Hlavní navigace

Názor k článku IPv6 po deseti letech: svět je v třetině cesty, Česko se zaseklo od M_D - Já to chápu tak, že czechsys neřeší pimárně...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 6. 2021 20:21

    M_D

    Já to chápu tak, že czechsys neřeší pimárně to, aby mu neutíkaly ULA a neveřejné IP adresy do Internetu. On řeší to, že chce, aby uvnitř DMZ zón se vyskytovaly jen pakety, kde zdroj i cíl je veřejná IPv4/globální IPv6 adresa? Takže při přístupu z intranetu do DMZ zón provádí srcnat na veřejnou adresu routeru a všechny přístupy z intranetu tak vůči serverům v DMZ vystupují s veřejnou IP routeru. Jen netuším, jak řeší přístup z těch serverů z DMZ do intranetu, což požaduje také? To pak leda musí se spojovat na IP adresu routeru do intranetu a něm dělat dstnat na interní IP adresu? To se mi jeví jako dost neštastné řešení už jen z důvodu, že pokud hovoří o větším systému, tak budu určitě chtít sledovat i toky v jednotlivých semgentech a takto si komplikuji párování spojení, musím k tomu přikládat i vyčítáno stavů NAT stroje přes flow, taktéž logy v DMZ budou ochuzeny o info IP adresy klienta atd.
    Ale pokud to tak má vyřešeno pro IPv4, tak pokud na tom mermomocí trvá pro IPv6, tak to jde řešit překladem prefixů na hraniční bráně mezi DMZ a intranetem (NPTv6), ale rozhodně je to něco, co se silně nedoporučuje dělat.