Vlákno názorů k článku Stav IPv4: drancování a všudypřítomný NAT od mrtn - hm, diskusi jsem si precetl, konec koncu neni...
-
mrtn (neregistrovaný)
hm, diskusi jsem si precetl, konec koncu neni prvni na toto tema, ale porad neznam odpoved na nasledujici:
K cemu je mi IPv6, kdyz nechci byt soucasti IoT a vsech tech legracek kolem (resit, jestli mi nekdo zvenku hackuje lednicku, zkousi nahrat sledovaci software do televize nebo co ja vim co vsechno).
Dokud jsem na IPv4, tak zvenku neni videt nic, pristupy zvenku skonci na routeru a dokud nenecham forwardovat konkretni port na nejake zarizeni v LAN, tak si na nej zvenku nikdo ani nepingne.
Jakmile ziskaji vsechna zarizeni nejakou IP6, tak budu muset zacit resit prinejmensim firewall a kam zkousi volat ven a kdo je zkousi volat zvenku.
Tak k cemu by mi IPv6 byla, krome pripadnych problemu?
-
Jenda (neregistrovaný)
> K cemu je mi IPv6, kdyz nechci byt soucasti IoT a vsech tech legracek kolem
K tomu, aby sis mohl s ostatními vyměňovat soubory. K tomu, aby sis s nimi mohl telefonovat. K tomu, aby sis mohl pro svůj web pořídit VPS za 20 Kč, když IPv4 adresa stojí 40.
K tomu, aby ses dostal na služby, které nebudou mít IPv4 adresu (zatím hudba budoucnosti).
> Dokud jsem na IPv4, tak zvenku neni videt nic
To jednak není pravda a jednak to souvisí s firewallem, nikoli s IPv4/IPv6 nebo NATem.
> Jakmile ziskaji vsechna zarizeni nejakou IP6, tak budu muset zacit resit prinejmensim firewall a kam zkousi volat ven a kdo je zkousi volat zvenku.
To musíš už teď. Co asi udělá tvůj router (vlastně ani nezáleží na tom, že v něm je NAT), když na jeho venkovní rozhraní dorazí paket s destination IP 192.168.0.66? To, co se od routeru tak nějak očekává - šoupne ho dovnitř.
-
No ... jak si budu vyměňovat soubory, když všichni budou za routerem (protože to jinak skoro ani dělat nejde) a všichni budou mít naprosto stejný stavový firewall, jako na IPv4?
Mimochodem - zkus si takový paket odněkud někam poslat. Jak budeš mít v cestě jeden jediný router, co nebude tvůj, tak si nepošleš. Případně pošleš, ale to bude taková výjimka, že se jí nehodlám moc zabývat.
-
M. (neregistrovaný)
Nu, DUID koncept se dosti zvrhl u DHCP. Ono to vychází z toho, že se DHCPv6 používá na všech typech linkách, včetně PPP, takže to nějak museli pořešit.
Je fakt, že řada DHCP serverů to umí ignorovat a jet dle MAC. A pokud je zařízení rozumné, jede s DUID-LL, takže je v tom zase jen ta MAC adresa.Jimka k DUID-LL mám doboru historku, například TMobile to ve své ADSL síti hlídá, takže dát na Jižní Moravě router na ADSL, který si vezme IPv6 prefix přes DHCPv6-PD, zduplikuji konfiguraci tak blbě do jiného routeru, že do druhého se přenese i DUID-LL a zapnu ho v Libereckém kraji na síť TMO, tak už IPv6 prefix nezíská, dokud ten první router v Brně nevypnu. Tak pozor při klonování konfigurací. :-)
-
Jenda (neregistrovaný)
> No ... jak si budu vyměňovat soubory, když všichni budou za routerem (protože to jinak skoro ani dělat nejde) a všichni budou mít naprosto stejný stavový firewall, jako na IPv4?
Doufám, že nebudou.
> Mimochodem - zkus si takový paket odněkud někam poslat. Jak budeš mít v cestě jeden jediný router, co nebude tvůj, tak si nepošleš.
Já vím, ale to, že útoky fungují jenom ze stejného baráku/ISP/… snad neznamená, že je to v pořádku.
-
j (neregistrovaný)
Fungujou klidne i z netu ... co myslis, pres kolik % routeru projde source routing? Vyzkousej si to. A spousta provideru naprosto vpohode pusti i privatni IPcka. Naprosto bezne se mi vraci treba odpoved na ping, ktera ma v src 192.168 ... pres celou republiku pripadne i zahranici.
Proto jak rikam, naivni trotli co si myslej, ze NAT je jejich spasa.
-
Janci (neregistrovaný)
>K tomu, aby sis mohl s ostatními vyměňovat soubory. K tomu, aby sis s nimi mohl telefonovat. K tomu, aby sis mohl pro svůj web pořídit VPS za 20 Kč, když IPv4 adresa stojí 40.
Ako sa bude lisit vymena suborov a telefonovanie s IPv4 za NATom (ktore teraz funguje, bez problemov si vymienam subory a telefonujem s inymi ludmi nech som kdekolvek) a IPv6?
Ked budem chciet vymienat subory s vyuzitim plneho potencialu IPv6, tak si najskor spusitm nejaky file server, potom sa prihlasim do firewallu a povolim tam pristup, vymenim si nejake subory a potom to zase zrusim? Alebo ako mi v tomto ma pomoct IPv6?
-
M. (neregistrovaný)
"Ked budem chciet vymienat subory s vyuzitim plneho potencialu IPv6, tak si najskor spusitm nejaky file server, potom sa prihlasim do firewallu a povolim tam pristup, vymenim si nejake subory a potom to zase zrusim? Alebo ako mi v tomto ma pomoct IPv6?"
Tohle řeší to, pokud daný fileserver bude podporovat UPnP, pokud ano, tak po dobu svého běhu požádá domácí router, aby otevřel pro forward potřebné IP:porty. V podstatě stejně, jak to dneska dělá i pro IPv4, akorát nenastavuje jen otevření IP:port, ale zároveň konfiguruje i destination NAT.
-
M. (neregistrovaný)
Záleží, jak chytrejmáte routřík, na některých jde nastavovat, co může UPnP vše doprznit a zda jej vůbe cmá podporovat.
Nicmén ě je to běžně používaný způsob, jak mít defualt stavový firewall blokující vše dovnitř s možnotí si dynamicky něco otevřít.
UPnP je ale míněno hlavně pro dočasné otevření (např hry) a ne trvale běžící služby, kde ořčekávám nastavne natvrdo člověkem.
Jen jsme ukayoval, že řešneí pro IPv4 iIPv6 je podobné. -
M. (neregistrovaný)
Pokud ty IP má a neumí ji dostat až k zákazníkovi, tak je to jeho neschopnost a lennost. :-)
Nicméně jsem popisoval, jak to může fungovat. V případě IPv6 žádný CGN nebude u operátora, takže stačí aplikaci ovládat koncový home router. V případě IPv4, kdy je tam ještě CGN, tak toto nelze a musí se používat opičárny jiné a mnohem komplikovanější. Takže tady je vidět situace, kdy to IPv6 zjednodušší.
Apropo, začíná to smrdět, že nebude ani CGN pro IPv4, evidentně začíná být v EU myšlenkový tlak na zákaz operátorských CGN dříve, než s ezačnou rozmáhat.Když nebude mít operátor dostatek IPv4 adres pro každého zákazníka, tak bude dávat IPv6 only přípojky a žádný NAT v dual stacku k tomu. A jako bonus bude operátor provozvat online databázi pro státní úředníky, kde si kdykoliv bude moci Policie a spol najít, jaké IP má jaký uživatel k používání (proto ten zákaz CGN, aby stačila pro identifikaci IP). Tím se odstrasní nutnost ukládání dat u operátorů a stát si přijde na své informace i bez aktivní spolupráce s ISP a nějakými soudníma povoleníma na zjištění identity majitele přípojky. :-)
-
Jenda (neregistrovaný)
> Ako sa bude lisit vymena suborov a telefonovanie s IPv4 za NATom (ktore teraz funguje, bez problemov si vymienam subory a telefonujem s inymi ludmi nech som kdekolvek)
Tak to jsi hustý, já k telefonování potřebuju SIP server, který se pokusí prorazit UDP díru, a když se to nepovede, tak tuneluje všechna média, a přenosy souborů mi nefungují vůbec. Jak to děláš?
-
mrtn (neregistrovaný)
>> K cemu je mi IPv6, kdyz nechci byt soucasti IoT a vsech tech legracek kolem
> K tomu, aby sis mohl s ostatními vyměňovat soubory.nepoužívánm
> K tomu, aby sis s nimi mohl telefonovat.
to už provozuju na IP4
> K tomu, aby sis mohl pro svůj web pořídit VPS za 20 Kč, když IPv4 adresa stojí 40.
nepotřebuju
> K tomu, aby ses dostal na služby, které nebudou mít IPv4 adresu (zatím hudba budoucnosti).
tady už teprve postrádám konkrétní smysl
>> Jakmile ziskaji vsechna zarizeni nejakou IP6, tak budu muset zacit resit prinejmensim firewall a kam zkousi volat ven a kdo je zkousi volat zvenku.
> To musíš už teď. Co asi udělá tvůj router (vlastně ani nezáleží na tom, že v něm je NAT), když na jeho venkovní rozhraní dorazí paket s destination IP 192.168.0.66? To, co se od routeru tak nějak očekává - šoupne ho dovnitř
a tam to skončí, protože síť mám číslovanou jinak
sorry, ale pořád neznám důvod, k čemu je mi IPv6
