Vlákno názorů k článku IPv6 po deseti letech: svět je v třetině cesty, Česko se zaseklo od dw - IMHO, kym ipv6 nebude mat funkcny NAT, tak...

Je tam dost zasadni technicky rozdil, ze udelat ten "super NAT jako ma IPv4" i pro IPv6 mozny je, zatimco najit dostatek verejnych IPv4 adres pro vsechny, kteri by je mohli chtit, nejde.

A jeste, pokud skutecne vetsina chce NAT pro IPv6, pak podpora v beznych routerech urcite nakonec bude. A ze to bude az pozdeji, to je jedine dobre, jinak by spoustu ISP nehodnych toho oznaceni mohlo napadnout, ze by prece stacilo davat uzivatelum /128.

Co tak naopak respektovat ze ostatny by chceli mat ip adresy za natom./em>

To je jednoduché. Neexistuje žádný racionální důvod mít IP adresy za NATEM. V obou případech musíte mít na hraně sítě firewall a v obou případech dělají pravidla naprosto totéž.

Nejak to narusa konfiguraciu siete ktoru si spachate za svojim routrom bez natu?

Konfiguraci ne. Rozbíjí to aplikační protokoly. Obyčejný kecálek, kterým si píšete s kolegou, musí cestu prorazit obloukem - třeba přes zprostředkující server mimo síť. V mezidobí Vám mechanismus NATU otevírá cestu, jakou se musí odpověď (např. informace o tom, že packet byl doručen) dostat zpět na interní adresu. Ten mechanismus je poměrně složitý i výpočetně náročný. Stačí, aby v něm byla chyba (a chyby tam jsou), a takto otevřená cestička otevírá dveře útokům.

Představte si kecálka, kde si píšete s kolegou na stejné síti a s kolegou mimo síť. Vy jste "A", kolega u vedlejšího stolu "B" a externí kolega "C".

"A" má interní adresu 10.0.0.1 schovanou za veřejnou adresou 83.37.27.11
"B" má interní adresu 10.0.0.2 schovanou za veřejnou adresou 83.37.27.11
"C" má interní adresu 10.0.0.1 schovanou za veřejnou adresou 37.16.87.5

Kecálek pro doručení zprávy nemůže použít ani výhradně veřejné, ani výhradně interní adresy. Musí vědět, že mezi "A" a "B" doručuje po interních adresách (10.0.0.1 <-> 10.0.0.2), ale mezi "A" nebo "B" proti "C" musí použít veřejnou IP adresu. Aby to nebylo příliš jednoduché, tak "A" a "C" mají stejně vypadající interní adresu.

Takže celý ten proces rozhodování je buďto hodně složitý (= náchylný na chybu), nebo celá služba musí použít nějakého prostředníka (= veškerý provoz jde do internetu, i mezi dvěma stoly ve stejné místnosti).

Aby NAT fungoval dobře, musí si router uchovávat tabulku otevřených spojení (connection tracking). Ta, když zmizí, tak veškerá spojení přes NAT se rozpadnou a musí se navázat znovu. Když správce překonfigurovává router, musí to někdy udělat (nebo při restartech apod.). Veškerá spojení musí začít znovu, není šance, aby se navázaly. To generuje provoz navíc, mnohdy se celá data posílají od začátku.

NAT tedy obtěžuje nejen toho, kdo ho používá, ale i toho, kdo komunikuje s tím, kdo je za NATEM. Aplikace jsou složité, méně spolehlivé. Když si to dáte dohromady s tím, že není žádný technický důvod, proč NAT chtít, je pak výsledek úvahy jasný.

To su ale vas podhlad na to ci su dovody racionalne. Alebo vam nejaka vyssia moc dala do vienka normalizovat to co je vseobecne racionalne? Myslim ze nie.

Ktory vseobecne pouzivany kecalek nepotrebuje control server? Control server si mozete realizovat aj v ramci intranetu ked uz o to ide. Napr jabber server. V com je problem?

To su ale vas podhlad na to ci su dovody racionalne. Alebo vam nejaka vyssia moc dala do vienka normalizovat to co je vseobecne racionalne? Myslim ze nie.

Racionální je to, co jde myšlenkově odůvodnit. Pro NAT tu nikde nezazněl žádný argument, kromě toho, že se někdo cítí bezpečnější, než když má veřejnou IP adresu.

To zde bylo víckrát vysvětleno, že to nezajišťuje NAT, ale firewall. Ten je stejný jak pro privátní IP adresy, tak pro veřejné, stejný pro IPv4 i pro IPv6. Obecně se dá říct, že i NATEM lze projít zvenčí dovnitř (takové vektory útoku existují). Dokonce některé z nich byly takového typu, že je nedokázal ani firewall zadržet, protože NAT mechanismus ho obchází (zjednodušeně řečeno).

Žádný jiný argument pro NAT jsem zde nenalezl.

Ktory vseobecne pouzivany kecalek nepotrebuje control server? Control server si mozete realizovat aj v ramci intranetu ked uz o to ide. Napr jabber server. V com je problem?

S kecálkem to byl jen příklad pro ilustraci. Ale konkrétně, centrální server potřebujete hlavně proto, abyste zjistil adresy protějšků. Samotnou komunikaci už můžete posílat napřímo, pokud v cestě nestojí NAT. S NATEM můžete leda posílat i data přes centrální server, nebo na to využít UDP Hole Punching, které v NATU dělá dynamicky díry. Hole Punching je z principu zranitelný, daleko víc než prostup ve firewallu pro veřejnou IP adresu.

Myslienkovo ide odovodnit aj neracionalne veci. Hlavne ak pouzijete vhodny argumentacny klam.

Mal by ste si najskor pouzit otazku ci ide realizovat NAT bez firewallu. To ze firewall bez natu je mozny neiplikuje to ze nat je mozny bez firewallu. Bezpecnost v kazdom pripade zabezpecuje firewall, nat umozni pristup zariadeniam ktore nepotrebuju verejnu ip, do internetu. Napr. koli stahovaniu aktualizacii.

Btw, k plynulosti diskusie neprospieva ani gish gallop (tiez radeny medzi argumentacne klamy). K comu inemu je dobre rozviest kazdu moju vetu nasobkom argumentov. Staci ked budete ragovat na komentar ako celok.

Mal by ste si najskor pouzit otazku ci ide realizovat NAT bez firewallu.
Lze.

nat umozni pristup zariadeniam ktore nepotrebuju verejnu ip, do internetu.
Když těm zařízením dáte veřejnou IP adresu, budou mít přístup do internetu také.

Preco by mali mat verejnu ip. Kto chce mat svoj intranet vystaveny do internetu a chranit ho ma akurat to ze forwardovanie paketov na firewali by malo byt pre niektore stroje zakazane. Mne osobne nerobi radost cakat so stihnutym zadkom az niekto zvereni backdoor pred tym nez budu dostupne zaplaty (za predpokladu ze to bude realne zaplatat).

Preco by mali mat verejnu ip.
Protože je to normální. Takže otázka je opačná – proč to dělat nenormálně, komplikovaně, proč zařízení dávat neveřejnou IP adresu.

Kto chce mat svoj intranet vystaveny do internetu
Zase si pletete NAT a firewall. NAT žádnému vystavení nebrání.

chranit ho ma akurat to ze forwardovanie paketov na firewali by malo byt pre niektore stroje zakazane
Ano, pokud chcete nějakou komunikaci zakázat, je potřeba použít firewall. NAT nic nezakazuje.

Protože je to normální.

Niektorym ludom pride normalne vystavovat svoje intimne partie na verejnosti. Problem nie je v tom ze ci by to malo byt normalne alebo nie normalne, problem je v tom ze kalhotyv4 davaju moznost volby zatial co zastancovia kalhotv6 si osobuju pravo urcovat co je normalne. Clovek by povedal ze ludia s potrebou normalizovat uz vyhynuli. Bohuzial nevyhynuli, len sucasna doba im dava sirsie moznosti vlastnej zvratenej sebarealizacie. Nie je divu ze cinania tak na nasadenie ipv6 tlacia.

Kto chce mat svoj intranet vystaveny do internetu
Zase si pletete NAT a firewall. NAT žádnému vystavení nebrání.

chranit ho ma akurat to ze forwardovanie paketov na firewali by malo byt pre niektore stroje zakazane
Ano, pokud chcete nějakou komunikaci zakázat, je potřeba použít firewall. NAT nic nezakazuje.

jj, nat preklada adresy medzi verejnou a internou sietou, komunikaciu zabezpecuje firewall. Akurat ze ak adresa zariadenia nie je z rozsahu verejnych ip tak utocnik v pripade preflaknutia backdooru vo firewali nema take moznosti ako ked je zariadenie na verejnej ip.

Niektorym ludom pride normalne vystavovat svoje intimne partie na verejnosti.
Já jsem nepsal o některých lidech. Psal jsem o tom, jak byl internet navržen a jak funguje. Já neurčuju, co je normální, pouze jsem konstatoval stav. Že se vám to nelíbí není můj problém.

O žádné intimní partie nejde. Navíc IPv6 má i z hlediska ochrany soukromí víc možností, než IPv4.

nat preklada adresy medzi verejnou a internou sietou
Ne, NAT překládá adresy. Může to být i překlad mezi veřejnými adresami nebo mezi privátními.

Akurat ze ak adresa zariadenia nie je z rozsahu verejnych ip tak utocnik v pripade preflaknutia backdooru vo firewali nema take moznosti ako ked je zariadenie na verejnej ip.
Pokud bude v routeru backdoor, útočník se do něj dostane a překonfiguruje firewall, úplně stejně překonfiguruje i NAT.

Preco by mali mat verejnu ip. Kto chce mat svoj intranet vystaveny do internetu a chranit ho ma akurat to ze forwardovanie paketov na firewali by malo byt pre niektore stroje zakazane. Mne osobne nerobi radost cakat so stihnutym zadkom az niekto zvereni backdoor pred tym nez budu dostupne zaplaty (za predpokladu ze to bude realne zaplatat).

Tady si myslím, že je chybný úsudek. NAT nezaručuje, že se packet nedostane skrz NAT dovnitř. Naopak existují vektory útoků, které využívají různé koncepční problémy NATŮ, aby se zvenčí dovnitř dostaly. NAT je poměrně komplikovaný a koncepční rizika i rizika chyb implementace jsou velká. Proto se vždy musí k NATU použít i firewall. Hodnota NATU, jakožto měřítka zabezpečení je nulová.

Proti tomu je pravidlo na firewallu s veřejnými IP adresami až trapně jednoduché a nepoměrně méně náchylné k selhání.

Pořád nechápu, v čem vidíte ta rizika. Mám router, a v něm mám NAT a firewall. Bezpečnost zajišťuje ten firewall, nikoliv ten NAT... // Nebo mám router a v něm jen firewall. Bezpečnost zase zajišťuje ten samý firewall jako v případě č. 1.

S kecálkem to byl jen příklad pro ilustraci.

Dost nestastne zvoleny priklad, vzhladom k tomu ze v clanku sa popisuje situacia podpory komunikacneho softweru v ipv6 only sietach.

v clanku sa popisuje situacia podpory komunikacneho softweru v ipv6 only sietach

Ano, na IPv6 vendoři poměrně prdí. Nevidím to jako technický problém IPv6, ale spíš jako důsledek toho, že se ujímá děsně pomalu a nikdo nemá důvod pro něj nic moc ladit. Docela to chápu, taky bych asi ladil pro IPv4, protože IPv6-only sítí je minimum.

Ano, na IPv6 vendoři poměrně prdí. Nevidím to jako technický problém IPv6, ale spíš jako důsledek toho, že se ujímá děsně pomalu a nikdo nemá důvod pro něj nic moc ladit. Docela to chápu, taky bych asi ladil pro IPv4, protože IPv6-only sítí je minimum.

No podla mna je to tym ze ak si spustite za routrom aplikaciu na komunikaciu, tak stale chyba mechanizmus ktory by vam vytvoril prislusne pravidla na firewali, ktory je na routri, aby sa paket dostal z internetu na zariadenie. Teda ak mate zariadenia chranene firewallom. Samozrejme je moznost si tie pravidla pridat rucne ale kolko ludi to zvladne. Moznost ze by sa predavali routre ktore by mali default povolene pravidla pre porty na zariadeniach ktore ma chranit je asi dost nerealna. To by to tam ten firewall mohol byt default vypnuty...

No podla mna je to tym ze ak si spustite za routrom aplikaciu na komunikaciu, tak stale chyba mechanizmus ktory by vam vytvoril prislusne pravidla na firewali, ktory je na routri, aby sa paket dostal z internetu na zariadenie.

Tak třeba já bych si na routeru firewall nezapínal, bohatě mi stačí firewall v OS. Kdo má pocit, že toto nedokáže dostatečně uhlídat, předřadí firewall na bránu. K otevírání portů na firewallu brány slouží UPnP (jakkoliv není vůbec ideální).

Pointa je v tom, že IPv6 zvládá vše, co IPv4. Navíc však, díky dostatku IP adres, nejste nucen využívat některé nešťastné mechanismy, které přináší NAT. V současné době je spousta lidí nucena, i když by chtěla jinak. S NATEM, ať děláte, co děláte, přímé spojení na libovolném portu nenavážete. S veřejnou adresou ano.

Pak je tu spousta problémů, které přináší connection tracking. Je to pomalé, a když se ztratí záznam (nebo vyprší po nějaké době, kterou určuje router), tak spojení spadne. Bez NATU a connection trackingu se do toho nikdo další nemíchá, je to jen na Vás a protistraně.

No za tym routrom nemusi lezat len pc ktore uz ma firewall. Mozu za nim byt zariadenia ktore firewall nemaju alebo maju obmedzene moznosti komunikacie. Preto je dobre mat default politiku drop a povolene bude len to co je explicitne povolene...

No za tym routrom nemusi lezat len pc ktore uz ma firewall. Mozu za nim byt zariadenia ktore firewall nemaju alebo maju obmedzene moznosti komunikacie.

To mluvíte o zkušenostech s IPv4 a dnes. Dokud byl standard mít veřejné IP adresy (tu dobu si pamatuju), tak si to každé zařízení hlídalo. Tehdy se nejednalo o firewally v dnešním slova smyslu, ale o výčet naslouchajících služeb a allow a deny listy.

Na IPv6 se to zase posune. Předpokládám, že budou vznikat zařízení, když už nebudou mít firewall, že by default budou přijímat jen místní spojení.

Taky nebude těžké zařazovat zařízení do příslušných vlan, podle toho, co od něj chcete. Stejně jako udělali výrobci routerů udělátka na jednoduché nastavení firewallu + NATU do jedné kolonky, něco podobného vznikne na IPv6, jen na jiném (zdravějším) technickém základu.

Minimálně na nějakou dobu předpokládám (resp. se tak děje), že routery budou podporovat ve výchozím stavu firewall s policy drop a měnit se to bude postupně. Úplně stejně, jako to vznikalo na IPv4.

Na IPv6 se to zase posune. Předpokládám, že budou vznikat zařízení, když už nebudou mít firewall, že by default budou přijímat jen místní spojení.

Prima, pridam k tym bodom preco zatial nepouzivat IPv6. Ako som pisal od zaciatku, az sa <s>posunie</s> tak rad prejdem komplet na IPv6.

Miesto toho aby som lovil porty ktore si chytra tv otvori do internetu, proste ju strcim za nat. Zakazat jej komunikaciu uple clovek nechce, pretoze by si rad pustil netflix, iptv alebo pouzil cervene tlacitko.

Enigma2 pre zmenu IPv6 firewall nema, tvorcovia ho vyhodili so zdrojakov pretoze ako sa vyjadrili netusia kto by ten paskvil(IPv6) pouzival...

Plus kopa dalsich blackboxov, ktore keby priatelka nema tak mi to da riadne vyzrat...

Miesto toho aby som lovil porty ktore si chytra tv otvori do internetu, proste ju strcim za nat.
Nevadí vám, že je pak do internetu otevřená stále a stále může přijímat spojení ze zařízení ve vaší síti a ze zařízení v okolí vaší sítě?

Kdybyste tam neměl ten NAT, jednoduše na firewallu zakážete veškerá příchozí spojení na IP adresu té televize. Jenže když tam máte NAT, je už ta konfigurace komplikovanější (podle komentářů to vypadá, že bude nad vaše síly), takže radši tu TV necháte vystavenou do internetu. Protože pořád věříte tomu, že NAT brání komunikaci, i když vám tu spousta lidí vysvětlovala, že to tak není.

Problém je v tom serveru.

Co je funkce kecálka? Na jednom stroji napíšu zprávu, ta se zobrazí na jiným stroji a naopak.

Na jakým pracuje principu? Nasype text do socketu a odešle na druhý stroj.

Jak to udělat nejjednodušším způsobem? Otevřít TCP spojení na druhýho klienta a vyměňovat si data napřímo.

Jde použít nejjednodušší způsob obecně? Ne na IPv4, klienti na sebe nevidí kvůli NATu a nedokážou navázat spojení mimo stejný segment sítě. Na IPv6 s veřejnýma adresama bez problémů

Jak nevázat spojení s někým, koho nevidím? Pomocí serveru, který vidí oba, oba se připojí a vyměňují si zprávy prostřednictvím něho.

Takže ten server na výměnu zpráv tam být musí, ale právě proto, že existuje NAT. Tedy přesně naopak, než jak sis to vybájil!

A jenom tak mimochodem, control server je zase něco jinýho. Je to něco jako telefonní seznam, kde najdeš klienta a jeho poslední známou IP adresu, na které poslouchá a sedí na serveru, jehož URL má appka zadrátovanou. Ale dá se klidně nahradit distribuovanou DB na klientech, pokud ti na sebe vidí.

Ty si kodis vlastneho kecalka, zema tak primitivne obmedzene moznosti?

Ako ten imaginarny kecalek co tu popisujes:

1. zisti aku ip adresu ma ten co s nim chces komunikovat. Zvihnes telefon a zavolas dotycnemu aku ma ip v tej kaviarni co v nej momentalne sedi. Alebo ten kecalek oznami svoju ip contorol servru.

2. ako zaistis povolenie komunikacie pre port socketu na firevali zaktorim kecalek lezi

Control server mimo ine zaistuje aj prepojenie kecalkov p2p za natom za pomoci stun. Najdi si ako to funguje.

Ty si kodis vlastneho kecalka, zema tak primitivne obmedzene moznosti?

Šmarjá, opusťte tedy příklad s kecálkem a představte si přenos větších dat - tedy situaci, kdy nechcete všechna data hnát přes nějaký ústřední bod.

Šmarjá, opusťte tedy příklad s kecálkem a představte si přenos větších dat - tedy situaci, kdy nechcete všechna data hnát přes nějaký ústřední bod.

Njn, chcelo by to vratit sa do reality a nie vymyslat scenare ktore ak nastanu tak nastanu velmi ojedinele.

Njn, chcelo by to vratit sa do reality a nie vymyslat scenare ktore ak nastanu tak nastanu velmi ojedinele.

To, co říkáte, že nastanou jen ojediněle, nastávají ojediněle teď a jen díky tomu, že NAT je smutná realita. To je jako kdybyste v socialistickém Československu řekl, že není potřeba otevírat hranice na západ, protože tam stejně lidi necestují.

Jenže to že někdo má veřejnou IP (jedno jestli 4 nebo 6) neznamená že bude možné spojení. Když si budu chtít psát kecálkem přímo se sousedem, co má stejného ISP, tak i kdybychom měli oba IPv6, tak to stejně ztroskotá na tom, že firewall v routeru zarazí příchozí spojení z WAN (výchozí nastavení). Takže ten centrální server je stejně nutný.

Když si budu chtít psát kecálkem přímo se sousedem, co má stejného ISP, tak i kdybychom měli oba IPv6, tak to stejně ztroskotá na tom, že firewall v routeru zarazí příchozí spojení z WAN (výchozí nastavení).

Kdysi dávno, když jsme se sousedem byli připojeni ke komunitní WiFi, bývaly občas výpadky připojení k Internetu a tak jsme komunikovali přes jednoduchý chat v PHP běžící na lokálním webserveru. Pak jsme objevili Picophone a pak přešli ke komerčnímu poskytovateli připojení :-)

Takže ten centrální server je stejně nutný.
Není. Už je to jen ve vašich rukou. Stejně jako se vás dnes ptají Windows, zda mají povolit nějaké aplikaci naslouchání na socketu, můžou se ptát, zda to mají povolit na síťovém firewallu.

A nebo prostě nemusíte na domácím routeru blokovat žádný provoz, třeba s výjimkou takového, který by z venku opravdu neměl přijít. případně pokud máte v síti nějaká podivná IoT zařízení, jejichž bezpečnosti nevěříte, blokovat provoz na ně. Protože firewall normálně v síti není potřeba, je to až druhá úroveň ochrany pro ty, kdo vědí, jak jej nastavit.

V mých nebo vašich rukou možná, ale v rukou běžného uživatele rozhodně ne. Domácí routery mají firewall (a mám za to že podle nějakého RFC je doporučeno aby ve výchozím stavu blokoval příchozí provoz, což je IMHO správně) a běžná domácí uživatel nebude nastavovat ve žádná vlastní pravidla provozu, protože tomu nerozumí a ani tomu rozumět nechce.

Nemyslím si, že by bylo správně, že domácí routery mají firewall, který ve výchozím nastavení blokuje provoz. Navíc pokud máte v síti nezabezpečená zařízení, firewall na hranici sítě vám moc nepomůže. A teda že bych bezpečnost sítě chtěl svěřovat zrovna notoricky děravým čínským krabičkám…

10. 6. 2021, 21:11 editováno autorem komentáře

"Zopar ludi ktori su za ipv6 tlacia ipv6 aj na priek tomu ze vecsine ludi nevyhovuje."

Ale houby. Většina lidí, pasivních konzumentů, protokol neřeší, pokud nějak funguje služba, kterou chtějí používat. Je jim úplně jedno, jestli se video streamuje po IPv4, nebo někdo nasadil IPv6 multicast a šetří si tak kapacitu páteřní linky. Takže pokud IPv6 funguje, tak jim vyhovuje.

Pak jsou tady lidi, kterým nevyhovuje IPv4. Kvůli blokaci služeb třeba. Teď si nevzpomenu na detaily, ale nějaký registr na minfin, co musí podnikatelé používat, dává možnost jenom omezenýho počtu přístupů v nějakým čase z jedné IP adresy. Co to asi udělalo, když účetní byly na home office za CGNATem? O IPv4 ví taková účetní houby, o natu ještě míň a stejně kvůli němu nadává... Těchto lidí furt přibývá.

A pak jsou tady jedinci, kteří se rozhodli pracovat v oboru, který je jeden z nejdynamičtějsích na světě a co pár let je v něm všechno úplně jinak. A furt se musí učit, aby z toho nevypadli a při práci používat hlavu. Ale z nějakýho důvodu se rozhodli, že jich se změny netýkají, nový technologie prostě používat nebudou a ani se nepodívají, jak že to vlastně funguje. A už vůbec nebudou přemýšlet o tom, jestli se něco dá udělat jinak nebo jestli to náhodou nebude lepší... A když to zkusí, stejně to nepochopí.

Takže pokud IPv6 funguje, tak jim vyhovuje.

Odpoved mate priamo v clanku kde je popisany stav fungovania komunikacnych aplikacii v ipv6 only sietach. Vecsina nefunguje.

Pak jsou tady lidi, kterým nevyhovuje IPv4. Kvůli blokaci služeb třeba.

To je ale problem implementacie toho serveru. Proste to nezvladli s greylistom...

A pak jsou tady jedinci, kteří se rozhodli pracovat v oboru, který je jeden z nejdynamičtějsích na světě a co pár let je v něm všechno úplně jinak.

Jj, to ze sa ucia im dava vyhodu ze nejdu s davom ukricanych fanatikov len preto ze musia byt "in". To ako to funguje lepsie uz mam osahane. Moj providerpodporuje IPv6.

Odpoved mate priamo v clanku kde je popisany stav fungovania komunikacnych aplikacii v ipv6 only sietach. Vecsina nefunguje.

Ale ne kvůli tomu, že by to neuměl protokol, ale protože vendoři těch aplikací to prostě neřeší. Ano, pro uživatele je to stav na prd, ano, znamená to, že zavádění IPv6 do praxe je dost bolestné, ano, dá se říct, že IPv6 málo myslelo na přechodovou cestu. Ne, nedá se říct, že IPv6 schází potřebné vlastnosti.

Odpoved mate priamo v clanku kde je popisany stav fungovania komunikacnych aplikacii v ipv6 only sietach. Vecsina nefunguje.

Máte to osahané z hlediska současného uživatelského dojmu, nebo z hlediska toho, co ten protokol nabízí?

Ale ne kvůli tomu, že by to neuměl protokol, ale protože vendoři těch aplikací to prostě neřeší.

Njn, robia presne to iste co ja, skusil som a usudil som ze cas zatial este nenastal, riesit to budem az s tym nebudu problemy.

Máte to osahané z hlediska současného uživatelského dojmu, nebo z hlediska toho, co ten protokol nabízí?

Myslite ze som ako skusil zapnut IPv6, poladit to sposobom IPv4 a sem tam mrkol na stackoverflow? Ja som stara skola, zaklad su manualy, pripadne konzultacia s niekym o kom viem ze ma v problematike prehlad.

Napriklad moj usecase. A usecase dalsich ktory IPv6 vidia problematicky.

Internet na 100% bude fungovat na IPv6 az vtedy ked IPv6 pokryje na 100% poziadavky. To ze ste sa vy a spol rozhodol ze tie poziadavky su irelevantne to nijako neobmedzi.

A jaký to je? Opravdu by mě zajímalo co na na IPv4 jde a na IPv6 nejde.

Napriklad moj usecase. A usecase dalsich ktory IPv6 vidia problematicky.
To jest?

Internet na 100% bude fungovat na IPv6 az vtedy ked IPv6 pokryje na 100% poziadavky.
Myslím, že si hodně fandíte, že kvůli vašim požadavkům bude celý svět udržovat v chodu IPv4.Prostě se bude objevovat čím dál víc služeb, které poběží jen na IPv6. To, že vy IPv6 nechcete, bude provozovatelům těch služeb srdečně jedno.

Ak je to tak, tak vasa mohutna intervencia za zakaz natu a ipv4 by bola zbytocna. Proste by sme uz davno vsetci fungovali na ipv6 aj bez vaseho remcania.

dw: Já za nic takového neintervenuju.

Příčinou toho, že není IPv6 více rozšířené, rozhodně nejsou vaše tajné požadavky, ve kterých vám IPv6 překáží. A ty požadavky by mne teda fakt zajímaly – že jenom to, že vám ISP přidělí IPv4 i IPv6, přičemž IPv6 vůbec nemusíte používat, vám ty plány zhatí.

Mne by pouzivat Ipv6 vobec nevadilo, za predpokladu ze:

1. Adresy zariadeni ktore nepotrebuju verejnu ip ju mat nebudu. Ale aby mali moznost stahovat aktualizacie tak potrebuju pristup do internetu. K tomu je nutny dobre fungujuci nat. To IPv6 zatial nema.

2. Moznost cez napr DHCP priradovat adresy tak aby bolo jednoducho mozne aktualizovat DNS. Stav ako na tom IPv6 najdete v clanku.

Dalsie vyhrady si mozete precitat v komentaroch ostatnych, nemam potrebu ich sem opisovat, mne primarne vadia tieto dve. Alebo mozete prepnut do mode ignorant a tvarit sa ze ine vyhrady nie su.

Adresy zariadeni ktore nepotrebuju verejnu ip ju mat nebudu.
K čemu je ta komplikace dobrá?

K tomu je nutny dobre fungujuci nat. To IPv6 zatial nema.
IPv6 je protokol. Co znamená, že nemá dobře fungující NAT? Co v IPv6 protokolu brání tomu přepsat v hlavičce IPv6 paketu adresu?

Adresy zariadeni ktore nepotrebuju verejnu ip ju mat nebudu.
K čemu je ta komplikace dobrá?

Zase dookola. Nepride vam trochu detinske tocit stale dookola otazky na ktore ste uz odpoved dostal? Myslite si ze tym nadobudnem pocit ze v kruhu sa tocim ja? :D

Nepride vam trochu detinske tocit stale dookola otazky na ktore ste uz odpoved dostal?
Kde jsem na tu otázku dostal odpověď? Když jsem se na ni dříve neptal?

Nepride vam trochu detinske tocit stale dookola otazky na ktore ste uz odpoved dostal?
Kde jsem na tu otázku dostal odpověď? Když jsem se na ni dříve neptal?

Staci si preliezt diskusiu. Ked tak jeden tu https://www.root.cz/clanky/ipv6-po-deseti-letech-svet-je-v-tretine-cesty-cesko-se-zaseklo/nazory/1069946/

To ze ste zabudol na svoju otazku by sa dalo pochopit, aleze ste zabudol aj na to ze ste reagoval na moju odpoved je uz fakt na povazenie. Mal by ste s tym nieco robit. Prehlasenie ze je to normalne asi moc neobstoji...

dw: Na otázku „k čemu je ta komplikace dobrá“ jsem se v tom komentáři ptal poprvé, nemohl jsem tedy na tuto otázku zapomenout. Vy jste na ni ale neodpověděl – v odkazovaném komentáři odpověď na tuto otázku není.

Ale chápu, vy žádné argumenty nemáte. Jenom hledáte výmluvy.

Ale chápu, vy žádné argumenty nemáte. Jenom hledáte výmluvy.

Argumenty mam, to ze sa van zdaju irelevantne bude vas problem. Zrejme pre to ze sa budete hadat ze ste nepolozil otazku,napriek tomu ze ste reagoval na odpoved. Je jedno ci vam zlyhava kratkodoba pamat alebo ste len tu skutocnost vytesnil pretoze sa nehodi. V oboch pripadoch je to len vas problem, nie moj. Preto by ste si ho mal zriesit vy sam a verte mi ze root nie je tym spravnym miestom kde by sa taketo problemy riesili.

Argumenty mam, to ze sa van zdaju irelevantne bude vas problem.
Pořád si jen vymýšlíte a vymlouváte se. Jediný argument, který jste napsal, je ten, že protokol IPv6 brání implementaci NATu. Ovšem na dotaz jste nebyl schopen to ničím doložit, takže tento argument považuji za vyvrácený.

Pořád si jen vymýšlíte a vymlouváte se.

To ze neakceptuje jediny argument ktory vam dam, je vas problem, proste niektori ludia su zahladeny do seba tak, ze diskusiu vedu ako monolog.

To ze nerespektujete ze ludia mimo vasu bublinu maju ine potreby ako vy, je tiez len vas problem. Uz ani necem vediet co vam tak vadi na tom ze ludia nechcu aby kazde jedno zariadenie ktore pouziju malo verejnu ip.

Poziadam vas, nereagujte na moje komentare nez sa nenaucite umeniu dialogu.

12. 6. 2021, 00:33 editováno autorem komentáře

dw: Že vás ty výmluvy pořád baví. Já jsem váš jediný argument akceptoval a vyvrátil jsem ho. Od té doby se pořád jen na něco vymlouváte, místo toho, abyste vy akceptoval, že jsem to vyvrátil, nebo rozporoval můj argument, nebo přišel s jinými argumenty.

Uz ani necem vediet co vam tak vadi na tom ze ludia nechcu aby kazde jedno zariadenie ktore pouziju malo verejnu ip.
Mně na tom nevadí nic. Jenom jsem se slušně zeptal, jestli je k tomu nějaký důvod. Když si někdo zvolí místo jednoduché varianty tu složitější, očekávám, že k tomu má nějaký důvod. Vy jste jeden důvod napsal, já jsem vysvětlil, proč ten důvod nedává smysl. Pokud chcete něco dál dělat komplikovaně, přestože k tomu není racionální důvod, klidně to dělejte. Mně to je úplně jedno. Ale je zbytečné, abyste si sám to neracionální chování obhajoval tím, že píšete do diskusí nesmysly. Přede mnou své neracionální chování fakt obhajovat nemusíte, já jsem zvyklý, že se spousta lidí chová neracionálně.

Poziadam vas, nereagujte na moje komentare nez sa nenaucite umeniu dialogu.
Umění dialogu teď vázne na vaší straně. Vy jste předložil nějaký argument, já jsem ho vyvrátil. Vy se s tím odmítáte smířit a místo toho, abyste reagoval na můj protiargument, pořád se tváříte, že jsem žádný protiargument nenapsal.

Ak by neostalo len pri sluboch tak by som presiem myslim nielen ja. Ale to co dotanem na openwrt pri pouziti "opkg install kmod-ipt-nat6" fakt nie je to co by som ocakaval.

A co presne na tom IPv6 NATu v Linuxu nefunguje spravne? Podle vsech prikladu na netu to vypada jako uplne to stejny jako u IPv4. Ja si to snad budu muset pro zajimavost nainstalovat a vyzkouset.

Vznikla na základě vašeho komentáře.

To by sa dalo ocakavat, kedze je vas komentar ako reakcia na moj komentar. Skuste konkretizovat na zaklade coho ste dospel k tomu vykriku do tmy...

Router s natom sa lisi akurat tym ze pre jednu ip ma vo fireealli nastavene pravidlo pre prepis adries.
Přepis adres dělá NAT (zkratka NAT znamená Network address translation, tedy přepis síťových adres), ne firewall.

Presne na tuto perlu som cakal :D

Poucte siroke masy navodom ako realizovat NAT bez firewallu. Ste si isty ze v tom ako to funguje mate naozaj jasno.

Poucte siroke masy navodom ako realizovat NAT bez firewallu.

Jednoduše: prostě budete pouze překládat adresy a nic víc. To, že v linuxovém jádře netfilter implementuje paketový filtr (firewall) i překlad adres (NAT), neznamená, že to nejsou dvě nezávislé funkce. Koneckonců jsou do značné míry oddělené i v tom netfilteru.

ako to funguje v netfiltri viem, otazka znela ako to funguje bez neho.

ako to funguje v netfiltri viem, otazka znela ako to funguje bez neho.

Stačí, když si vyzkoušíte IPv4 na veřejných adresách. Zjistíte, že nepotřebujete žádný NAT. Stačí Vám firewall, aby vše fungovalo stejně a lépe, než s NATEM. Schválně si to někdy zkuste, doručit veřejnou IP adresu na Váš počítač. Když už nepoznáte posun k lepšímu, tak k horšímu určitě ne.

ako to funguje v netfiltri viem, otazka znela ako to funguje bez neho.
Už jsem vám to jednou vysvětloval, ale asi jste to nepochopil. Zkusím to ještě jednou opravdu polopatě:

Firewall jen blokuje provoz, nijak nemění adresy procházejících paketů. Firewall může v pohodě fungovat bez NATu.

NAT jen mění adresy v hlavičkách procházejících paketů. Účelem NATu není blokování provozu. Samozřejmě pokud adresy změníte špatně, můžete si tím provoz zablokovat, ale to je nežádoucí vedlejší efekt, ne účel. NAT funguje v pohodě bez firewallu.

Firewall i NAT jsou abstraktní koncepty. Vedle toho pak samozřejmě existují konkrétní implementace firewallu a konkrétní implementace NATu. A vás asi mate, že v linuxovém jádru je firewall i NAT implementován v jedné komponentě – netfilter.

A vás asi mate, že v linuxovém jádru je firewall i NAT implementován v jedné komponentě – netfilter.

Tak skuste https://www.google.com/search?client=firefox-b-d&q=nat+implementation+without+firewall a premyslajte :D

Přemýšlel jsem o tom a dospěl jsem k názoru, že nerozumíte tomu, co je firewall a co je NAT.

Představte si aplikaci, která přijme IPv4 paket, přepíše bajty 16–19 (číslováno od 0), z bajtu 9 zjistí číslo protokolu a pokud jde o protokoly 1, 6 nebo 7, přepočítá kontrolní součet paketu a paket odešle. Víte co to je? Implementace NATu. Potřebujete k tomu nějaký firewall? Nepotřebujete.

Víte co to je? Implementace NATu. Potřebujete k tomu nějaký firewall? Nepotřebujete.

Klidně i něco reálnějšího: kdysi (IIRC do verze 2.6.8) byla v linuxovém jádře implementace bezstavového překladu adres, která byla součástí routovacího subsystému, nastavovala se pomocí " ip rule" a " ip route" a s netfilterem ani firewallem obecně neměla naprosto nic společného. Občas na zmínku o ní narazím někde v dokumentaci ještě dnes.

Bude to SW modul v routeru, který poslouchá dejme tomu na 192.168.1.1 a 100.110.120.130.

Když přijde paket z 192.168.1.10:3200 na 192.168.1.1, nahradí adresu odesílatele za 100.110.120.130:45687 a pošle dál. Poznačí si, že port 45687 použil pro 192.168.1.10:3200 a čas, kdy to udělal.

Když přijde paket na 100.110.120.130, podívá se do tabulky, jestli na tom portu něco odesílal, když ne, zahodí to. V našem případě to došlo na 45687, takže paket vezme, jako cílovou adresu mu dá 192.168.1.10:3200 a pošle do vnitřní sítě.

Samo sebou, že to přináší klasickou NATovskou svatou trojici problémů:
- Omezený počet procházejících spojení
- Možnost to krásně obejít nebo prostřelit
- Časový limit por odpověď a z toho plynoucí výpadky spojení

Omezený počet procházejících spojení

Aplikacie by mali uzatvarat nepotrebne spojenia samy, nie cakat na timeout.

Možnost to krásně obejít nebo prostřelit

skuste "-m state --state RELATED,ESTABLISHED -j ACCEPT" s tym ze default bude drop. Bez spoluprace zariadenie na ktore chcete prestrelit nat nemate sancu.

Časový limit por odpověď a z toho plynoucí výpadky spojení

Za natom mi tracepath dava jednotky milisec...

Pripominate mi jedneho byvaleho kolegu. Bol lopata. Libvirt a kvm bolo pre neho privelke susto, tak ho hejtoval a kazdemu vehementne vysvetloval ako je docker jednoduchy a skvely. Na podporu toho vymislal priklady mimo realitu, len aby mal pravdu. Nakoniec ho vyhodili. Tak hadam pracujete niekde, kde su na tom vsetci tak ako vy. :D

Aplikacie by mali uzatvarat nepotrebne spojenia samy, nie cakat na timeout.
To ovšem neřeší problém počtu procházejících spojení.

skuste "-m state --state RELATED,ESTABLISHED -j ACCEPT" s tym ze default bude drop. Bez spoluprace zariadenie na ktore chcete prestrelit nat nemate sancu.
Což ovšem nijak nesouvisí s NATem. Tímhle jste na firewallu zablokoval veškerou komunikaci, která nesouvisí s již navázaným spojením. Tudíž nebude možné s tím zařízením komunikovat vůbec, ani v jednom směru. Kdybyste tam přidal ještě pravidlo, že zařízení samotné může navazovat spojení, je to klasické firewallové pravidlo pro zákaz veškeré příchozí komunikace a povolení jen odchozí komunikace. S NATem to nemá vůbec nic společného, kromě toho, že když máte NAT, musíte si dávat mnohem větší pozor, abyste to nakonfiguroval správně.

Za natom mi tracepath dava jednotky milisec...
Nepochopil jste, o čem je řeč. Jde o to, že NAT si pamatuje spojení jen omezenou dobu. Pokud je spojení delší dobu neaktivní, NAT ho zapomene. A když pak zařízení chtějí něco tím spojením (které je z jejich pohledu stále otevřené) poslat, skončí to na tom NATu, protože už spojení zapomněl a nedokáže paket správně upravit.

Pripominate mi jedneho byvaleho kolegu. Bol lopata. Libvirt a kvm bolo pre neho privelke susto, tak ho hejtoval a kazdemu vehementne vysvetloval ako je docker jednoduchy a skvely. Na podporu toho vymislal priklady mimo realitu, len aby mal pravdu. Nakoniec ho vyhodili. Tak hadam pracujete niekde, kde su na tom vsetci tak ako vy. :D
Je pozoruhodné, když se do hodnocení znalostí ostatních pouští trumbera, který nechápe rozdíl mezi NATem a firewallem.

Tak to dopadne, ked patlal sadne k jave.

Suvisi, len patlal by prevadzkoval nat bez firewallu.

A jak suvisi timeout s pomalostou toho spojenia

Ja rozdiel medzi natom a firewallom bez natu chapem velmi dobre, overene mnozstvom dobre fungujucich firewallov s natom.

dw: To, jestli dobře rozumíte rozdílu mezi firewallem a NATem, nemůžete posoudit sám. Kdyby člověk mohl sám posoudit, jak dobře něčemu rozumí, nebyly by ve škole potřeba zkoušky – student by se prostě oznámkoval sám.

No a z vašich komentářů je zřejmé, že tomu rozdílu nerozumíte. Obhajujete NAT a jako důkaz dáte pravidlo pro firewall (navíc špatné). Vymýšlíte si, že NAT nemůže existovat bez firewallu.

A jak suvisi timeout s pomalostou toho spojenia
Netuším. O pomalosti jste teď napsal poprvé vy.