Vlákno názorů k článku
Deset důvodů pro NAT na IPv6
od MarSarK - Člověka, který může NAT považovat za přínos a...
-
KapitánRUM (neregistrovaný)
Spíš mám pocit že admin nejsi ty :-D
Mě osobně se zdá, že současný návrh IPv6 je výplod několika ,,podivných" vývojářů vytvořený bez předchozí porady se skutečnými adminy. Napadá mě analogie, kdy v půlce hotového projektu přijde marketingový manager za týmem programátorů a oznámí jim, že se z marketingových důvodů rozhodli změnit MySQL za MSSQL. Možná jsou programátoři z pohledu pracovníka marketingu jen líná a divná asociální verbež, ale tohle debilní prosazování nějaké myšlenky ,,za každou cenu" mi přijde prostě debilní.Pokud chceme rušit všechno na první pohled neužitečné, je čas zcela zrušit vývoj Linuxové stanice. LINUX PATŘÍ NA SERVER A NA STANICI NEMÁ CO DĚLAT!
-
Kaacz (neregistrovaný)
Nevim jakou oblast Admina znate vy.
Ja znam 2 oblasti. Firewally velke firmy a domaci sit pro par kompu s routermodemem.
V 1. pripade je to fuk. I kdyz by se mavnutim proutku hned zitra internet zmenil na IPv6, udela se zmena jen na vnejsim interface firewallu, za ktery se maskaraduje veskery odchozi provoz vnitrku a vnitrek pojede na IPv4 jeste HOOODNE dlouho. Jedine co se zmeni jsou verejne servery firmy. Ale jen verejne.
V 2. pripade bych nechtel byt na miste toho rodinneho guru co oprasuje ty domaci kompy s widlows, ktere se najednou octnou zcela vystrcene na internetu a nejpozdeji do mesice bude po nich. Dnesni IPv4 N:1 NAT domacich pripojek je vlastne pozehnani pro ty statisice deravych WinXP, kterych je vetsina.
IPv4 NAT N:1 je defakto uzasny "firewall" z vnejsi strany. Na tom stavi soucasne routermodemy, poradny firewall prakticky zadny z nich v sobe nema. S IPv6 bude tedy treba tam dat krabku s opravdovym firewallem. A to bude drahe. Vlastne nejlepsi pro domacnosti by byl soucasny routermodem s IPv6 jen venku. :-D -
Hobit (neregistrovaný)
Nevim, ale prijde mi, ze vubec nevite jaky je rozdil mezi NATem a firewallem. Kolikrat jsem musel uzivatelum vysvetlovat, ze NAT nerovna se firewall a kolikrat uz na to ti uzivatele doplatili, snad nebudu ani pocitat.
NAT rozhodne zadne PC at uz s jakymkoli systemem, nezachrani pred napadenim.
Ano NAT urcitym zpusobem zvysuje bezpecnost stanic uvnitr, ale jen do te miry nez ho nekdo "otevre".Podle me je nejlepsi prirovnani NAT ke vchodovym dverim. Kdyz je mate otevrene jste bez NATu, kdyz je zavrete jste za NATem. Cili jen urcity milny pocit bezpeci, ktery ale zadneho zlodeje ani neodradi, natoz zastavi.
Jedina ochrana je firewall. A to jestli jsou za firewallem verejne nebo neverejne adresy je uz jedno.
Naopak tolik problemu co NAT zpusobuje je tak nechutny, ze kdyz zmizi ze sveta tak jen a jen dobre.
-
Jiří J. (neregistrovaný)
Na to s tím "pseudo firewallem" pozor, to stejné lze implementovat na IPv6 pomocí tzv. "stateful firewallu", tedy něčeho jako "iptables -A FORWARD -i eth0 -m conntrack --ctstate NEW -j DROP", kde eth0 je vnější interface. Tím dovolíte navazování spojení jen zevnitř. V podstatě to tak má i spousta IPv4 firewallů.
-
KapitánRUM (neregistrovaný)
No, jedno z pravidel zní ,,Co o Vaší síti nevykecáte, to se jen obtížně zjišťuje." takže NAT opravdu nepřímo chrání. Čím lépe znáte vnitřní strukturu sítě, tím snáze překonáte Firewall. Hromada lidí tu používá FIREWALL jako nějaké magické zaklínadlo, ale to jsou prostě úplný JELITA!!!
- jak moc často provádíte upgrade firmware vašeho domácího Firewallu????
- jak moc často takový upgrade provádí BFU????
- pokud budete znát defaultní nastavení nějakého síťového prvku, bude pro Vás daleko jednodušší překonat FW pokud víte jaké adresy jsou na druhé straně....Čím méně o nějaké síti víte, tím hůř se na ní útočí.
-
Jenda (neregistrovaný)
,,Co o Vaší síti nevykecáte, to se jen obtížně zjišťuje."
To by mě zajímalo, jak útočníkovi pomůže seznam stovek až milionů (při zapnutí privacy extension) IP adres.
„- jak moc často provádíte upgrade firmware vašeho domácího Firewallu????“
- jak moc často provádíte upgrade firmware vašeho domácího NATu????
„- pokud budete znát defaultní nastavení nějakého síťového prvku, bude pro Vás daleko jednodušší překonat FW pokud víte jaké adresy jsou na druhé straně....“
Dneska v 95 % případů jsou na druhé straně adresy z rozsahu 192.168.0.0/23.
-
Jimmy (neregistrovaný)
2. V propojených sítích Czfree je momentálně řádově 100 000 PC domácích uživatelů (uživatelů je cca 40 000), tedy většinou BFU. NAT je v těchto sítí až na drobné výjimky zakázán, takže drtivá většina PC na sebe přímo "vidí". Minimálně sítě připojené v NFX mají mezi sebou spojení o rychlostech v desítkách Mbps až po jednotky Gbps, takže žádné úzké hrdlo, které by limitovalo šíření virů tam není. Přesto ani v takto velké skupině domácích PC není žádné rapidní umírání windows, ani žádné epidemie virů. Czfree sice jede na neveřejných adresách, ale PC s veřejnou IP je z těch 100 000 zhruba 10-15 000, takže místo pro průnik virů do sítě je rozhodně dostatek.
Závěr. Mýtus, že Windows, nebo přímo Windows XP musí umřít po pár dnech přímého připojení do internetu je jen mýtus. Děravost po SP3 už není tak vysoká.
-
praporčíkBecherovka (neregistrovaný)
1) Ono to bude i tak, že kdo si řekne o veřejnou IP, už není takový BFU.
2) Co myslíte tím zákazem NATu v CZFree? Jsem právě teď připojen přes jednu z CZFree sítí a jsem nejméně za třemi.
Mimochodem, proč právě CZFree dávno plně neimplementovalo IPv6 a dál si "trapně" kouskuje prostor 10/8? Místo veřejných adres má většina účastníků jen privátní a pro většinu svého provozu je právě za nějakým tím NATem.
Jediný pokus něco změnit zdá se odumřel:
http://czfree.net/forum/showthread.php?s=&threadid=19910&highlight=ipv6Přitom na rozdíl od obyčejných ISP, bych v takovém typu sítě čekal horečnou aktivitu při implementaci ->všichni uživatelé okamžitě plnohodnotný internet.
-
Jimmy (neregistrovaný)
Ano, toto se změnilo. Sítě kde každé třetí AP mělo svoji konektivitu, kterou přeprodávalo dál a nikdo tak neměl na investice do pořádné sítě prakticky skončili, jsou na umření, nebo některé z AP vyrostlo v menší či větší firmu a pohltilo své okolí. Klasické zcela free až anarchistické (ve smyslu naprosté volnosti budování a používání sítě) czfree už prakticky neexistuje.
CZfree sítě, které od počátku byly postavené na právním základě občanského sdružení, které mohli dávat peníze na jednu hromadu, postupně ušetřili na upgrady sítě a dnes prosperují a některých lokalitách nabízejí konkurence schopné připojení a v některých lokalitách zcela bezkonkurenční připojení. 100 Mbps v takových sítích není žádný výjimka a občas lze na speedmetrech v internetu nalézt i záznamy o rychlostech stovek Mbps. Grafy na nfx.cz ukazují, že se nejedená o žádné malé síťky.
-
Jimmy (neregistrovaný)
1. Ano. Ale lidí i ne BFU je czfree síti tolik aby se nějaké děravé nezáplatované PC s veřejnou IP, které bude šířit viry do vnitřní sítě, našlo každou chvíli a přesto se žádné mohutné virové nákazy nekonají.
2. Každá síť má svá pravidla, takže lokálně to může být jinak, ale velké sítí spojené v NFX NAT primárně zakazují. IP z koordinovaného rozsahu 10.0.0.0/8 mají dostatek, tak proč zavádět NAT. Veřejných IP ale tyto sítě pro všechny členy nemají, takže hlavní NATy tak odstranit nelze.
Zavádění IPv6 brzdí stejné důvody jako u komerčních ISP, doplněné navíc tím, že typicky u uživatele v bytě končí síť nikoliv routerem, ale prostě UTP kabelem ve switchi či AP a na druhé straně je opět jen switch. Navíc pokud nabízíte rychlost do vnitřní sítě 1 Gbps, tak mě ukažte domácí router, který takovou rychlost uroutuje, zatímco 1 Gb switch stojí pár stovek.
