Vlákno názorů k článku
Deset důvodů pro NAT na IPv6
od Jiří J. - Aby bylo jasno - nesnáším extrémisty, kteří tvrdí,...
-
Jiří J. (neregistrovaný)
Aby bylo jasno - nesnáším extrémisty, kteří tvrdí, že "NAT není firewall" / "NAT nechrání nic", protože ... mají i nemají pravdu. Samotný NAT pochopitelně nic nechrání, ale pokud se vypne source routing, omezí se zdroje útoků jen na síťový segment, do kterého je zapojen vnější interface. A ukažte mi (dnes, 2010) stroj, který by měl source routing defaultně povolen. Takže NAT chrání, nepřímo.
.
Svůj postoj jsem už vysvětloval Janu Engelhardtovi, diskutoval jsem s ním na téma NATu v IPv6 netfilteru, ten tuto myšlenku až (alespoň na první pohled) slepě odmítá. Hádám, že se bojí, aby se NAT v IPv6 nerozmohl.
.
Podle mě NAT v IPv6 pořád své místo má. Asi ne v tak ... zarostlé podobě, jako v IPv4 (v Netfilteru je speciální "nat" tabulka), ale pořád je jednodušší napsat jedno iptables pravidlo, než pouštět nějak složitě userspace proxy s kernel conntrack hooky.
.
Můj příklad použití? Stavím se u kamaráda, jehož ISP mu přidělil jednu IPv6 adresu a potřebuji se nutně připojit na net. Janovo řešení je kontaktovat ISP a požádat o přidělení další adresy, nebo ideálně od takového ISP odejít. To ale neřeší moji situaci v sobotu ve 2 ráno. Nouzové řešení by bylo nastavit si MAC adresu počítače známého a připojit se místo něj. Jenomže to je zase nevýhodné v situaci, kdy budu u toho známého zůstávat přes víkend. DALEKO jednodušší by bylo použít NAT, ale ... IPv6 přece nemá NAT!
.
Jistý nezaujatý a asi ne moc situace znalý člověk se tehdy zapojil do diskuze a prakticky ji ukončil tím, že (přeložím) "bez ohledu na politiku, pokud nový nástroj nezvládne situaci, ve které starý obstojí, pak to není krok vpřed".
.
Tím vším neříkám, že chci zaNATovaný IPv6 Internet, pochopitelně použití IPv6 NATu ze strany ISP by byla "ultra-mega-prasárna", to nechci ani já, spíše mě zaráží, proč chce tolik lidí pohřbít nějakou technologii nadobro jen proto, že se změnil její význam. Neříkám, že se NAT musí použít, jen říkám, že bychom neměli pohřbívat francouzák jen proto, že nás propustili z autoservisu. NAT v IPv6 se pořád hodí, sice pro daleko menší množství případů, ale i ty se počítají. Vsadil bych se, že těchto případů bude víc, než uživatelů arch/xtensa/ ;) -
KapitánRUM (neregistrovaný)
Chci pro jistotu 1 miliardu veřejných adres, když jich je tolik tak proč bych nemohl mít pro každou jedinečnou session prohlížeče vlastní IP?
--- konečně budu moct hlasovat dosytosti
--- nebude možné mě zabanovat
--- logy na serverech budou konečně PĚKNĚ VELKÉ, jak jinak využít terové disky
--- rapidshare a podobný budu moct konečně využívat zcela neomezeně
--- downloadaccelerator bude moct stahovat pomocí cca 65535 různých IP
--- konkurenčním punťům co si platí AdWords budu moct konečně pořádně zatopit
--- myslím, že k vůli identifikaci bude vhodné použít pro každou session jedinečnou IPNa další úžasné a báječné nápady přijdete sami.
-
dracul (neregistrovaný)
nechapu, ale ok, de se flamovat:)
-ooo to bozske plytvani, dyt preci staci jedna adresa na zakaznika, prece to vsem vyhovuje, vlastne ne, predchozi post to resil:)
-zabanovat se da podsit
-logy, tohle jsem jeste neslysel, myslim si ze tech par bajtu se pohodove ztrati
-jasne,rapidshare si vasi site nevsimne:)
-i jine filesharovaci servry si niceho nevsimnou
-i google si niceho nevsimne
-a to je nahodou vybornej napad, pro kazdej web pouzit jinou ip bez otevrenych jinych portu, to se clovek nebude muset bat chodit ani na xxx pochybneho puvodu;) -
Jiří J. (neregistrovaný)
Ale kdepak, to jen vy tomu prd rozumíte nebo se snažíte lít benzín do ohně :)
Pokud zákazník dostane blok /48 IPv6 adres, pak dává smysl zabanovat celý blok ze strany třeba rapidshare, namísto jedné adresy v něm. Jak už ale někdo poznamenal jinde - bude těžší odlišit, kdo má blok /48, kdo /64 a kdo zakysl na jedné adrese od svého skvělého mobilního operátora.
