|
| 1.2, Ъ (?), 19:26, 19/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Есть-ли смысл внутреннюю сеть компании переводить? За и против?
| | |
| |
| 2.3, Анонима (?), 19:55, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Если вы задаёте такой вопрос - то лучше не нужно :-)
IpV6 в локалке вам ничего не даст, всё = весь мир вы увидете через 6to4, что само-собой отстой и просто усложняет управление сетью, а когда лет через 10 (хотя на опеннете вроде была статья, что весь мир будет 6-нут до 12-го года) 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресацию, и то, для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур, думаю локалки останутся ipv4 ещё очень долго.
| | |
| |
| 3.4, аноним (?), 21:22, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Вроде положительно пишеле о v6, а мыслите категориями v4.
> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
_Не_будет_ при IPv6 не выделенных IP.
| | |
| |
| 4.6, XoRe (ok), 21:44, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Вроде положительно пишеле о v6, а мыслите категориями v4.
>
>> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
>
>_Не_будет_ при IPv6 не выделенных IP.
Будут-будут)
nat - это не только средство для экономии ip адресов.
Это ещё и отличный защитник клиентских компьютеров от внешних атак.
| | |
| |
| |
| 6.14, User294 (??), 23:16, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>NAT? Отличный защитник?
Да просто некоторые придрочились уже микроскопом гвозди забивать и им теперь кажется что это так и надо, а когда предлагают взять в руки молоток - протестуют :D
| | |
| |
| 7.66, XoRe (ok), 17:01, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>NAT? Отличный защитник?
>
>Да просто некоторые придрочились уже микроскопом гвозди забивать и им теперь кажется
>что это так и надо, а когда предлагают взять в руки
>молоток - протестуют :D
Угарайте, угарайте)
Вам (и нам, и всему миру) впереди ешё много лет микроскопом гвозди забивать - делать трансляцию ipv4 в ipv6 и обратно.
А нат, как защитник - если вы не понимаете, как он может защищать, то вам это и не нужно.
| | |
|
|
| 5.10, Осторожный (ok), 22:38, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Защитник сети - это жесткий firewall по принципу
1) снаружи внутрь пускаем только к определенным парам хост:порт.
2) остальные запросы снаружи рубим
Очень хороший защитник - это когда еще дополнительно
1) изнутри наружу пускаем через proxy-сервер
на proxy-сервере контролируем кто куда ходит
2) изнутри наружу пускаем только от определенных хостов к определенным хостам
и чем меньше этот список - тем лучше
3) остальные запросы изнутри наружу рубим
Разумеется firewall должен быть со статами
Nat как-то конечно защищает клиентские компьютеры.
Но нужно защищать еще сам роутер.
И если у вас несколько IP-адресов - тогда их тоже нужно защищать.
| | |
| |
| 6.11, анонимус (?), 22:50, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Хорошо, если снаружи внутрь ставим файрвол, то зачем в обратную сторону прокси?
| | |
| |
| 7.15, User294 (??), 23:17, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Хорошо, если снаружи внутрь ставим файрвол, то зачем в обратную сторону прокси?
Для кеширования, ну и аутентификации(на проксе), имхо.
| | |
| |
| 8.44, vitek (??), 23:38, 20/06/2009 [^] [^^] [^^^] [ответить] | +/– | не только проверка трафика на вирусы см например sqid clamav , отрубание ту... текст свёрнут, показать | | |
|
|
| 6.29, Ghost (??), 17:28, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Все это многословие можно заменить двумя - пакетный фильтр.
Современные же файрволы выполняют более широкие функции:
VPN-сервисы, проактивную защиту от атак, разграничения доступа к сетевым ресурсам, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа "фишинг", контроль протоколов и приложений (web, e-mail, ftp, голос и мультимедиа, субд, icq, p2p и т.п), защита от атак «переполнение буфера», нарушения RFC, аномалий, подмены адреса, поддержка отказоустойчивых конфигураций.
Прокси в целом к защите отношения не имеет.
А вот NAT, как правило, является неотъемлимой частью файрвола.
| | |
| |
| 7.48, Осторожный (ok), 16:35, 21/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Все это многословие можно заменить двумя - пакетный фильтр.
>Современные же файрволы выполняют более широкие функции:
>VPN-сервисы, проактивную защиту от атак, разграничения доступа к сетевым ресурсам, блокирования вирусов,
>червей, шпионского ПО и других вредоносных программ, спама и атак типа
>"фишинг", контроль протоколов и приложений (web, e-mail, ftp, голос и мультимедиа,
>субд, icq, p2p и т.п), защита от атак «переполнение буфера», нарушения
>RFC, аномалий, подмены адреса, поддержка отказоустойчивых конфигураций.
>
>Прокси в целом к защите отношения не имеет.
>А вот NAT, как правило, является неотъемлимой частью файрвола.
proxy еще как имеет отношение к защите.
Или у вас все наружу ходят напрямую ?
| | |
|
|
| 5.13, User294 (??), 23:14, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> Это ещё и отличный защитник клиентских компьютеров от внешних атак.
Вообще-то по нормальному защитником сети является *файрвол*.
| | |
| |
| 6.17, Ъ (?), 23:34, 19/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Может покажусь занудным, но по русски это называется межсетевой экран. Это более точное и ёмкое понятие, чем дебильные "файрволы" и "брандмауэры".
| | |
| |
| 7.21, User294 (ok), 14:48, 20/06/2009 [^] [^^] [^^^] [ответить]
| –8 +/– | |
Вот ВЫ и печатайте "межсетевой экран" если вам не лениво.Флаг вам в руки и барабан на шею.А мне мои пальцы ломать неохота.Поэтому я как-нибудь обойдусь термином "файрвол".Потому что он в 2.5 раза короче и для меня это - решает.К тому же данное слово прекрасно понимают все кому оно было адресовано.И если язык нужно немного изменить для того чтобы стало лучше (сократить в 2.5 раза термин - это отлично) - отлично, ему придется измениться. World is not read-only.
ЗЫ осталось еще придумать русский термин для "NAT", ну-ка изобразите?И кстати "роутеры" и даже "маршрутизаторы" - тоже как оказалось не русские слова нифига.Ну-ка придумайте что-то русское?И кстати мне всегда было интересно - каким русским словом назвать буржуйскую multimedia :)
| | |
| |
| 8.27, Ъ (?), 16:55, 20/06/2009 [^] [^^] [^^^] [ответить] | +2 +/– | Охота покороче МЭ Куда уже короче Сетевая трансляция адресов Маршрутизатор в... текст свёрнут, показать | | |
| |
| 9.31, Ghost (??), 17:46, 20/06/2009 [^] [^^] [^^^] [ответить] | +/– | Произношение раутер скорее исключение, чем правило в России, так же как и хоро... текст свёрнут, показать | | |
|
| 8.30, Ghost (??), 17:40, 20/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | довольно странно, если бы транслитерация от слова router оказалось русской, боле... текст свёрнут, показать | | |
|
| 7.46, Осторожный (ok), 16:30, 21/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Может покажусь занудным, но по русски это называется межсетевой экран. Это более
>точное и ёмкое понятие, чем дебильные "файрволы" и "брандмауэры".
Вот лично мне кажется что как эту сущность называют 95% процентов админов, то так эта сущность и называется.
Если 95% процентов говорят и пишут - firewall, то значит так оно и есть.
Остальные 5% могут говорить как угодно.
Борцы за чистоту русского языка должны учитывать, что русский язык - это не канонические писания Святой Церкви. И русский язык (и вообще любой язык) со временем меняется.
Так же следует учитывать, что большие группы, объединенные между собой определенным родом деятельности, придумывают сами себе свой расширенный вариант языка - чтобы лучше понимать друг друга и для удобства. Так же следует учесть, что так скажем официальный толковый словарь русского языка не включает в себя кучу новых слов, и тем более не включает в себя специальные термины, применяемые отдельными большими группами.
Исходя из всего вышесказанного писать фразу "по-русски это называется" на специалированном компьютерном форуме тебе никто не запретит, но следует учесть как и ответную негативную реакцию, так и просто что все тебя проигнориуют с такими заявлениям.
| | |
| 7.50, аноним (?), 16:38, 21/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> но по русски это называется межсетевой экран
В 2 раза длиннее, никак не точнее и емче. Брандмауэр действительно дебильно, называется это Firewall и никак иначе. Давайте так - считаете что можете показаться занудным - просто молчите. Ваш патриотизм тут совсем ни к месту, а в русском языке нужных слов просто нет.
| | |
| |
| 8.57, Maxim (??), 10:06, 22/06/2009 [^] [^^] [^^^] [ответить] | +/– | Брандмауер Brandmauer - это дословный перевод на немецкий слова firewall ... текст свёрнут, показать | | |
| 8.58, Мо (?), 11:00, 22/06/2009 [^] [^^] [^^^] [ответить] | +/– | А как писать изволите файрвол фаервол, фаерволл, файерволл и т д И при чем т... текст свёрнут, показать | | |
|
|
| 6.40, Ъ (?), 18:50, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> Это ещё и отличный защитник клиентских компьютеров от внешних атак.
>
>Вообще-то по нормальному защитником сети является *файрвол*.
Сетевая трансляция адресов, это одна из функций межсетевого экрана, пакетная фильтрация это его другая функция, аутентификация --- третья, есть и четвертая и пятая и десятая. О чем спор?
| | |
| |
| 7.41, Ъ (?), 18:54, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>> Это ещё и отличный защитник клиентских компьютеров от внешних атак.
>>
>>Вообще-то по нормальному защитником сети является *файрвол*.
>
>Сетевая трансляция адресов, это одна из функций межсетевого экрана, пакетная фильтрация это
>его другая функция, аутентификация --- третья, есть и четвертая и пятая
>и десятая. О чем спор?
Для общего развития и понимания о чем речь: РД ФСТЭК Межсетевые экраны
http://www.fstec.ru/_docs/doc_3_3_006.htm
| | |
| |
| 8.53, Хм... (?), 19:08, 21/06/2009 [^] [^^] [^^^] [ответить] | +/– |  БраТ Убери этот документ все это интересует только тех кто кому нужны эти сам... текст свёрнут, показать | | |
|
| 7.43, Зилибоба (??), 20:16, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Спор о том, что больше половины участников дискуссии не понимают что такое трансляция адресов и межсетевой экран, но при этом считают себя компитентнымы делать свои не компетентные заявления...
| | |
| |
| 8.45, igorsia (?), 06:55, 21/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– |  Действительно Это уже не говоря о тех, кто даже спелчекер не удосужился осилить... текст свёрнут, показать | | |
| 8.54, Хм... (?), 19:11, 21/06/2009 [^] [^^] [^^^] [ответить] | +/– | Ты считаешь что это супер сложные для понимания вещи Или ты так неуважительно о... текст свёрнут, показать | | |
|
|
|
|
|
| 3.5, User294 (??), 21:43, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресацию
А почему ее сразу не купить?Чтобы не было геморроя и не надо было ничего менять.
> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
В IPv6 айпишников хватит для того чтобы назначить их каждой блохе на каждой собаке, не говоря уж о каждом офисе и машине в нем.
| | |
| |
| 4.49, Осторожный (ok), 16:38, 21/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресацию
>
>А почему ее сразу не купить?Чтобы не было геморроя и не надо
>было ничего менять.
Чтобы все полноценно работало подсетку IPv6 вам должен выдать ваш вышестоящий непосредственный провайдер.
А если у него IPv6 ?
Кстати первый раз слышу, что подсетку нужно покупать.
Мне как-то бесплатно давали все время.
Я так понимаю провайдеры деньги берут на траффик.
Некоторые особо наглые еще и за IP-адреса берут, но это хамство - IP-адрес у провайдера тоже не платный, а выдан сверху бесплатно.
>
>> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
>
>В IPv6 айпишников хватит для того чтобы назначить их каждой блохе на
>каждой собаке, не говоря уж о каждом офисе и машине в
>нем.
Я думаю ввиду отсутстви IPv6-стека на блохе она не может быть подключена к IPv6 :)
| | |
| |
| 5.55, Хм... (?), 19:16, 21/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>> 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресацию
>>
>>А почему ее сразу не купить?Чтобы не было геморроя и не надо
>>было ничего менять.
>
>Чтобы все полноценно работало подсетку IPv6 вам должен выдать ваш вышестоящий непосредственный
>провайдер.
>А если у него IPv6 ?
Это в общем никого не парит. Получаеш лир и береш себе блок с автономкой :)
Ставиш роутер с BGP и вперед!!!
>
>Кстати первый раз слышу, что подсетку нужно покупать.
>Мне как-то бесплатно давали все время.
>Я так понимаю провайдеры деньги берут на траффик.
>Некоторые особо наглые еще и за IP-адреса берут, но это хамство -
>IP-адрес у провайдера тоже не платный, а выдан сверху бесплатно.
>
Провайдеры за блоки адресов платят RIPE NNC (Европа)
за 1 IP деньги грех брать вот если тебе сеть /22 нужна то можно подумать :)
| | |
|
|
| 3.9, Осторожный (ok), 22:26, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Один раз мне пришлось кардинально менять структуру IP-адресов сети.
Это когда с 256 реальных IP-адресов пришлось переходить на 64 реальных IP + 4096 внутренних IP. Процесс правда был длительный - какое-то время в сети было 256+64 реальных адреса.
А про мелкие перенумерации я уже сбился со счета сколько раз делал.
Очень удобно иметь Switch layer3 с поддержкой VLAN.
Кол-во VLAN-ов только растет.
Так что еще одна перенумерация не пугает.
А собственно какая разница - есть у компьютера внутри реальный IP-адрес или внутренний IP-адрес ? Ведь все равно этот адрес должен быть выдан.
| | |
|
| 2.7, Осторожный (ok), 22:19, 19/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я думаю смысл есть.
Проверите что все оборудование совместимо с IPv6.
Что ПО совместимо с IPv6.
Узнаете много интересного :)
Минусы есть.
И пока их больше чем плюсов.
Это большая работа - перевести на IPv6.
И при этом еще ведь нужно поддерживать работу IPv4 совместно с IPv6.
| | |
| |
| 3.12, Ъ (?), 22:51, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
ПО точно не готово. Можно с него начать процесс.
| | |
| |
| 4.19, daemontux (?), 04:05, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Нет лучше начать с сети. И вылавливать баги в по. Если переход начнется то ПО начнут допиливать быстрей.
| | |
| 4.51, Осторожный (ok), 16:39, 21/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>ПО точно не готово. Можно с него начать процесс.
Вот интересно, как можно проверять ПО на IPv6, если у вас нет сетки IPv6 ?
Вычитывать код что-ли ?
| | |
|
|
| 2.16, User294 (??), 23:18, 19/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Есть-ли смысл внутреннюю сеть компании переводить?
Если продакшн - наверное рановато.Если потестить - уже давно пора заценить на зуб "а как оно?".Все-равно айпишники у V4 закончатся.Да их собссно уже не хватает - например у каждого в кармане мобилка.Устройство способное получить айпи адрес.На все уже сейчас айпи наверное не хватит.Посему городят полуработающие наты :E
| | |
| 2.20, Аноним (-), 11:11, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Есть-ли смысл внутреннюю сеть компании переводить?
Никакого смысла в этом нет. Ни сейчас, ни в будущем. Суть ipv6 - дать внешний ip каждому дивайсу, которому такой ip нужен. Например, телефону, брелоку с ключами или автомобилю. Компьютеру внутри корпоративной сети такой адрес не нужен.
| | |
| |
| 3.22, User294 (ok), 15:00, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Никакого смысла в этом нет. Ни сейчас, ни в будущем.
В будущем (дальнем) IPv4 отправиться на свалку истории.И это будет раньше чем туда проследует IPv6.Поэтому будет момент когда будет использоваться только IPv6.И такой момент приближается.Хоть он будет и не завтра.
>Суть ipv6 - дать внешний ip каждому дивайсу, которому такой ip нужен. Например,
>телефону, брелоку с ключами или автомобилю. Компьютеру внутри корпоративной сети такой
>адрес не нужен.
Нет, разумеется, можно по старинке колотить микроскопами по гвоздям юзая нат.Но нат - это именно костыль.Протокол был задуман без него.В итоге почем зря нагружаются роутеры.Не говоря уж о том что в IPv6 для разгрузки роутеров приняты и иные меры.А если вам нужен файрвол - так им и пользуйтесь.Нат всего лишь эрзац-замена.Кривая и горбатая.И сети "завтра" должны быть именно такими.А не коллекцией костылей и подпорок.Другое дело что протоколу еще только предстоит испытать на себе всю силищу хацкеров и т.п..
| | |
| |
| 4.39, Ъ (?), 18:32, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Но нат - это именно костыль.
Начнем с того, что видов NAT множество. И PAT это всего лишь один видов, хотя и самый распространенный. И с появлением IPv6, NAT никуда не пропадает. Более того его роль возрастает, в связи с необходимостью трансляции IPv6 в IPv4 и наоборот. Основополагающими документами служат: RFC 1933, RFC 2766, RFC 3142, RFC 4213.
| | |
|
| 3.28, alexanderyt (ok), 17:18, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
 > Никакого смысла в этом нет. Ни сейчас, ни в будущем. Суть ipv6 - дать внешний ip каждому дивайсу, которому такой ip нужен. Например, телефону, брелоку с ключами или автомобилю. Компьютеру внутри корпоративной сети такой адрес не нужен.
Не вижу ничего плохого. Или фейковый ip вас вводит в ощущение повышенной защищенности?
| | |
| |
| 4.60, gogo (?), 23:49, 22/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Не вижу ничего плохого. Или фейковый ip вас вводит в ощущение повышенной
>защищенности?
Не фейковый, читай RFC.
Ощущение здесь не причем. Это практически работает.
Никто не говорит, что это - панацея. Но это защитит комп от атак извне хотя бы для того, чтобы стянуть обновления.
| | |
| |
| 5.64, AlexanderYT (?), 11:18, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Не фейковый, читай RFC.
>Ощущение здесь не причем. Это практически работает.
>Никто не говорит, что это - панацея. Но это защитит комп от
>атак извне хотя бы для того, чтобы стянуть обновления.
МЭ + набор нужных прокси = достаточно. Если еще и NAT - то для любителей паранойи.
| | |
|
|
|
|
| 1.23, azure (?), 15:06, 20/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Учитыая кол-во "качественного" офисного софта, заточенного под IPv4 переход офисов на IPv6 состоится оч. нескоро. Плюс нет необходимости для офиса. Мне стрёмно открывать каджой машине полный доступ в инет :)
| | |
| |
| 2.32, Ghost (??), 17:53, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Мне стрёмно открывать
>каджой машине полный доступ в инет :)
для этого используются файрволы, разграничивающие доступ в обе стороны.
| | |
|
| |
| 2.26, User294 (ok), 15:59, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Какая нехватка адресов? Адресов туча.
Попробуйте назначать хотя-бы мобильникам (коих более миллиарда) айпишники нормальные а я на это посмотрю.Миллиард - это почти четверть всего диапазона V4... ;)
И на данный момент если в корпоративную сеть надо попасть с мобильного устройства - это целая эпопея иногда :E
| | |
| |
| 3.33, Ghost (??), 17:57, 20/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Какая нехватка адресов? Адресов туча.
>
>Попробуйте назначать хотя-бы мобильникам (коих более миллиарда) айпишники нормальные а я на
>это посмотрю.
Даже в России есть опсосы назначающие каждой трубке, выходящей в интернет, публичный IP адрес. И, естественно, адреса нужны не одновременно всем абонентам сотовых сетей.
| | |
| 3.34, Oles (?), 18:02, 20/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
 А сколько кофеварок и чайников и утюгов простаивает без своего адреса.
Нету у моего мобильника своего айпи, и это радует.
| | |
| |
| 4.36, Evtomax (ok), 18:06, 20/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А меня совсем не радует, ибо не могу я напрямую переслать файл с мобильника на комп и обратно. И свой айпи у чайника - это будущее, ибо чайник сможет через интернет напомнить, что он закипел :)
| | |
| |
| 5.37, Ghost (??), 18:10, 20/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>не могу я напрямую переслать файл
>с мобильника на комп и обратно.
а я могу, блютуз с этим справляется без использования IP адресов :-)
| | |
| |
| 6.38, Evtomax (ok), 18:14, 20/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
А если расстояние между мобильником и компом несколько километров, неужели блютуз дотянется?
| | |
| |
| 7.42, Ghost (??), 19:07, 20/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>А если расстояние между мобильником и компом несколько километров, неужели блютуз дотянется?
>
GPRS/EDGE ? А там уж по возможностям трубки, тем или иным способом. У меня, кстати, оператор, который выдает публичный IP адрес.
| | |
|
|
|
|
|
|
|
