Ale podle té odkazované tabulky na Wikipedii má /8 z univerzit jenom MIT (18.0.0.0). Nechat jim /16, tak se uvolní 255 prefixů pro /16. 255 /8 sítí pro celou planetu, z toho vyžijem tak 20 let, že :(
Koho tam máme z firem? L3COM, AT&T, US Post, PSINet, ... Wait, to jsou telekom. operátoři, to by jsme IP adresy brali jejich zákazníkům... Ti z toho budou mít pěkný orgasmy.
Technologický firmy? Vždyť tím, že nepustí IP adresy, blokují novou konkurenci. Vzdát se IP rozsahu můžou jenom na základě zákona a mají dost peněz na to, aby zákon neprošel.
US DoD? S těma asi nehne nic. Co zelený mužík schvátí, to už nikdy nenavrátí.
Nejjednodušší je to prostě vyřešit tak, že začneme používat IP adresy v jiným formátu a ty jejich nasyslený si můžou strčit do libovolnýho tělesnýho otvoru.
> Co je v rozsahu 240.0.0.0/8–255.0.0.0/8?
Nic. Tak dlouho byl rezervovaný pro budoucí použití, až se pro žádné použití nehodí, neboť je na spoustě míst natvrdo filtrován jako neplatný.
Ale i kdyby se začal používat, byl by rozdaný během nejvýše půl roku. Vyplatilo by se něco takového zprovozňovat kvůli půlročnímu odkladu?
Díky, pobavilo. Na odebírání a prodlužování IPv4 adres jsem čekal. Je to taková aplikace Goldwinova zákona na diskuzi o konci IPv4/zavádění IPv6.
??? Drogy jsou špatné... IPv4 je mrtvý, jen rozšiřování adresy nic nevyřeší. Akorát by to vedlo k dalšímu udržování toho bordelu kolem. Už tak je nepochopitelné, že někteří @&^%#&^%%$@# protlačili do IPv6 NATy. Za blbosti typu "rozšiřme IPv4 adresy a jedeme dál" by se mělo věšet na náměstí na kusu UTPčka...
No to tedy doufám, že tvůj ISP je natolik spolehlivý, že ti garantuje minimální počet současně připojených uživatelů natovaných za jednu IP a maximální dobu používání jedné IP, ideálně včetně pravidel, po jak dlouhé minimální době je možné pro tvé připojení využít znovu již jednou využitou adresu. Mimochodem... i NAT ti zvyšuje latence, za jistých okolností snižuje rychlost, omezuje ti počet aktivních spojení (v závislosti na ostatních za stejnou IP) a rozbíjí asi milión věcí, který se potom musí řešit drbáním levou rukou za pravým uchem.
Jednak by to musela být zcela jiná IP adresa. Rozhodně nestačí, abych dostal jen jinou IP adresu z rozsahu, který celý patří jenom mně.
A druhak ne, nestačí. Když najdu u vašeho scénáře dva příspěvky odeslané ze stejné IP v podobný čas, lze očekávat, že i autor je stejný. A ty IP adresy se zase nemohou měnit moc často. (třeba každou minutu) Protože to IMHO otevřená spojení to nesou docela těžce.
To ma jednoduchy reseni. ;) Pis takovy prispevky, kde nebude vadit, kdyz te nekdo odhali. Pokud potrebujes nutne napsat neco hur odhalitelnyho, pouzij VPN. A pokud by to melo byt neco, co fakt nesmi nikdo zjistit, tak mame Tor (netvrdim, ze odhaleni je zcela vylouceny, ale nic tak extremniho, aby to nekomu stalo za namahu, pravdepodobne nikdy delat nebudes). Naprosta anonymita na internetu je jen iluze, s tim je potreba se smirit.
Internet ale neni navrzenej tak, aby byl anonymni. To, ze diky NATu je za jednou adresou pulka sidliste a na prvni pohled neni videt kdo je kdo, je jiste zajimavej vedlejsi efekt, kterej se nekomu libit muze, to nepopiram.
Zkus to navrhnout svymu poskytovateli, ze bys mel zajem o IPv6, ale s prefixem menicim se kazdou hodinu, to by snad mohlo stacit. Pokud vas bude vic, treba ho ukecate. A bude-li to pouze volitelna vec, tak drzim palce.
V tom pripade zaber, protoze kdyz jsem to zjistoval naposledy, SATT sice s distribuci IPv6 k zakaznikum nespechal, ale svuj prefix uz par let maji, takze to neni dobry znameni! ;) Taky nezapominej na to, ze zdaleka ne vsichni to vidi stejne, nekteri maji staticky verejny adresy radi.
:D :D :D :D :D
1) Pokud se ti nelíbí, že z tvojí IP adresy lezeš ven jenom ty, pořiď ti TOR exit node.
2) Pokud chceš na net bez dohledatelné IP adresy, používej TOR.
3) IPv6 adres na stroji můžeš mít kolik chceš. Současně. Takže můžeš z jiné IP adresy tahat mail a z jiné adresy současně brouzdat po netu a na další mít IM klienta. Takže argument s omezením času nějakým otevřeným spojením neberu.
Proč bych nasazoval TOR, když mi to, co zajistí dynamická natovaná IPv4 stačí?
Ad tři: Zkusím znovu napsat co jsem psal výše. Ty IPv6 adresy budou ale jen z jednoho rozsahu, o kterém všichni budou vědět, že celý patří jednomu člověku. Tudíž o každém příspěvku poslaném z toho rozsahu bude jasné že patří témuž člověku jako všechny ostatní příspěvky poslané z toho rozsahu. Tudíž to neřeší nic
Proč bych nasazoval TOR, když mi to, co zajistí dynamická natovaná IPv4 stačí?
Co přibližně vám ta dynamická NATovaná IPv4 zajišťuje? Že všichni, kteří vaši komunikaci můžou sledovat, vědí, že jste to právě vy – přestože za stejnou IP adresou jsou schovaní další uživatelé? To samé budete mít i tehdy, když budete mí svou vlastní IP adresu – jediný rozdíl je v tom, že s tou unikátní IP adresou je to trochu jednodušší.
Pokud chcete to sledování zkomplikovat, opravdu musíte použít TOR, anonymizaci prohlížeče a nedělat v takovém režimu nic jiného. NAT vám v tom nepomůže, protože i přes tu sdílenou IP adresu odesíláte spoustu dat, podle kterých je možné vaši komunikaci identifikovat.
@Z
Chápu požadavek na anonymitu, tedy že běžný ovčan nemůže dohledat na základě IP adresy na koho je registrovaná přípojka.
Co ale nechápu je to, proč nechceš, aby bežný ovčan nepoznal, že píše ze dvou různých účtů. To jako, že teď ses na rootu totálně ztrapnil, takže začně psát pod nickem "Y" a nikdo nic nepozná?
Ahoj,
nebojte se konfigurace fw a nebojte se oprostit od toho překladu adres. Buďte dusledný jak v zabezpečení (fw), tak v anonymizaci (VPN, TOR, ...). Add anonymizace. I v rámci jedné IP adresy jste anonymní. Nikdo přeci nemůže říci, že jste u toho stroje seděl právě vy. Například z mé stanice se může přihlásit několik uživatelů (mám Linux). ... Normálně bych vám neoponoval, ale kdo jednou řešil problémy s NATem, ten musí stát rozhodně na druhé straně barikády a to i přes jistou netriviálnost a syrovost IPv6. :-)
Mít co chvíli novou IP adresu umožňuje právě IPv6 :) U IPv4 to spoustu věcí rozbije :) Navíc nechápu, jak si to představuješ s tou anonymitou? To jako že u IPv6 je u každé IP v nějaké databázi jméno, adresa a fotka přirození? Tak nezapomeň zakázat js a sušenky a možná raději vytáhni kabel, nebo odpoj wifi. Přes prohlížeč se dá zjistit mnohem víc zajímavých informací, než z nějaké IP.
Pokud každý uživatel dostane jeden pevný /22 IPv6 rozsah jenom pro sebe, lze očekávat, že každý příspěvek odeslaný z jednoho IPv6 rozsahu patří jednomu a témuž uživateli.
Nemyslím si, že je někomu něco do toho, co píšu a kam chodím kde jinde na internetu. I kdyby měl tak bohulibé účely, jako je třeba cílení reklamy.
Inu... Na svém linkedinu jméno a fotku mám. Linkedin používá google analytics.
Tudíž pokud vlezu na jiný web, kde je také google analytics (třeba root) a něco tam napíšu, tak google dostane informaci o tom, že já, P.N. jsem napsal komentář na rootu.
Ano, používám něco, co se GA a podobné zmetky snaží odstřihnout, pochybuji ale, že to má stoprocentní úspěšnost.
@Z
"Anonymita. Nechci, aby běžní lidé (=kdokoliv krom policie, armády, tajných služeb a mého ISP) dokázali poznat čistě na základě času a IP adresy, zda jsem něco někde na internetu psal já, nebo ne."
S tak debilními názory se ani nedivím, že chceš anonymitu.
Tvoje myšlenkové pochody o anonymitě jsou dost odrtržené od reality:
1) Když tě někdo bude chtít identifikovat, použije fingerprinting browseru, takže tě identifikuje ještě spolehlivěji než podle IP.
2) Jak se liší současný stav, kdy máš IPv4 a jsi za NATem, ale je vidět veřejná IP tvého poskytovatele od situace, kdy máš veřejnou IPv6 se zapnutým privacy extensions a běžný člověk si dohledá dle prefixu také pouze tvého ISP?
U 2) rozdil je. Kdyz ted vleze na nejakej web, ten vidi adresu 1.2.3.4 a za tou je treba stovka ruznych pripojek/domacnosti. Zatimco kdyz tam vleze s 2001:2:3:4:<cokoliv>, da se predpokladat, ze je to porad jen jedna pripojka. Snem Z ovsem je zustat u IPv4 a aby ISP dynamicky natoval idealne na celej svuj verejnej rozsah, takze server by videl treba 1.2.3.<neco> a moznych uzivatelu, kteri z tech adres prisli, by bylo aspon par tisic. :)
Říká člověk, který sedí za torem..
1) Kombinace fingerprintu browseru a IP adresy identifikuje účinněji než samotný fingerprint. Nehledě na to, že s fingerprintem se dá dál pracovat.
2) Privacy extensions v IPv6 funguje pokud vím tak, že ISP rozdělují rozsahy. Každý uživatel dostane svůj (třeba) /64 rozsah a privacy extensions říká, že mi každou chvíli dá jinou IP adresu z toho mého rozsahu, ne? No ale moment. Pokud vím, že daný ISP dává uživatelům /64 rozsahy, tak vím, že všechny zprávy poslané z jednoho /64 rozsahu adres patřícího tomu ISP jsou poslané jedním uživatelem....
Hint: A co když ho neurčí? ;-)
To není nápověda, to je sci-fi. Je to asi tak na stejné úrovni, jako kdybychom vám argumentovali, že si můžete pořídit připojení od 20 ISP a střídat je, abyste nebyl identifikován jedinou IP adresou. Ano, technicky je to realizovatelné, ale prakticky to asi dělat nebudete. Stejně jako by pro vás bylo prakticky velmi obtížné odstranit z komunikace otisk vašeho prohlížeče, operačního systému, interferenci mezi jednotlivými komunikačními kanály… A pak pořád ještě zbývá text komentářů.
HINT: Panopticlick dává celkem slušný odhad.
Bylo by jednodušší, kdybyste se ráčil vymáčknout, co vlastně chcete říct. Ty vaše nápovědy totiž vypadají, jako že moc netušíte, o čem píšete. Nebo jste tím chtěl naznačit, že vás je za jednou IP adresou schovaných třeba 100, a z toho 30 má stejný otisk prohlížeče, jako vy? Asi těch 100 lidí nebude ničím mimořádných, takže stejný otisk by měla mít přibližně třetina uživatelů internetu. Mohl byste ten otisk zveřejnit? Protože to je docela unikátní objev, že celá třetina uživatelů internetu má stejný otisk prohlížeče. Jak to, že na to nepřišel někdo před vámi?
Hint: Nezapomněl jste náhodou na to, že není potřeba, aby vás otisk prohlížeče odlišil od všech ostatních uživatelů internetu, ale že stačí, když vás odliší od ostatních uživatelů za stejnou IP adresou?
Mohu svůj fingerprint měnit.
A mohu být dokonce tak ďábelský, abych používal více prohlížečů. A to třeba i z nějakého virtuálního počítače.
A taky byste si mohl něco o otiscích prohlížečů zjistit. Začít můžete třeba zde: Nová metoda fingerprintingu pozná uživatele i po výměně prohlížeče. Ale tak můžete si prohlížeč v tom virtuálním počítači přepnout do čínštiny, před zapnutím virtuálního počítače vyměnit grafickou kartu a procesor a virtuální počítač pouštět v malém okně, že.
Ďábelské... a do podpisu si dej "Omluvte moji dlouhou reakční dobu, pro poslání dalšího příspěvku instaluji novou virtuálku" :D Navíc existují metody fingerprintingu na prohlížeči nezávislé... doporučuji nakoupit zásobu levných počítačů a každý používat maximálně několik hodin, během kterých prostřídáš různé OS v různých virtualizacích a s různými prohlížeči. Potom je třeba tento počítač fyzicky zlikvidovat.
@Z
1) Jo a kombinace otisku prstu a čísla velikosti bot identifikuje účiněji než samotný otisk prstu. Přesto tě velikost boty nemusí vůbec trápit, když znáš otisk prstu.
2) Prefixy /64 dávají jen zmrdi. Správně se má přidělovat /48 a nebo nejméně /56.
A co jako? Je problém, když se bude vědět, že ty zprávy šly ze sítě jednoho uživatele?
Ten /64 má ISP a z něho čerpá adresy pro zákazníky. Pro domácnost (jedna síť) je standard /48, takže 65536 domácností.
Pokud nejsou nikde registrovaní jednotliví zákazníci, tak se podle IP dá dohledat právě jenom ten ISP (/64) a dalších 16b funguje jako "transparentní CGNAT", takže z toho je sice poznat přípojka, ale nedá se dohledat její adresa a konkrétní člověk (pokud si na ní někdo nespustí nějakou veřejnou službu s veřejným záznamem). Tyhle bity se používají na "prostřelení" CGNATu, pokud che někdo komunikovat napřímo, nebo odpovědět.
Dalších 48b se mění naprosto náhodně a není poznat, co za stroj v síti to dělá. Tam už stejně nastupuje třeba víra ve zbytečnost https a další pověry.
Tak bezpečnost jsme tu ještě dneska neřešili. Byť v těch deseti flamewarech co na rootu okolo toho, že ipv4 definitivně umřela, byly obvykle nechyběla.
Ale jo, myslím, že je lepší, když ty statisíce děravých (backdoorovaných) routerů a síťových disků nejsou vystrčené do internetu s veřejnou IP adresou. Že je bude těžké v té spoustě IP adres najít bych nedoufal. Počítám, že to stejně skončí u toho, že se síťový disk BFLM15-B výrobce DW bude v rozsahu patřícím uživateli vždy objevovat zásadně na adrese ROZSAH::15.
"A kdo říká, že ty tisíce backdoorovaných routerů musí mít veřejnou IPv6?"
Spousta lidí se snaží tlačit takovouto verzi IPv6. I tady v diskusi se objevují myšlenky, že NAT v IPv6 je prasárna, není potřeba atd. atp..
Otázka nezní, zda to lze, ale kolik uživatelů to udělá.
Nikde jsem netvrdil že "všechno, co je za NATem je v bezpečí".
"Otázka nezní, zda to lze, ale kolik uživatelů to udělá."
Dnes se prakticky každý SOHO router prodává s přednastaveným NATem, DHCP klientem pro získání adresy DNS serverů IP na WAN port a DHCP serverem pro vnitřní síť (někdy je přednastavená i WiFi). Router stačí píchnout do elektriky, pozapojovat síťové kabely a máš přípojení do internetu.
Co brání výrobci routeru, aby už z výroby nastavil stavový firewall, aby blokoval příchozí spojení z internetu? Pro BFU to bude stačit, protože stejně leze jenom na web a kdo bude chtít provozovat domácí webserver, SIP, NAS... ten si FW nastaví dle libosti.
Verejna adresa prece neznamena, ze se na ni muze pripojit kdokoliv, od toho existuje firewall. Dokonce je doporuceni, ze vsechny ty domaci routriky by mely mit prichozi pripojeni defaultne blokly. Coz jiste vykouzli skodolibej usmev na tvari nejednoho odpurce IPv6 a naopak slzu v oku fanouska. Ale i tak je to pokrok, protoze kdo chce, muze si dovnitr jednoduse pustit co potrebuje, a to narozdil od IPv4 (kde typicky nema dostatek verejnych adres) bez dalsich zbytecnych opicaren.
NAT je pouze nastroj. Pro specificky pripady at je klidne i v IPv6, ale ne jako vychozi vec, ktera se bude cpat vsude, o to jde.
@Unknown
"To vytvori dostatecny casovy polstar pro vytvoreni IPv7 kdy se pouzije IPv4 s prodlouzenou adresou."
A co asi je IPv6??? To je IPv4 s prodlouženou adresou. Ale protože nebyli tvůrci svázaní zpětnou kompatibilitou, přidali nové věci a některé stávající, které na IPv4 nevyhovovaly, předělali.
V čem je IPv4 lepší než IPv6. Já mám spíš pocit, že rádobyodborníci mají spíš problém se zápisem IPv6 adresy.
Schválně mi řekni, kolik sítí s IPv6 máš na starosti.
"Však ano, IPv6 se nezavádí jen kvůli IPv6."
Vsichni krom ostatni pri nalehani na co nejrychlejsi nasazeni argumentuji prave nedostatkem adres.
"Proč by měl být spolu s IPv6 používán ARP, který má víc než dost problémů?"
Ja jsem na druhe vrstve zadne problemy, kvuli kterym by stalo zato to zcela redesignovat, nemel.
"Omezuje tě v něčem NDP?"
Nestojim o nej, a v IPv7 chci zpet puvodni ARP
Není. Nic vám nebrání IPv6 provozovat jenom jako IPv4 s delšími adresami. Na internetu s tím budete plně kompatibilní, ve vlastní síti si asi něco budete muset naimplementovat sám – protože jaksi výrobci zařízení a autoři software nesdílí vaše přesvědčení, že všechny protokoly používané spolu s IPv4 jsou perfektní a nové návrhy, které přišly spolu s IPv6, jsou k ničemu.