP адреса
> бесплатно? Неееет! Не в нашем с вами обществе.На счет барыг не знаю, как не знаю и с кем вы там в обществе, но свою корпоративную сетку не буду выставлять голой жопой в инет. Ни мне, ни моим хомячкам это нахрен не нужно.
Не трать бисер, бро.:)
Мне там выше уже объяснили, что это "ненужно".
Да корпоративщики могут творить что угодно, их право. Хотя всю жтзнь считался секьюрным вариант не с натом, а с полностью закрытым форвардингом и проксями для нужных сервисов. Барыги - это ж оконечные провайдеры, я так понимаю
Ходит. Москва, старлинк, честная /64 и никаких проблем.
> Ходит. Москва, старлинк, честная /64 и никаких проблем.клёёёёва!
всмысле тебе ддают прям всю подсеть /64 ? скок хочешь адресов? или только 1 адрес из TAP (а не TUN) сети размером на /64
> всмысле тебе ддают прям всю подсеть /64 ? скок хочешь адресов? или
> только 1 адрес из TAP (а не TUN) сети размером на
> /64/me задумчиво помешал кашу в голове у Xasd
> Ходит. Москва, старлинк, честная /64 и никаких проблем.А что, реально /64 честные выдают?И как у них со стабильностью всего этого?
> А что, реально /64 честные выдают?Прикинь, да? И не только они http://version6.ru/isp
>> А что, реально /64 честные выдают?
> Прикинь, да? И не только они http://version6.ru/ispНичему история людей не учит. 640Кб, да.
если бы она ничему не учила бы, то тогда в IPv6 была бы не 128-битная разрядность, а 64-битная, или 48-битная :-)
> если бы она ничему не учила бы, то тогда в IPv6 была
> бы не 128-битная разрядность, а 64-битная, или 48-битная :-)Если каждому давать по /64, то получится близко к 64-битной )
и чем вам 2^64 пользователей мало? При любой, самой чудовизной недоутилизации этого на много лет хватит. А за это время один хрен что-то сдохнет другое. Или вы думаете, что ipv6 при любом мыслимом дизайне проживет столько же сколько четвертый? Ни в жизнь - мир всё быстрее становится.
2^128 по любому хватит только нашей Галактике, другим галактикам придётся использовать NAT. :-|
Ничего страшного - к тому времени на ЛОРе будет допилена libastral. По данным из надежных источников IP она не использует, там другие протоколы :-)
> Если каждому давать по /64, то получится близко к 64-битной )Ну как бы 2^64 пользователей в обозримом будущем на этой планете не предвидится. Ну разве что если всех бацилл захотеть в сеть связать. Ну, придется им кластеризоваться как-то по 2^64 на кластер.
Всё равно, ни к чему /64 на одного хомячкового (не корпоративного) абонента. Более чем достаточно /120 на хомячка. Трудно представить в квартире даже сотню абонентских устройств.
> Всё равно, ни к чему /64 на одного хомячкового (не корпоративного) абонента.
> Более чем достаточно /120 на хомячка. Трудно представить в квартире даже
> сотню абонентских устройств.Для SLAAC обязан быть /64, со /120 она работать не будет.
Ну-ка попробуй в линуксе добавить маршрут для сетки /120
И это правильно. В условиях изобилия решать, чего у кого сколько будет - дикость.
> - дикость.Это, Вы, случайно не про "Человека Разумного"?
>> - дикость.
> Это, Вы, случайно не про "Человека Разумного"?"Человек Разумный" не поставит запятые там, где ты их наугад влепил.
>>> - дикость.
>> Это, Вы, случайно не про "Человека Разумного"?
> "Человек Разумный" не поставит запятые там, где ты их наугад влепил.Хотелось поэзии, а получилась проза, как ни крути ;)
Ну все, хватит сарказмить, а то удалят не смотря на то, что комент Crazy Alex-а то дельный.
Как минимум NPT нужен для реализации провайдеронезависимых адресов в локальной сети. Вешать по несколько адресов на девайс как-то глупо. Измененять все адреса в сети при смене провайдера или выдаваемых им префиксов - ещё глупее.
Есть, конечно, Mobile IP (http://tools.ietf.org/html/rfc6275 ), но судя по этой части:> When routing packets directly to the mobile node, the correspondent
> node sets the Destination Address in the IPv6 header to the care-of
> address of the mobile node. A new type of IPv6 routing header (see
> Section 6.4) is also added to the packet to carry the desired home
> address. Similarly, the mobile node sets the Source Address in the
> packet's IPv6 header to its current care-of addresses. The mobile
> node adds a new IPv6 "Home Address" destination option (see
> Section 6.3) to carry its home address.в сути своей это тот же NAT с дополнительными костылями для удобства. Да и насколько я понимаю, адреса там всё равно будут привязаны к одному провайдеру (Home Address).