no tak pokud něco chceš mít jenom po lance tak to mu nebudeš dávat globální adresu ale necháš tomu pouze lokální.
Jde o transparentnost. Nat je špatný. Je dost služeb co s tim maji problem. Na druhou stranu se bez natu občas obejít nedá když se třeba roseká část sítě a bez natu se na zařízka bez brány těžko dostane atd..
Takový to oblíbený... skype posílá soubory rychlostí řádově v kB. To může člověka dost nasrat obzvlášť když odesílá někomu 100kB obrázek a ono to trvá minutu ?!! icq pro jistotu díky natu/natům soubor nedoručí vůbec atd..
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Došly IPv4 adresy...
Fakt máte všichni NATem porouchané názory. NAT není vůbec žádná ochrana. Sice je to jednoduše zneužitelné jen v rámci jedné podsítě (kde je WAN té natky), ale i tak. NAT bez firewallu je prostě jen díra. No a u IPv6 ti zůstane jen ten firewall. Nic nebudeš mít přímo vystavené do internetu, pokud nebudeš chtít. A pokud budeš chtít, je to o dost jednodušší.
Stejně má leckdo zapnuté UPnP - a pak si zevnitř sítě stejně otevře port co chce a kdy chce
Nad tím dohledáním se zamysli. Dnes máš sice celou síť schovanou za jednou IP a tedy se špatně dohledávají skutečné počítače. ALE: ta jedna jediná adresa je již dohledatelná a sledovatelná jednoduše. Prostě je veřejná a je jen jedna. Když budeš na IPv6, tak je to spíš horší - každý počítač má sice "veřejnou", ale ta se může co pár minut měnit! To jsou ty "privacy extensions" a byly zavedeny přesně z tohodle důvodu. Takže jsi opět tam, kde u IPv4 s NATem - jenom není sledovatelná jedna IP, ale pouze segment, tedy adresa sítě. Takže každý šmírák se dostane opět na tvoji WAN. A zbytek má sakra ztížený - co se objeví ve druhé půlce adresy - to už je vlastně jen tvoje věc. A např. proscanování 2^64 adres je docela šichta ... zkus si pustit nmap na celý internet - a to je jen ubohých 2^32. Ono takto to vypadá nic moc, ale napiš si to do kalkulačky. 2^64 = 18446744073709551616!
NAT pro IPv6 zjednoduší opravdu jen jednu jedinou věc - multihoming malých sítí.
Pro jistotu - co je privacy extensions? Každá síťová karta má několik adres. Jedna je např. jen site-local (tedy neroutovatelná), druhá už je globální a může být stále stejná. A těch globálních tam můžeš mít kolik chceš - takže ta privacy je zkonstruovaná úplně náhodným způsobem a používá se jen pro odchozí provoz (i když samozřejmě lze i pro příchozí). A není problém ji hodně často měnit ... žádný šmírák nemá šanci. A vzhledem k velikosti adresního prostoru se málokdy potkají na síti dvě stejné adresy a i to se vyřeší detekcí před prvním použitím, pokud by to fakt nastalo. A vzhledem k té velikosti je dost nepravděpodobné, že by počítač použil stejnou adresu dvakrát během několika tisíc let (počítat se mi to nechce:-).
Stejně má leckdo zapnuté UPnP - a pak si zevnitř sítě stejně otevře port co chce a kdy chce
Nad tím dohledáním se zamysli. Dnes máš sice celou síť schovanou za jednou IP a tedy se špatně dohledávají skutečné počítače. ALE: ta jedna jediná adresa je již dohledatelná a sledovatelná jednoduše. Prostě je veřejná a je jen jedna. Když budeš na IPv6, tak je to spíš horší - každý počítač má sice "veřejnou", ale ta se může co pár minut měnit! To jsou ty "privacy extensions" a byly zavedeny přesně z tohodle důvodu. Takže jsi opět tam, kde u IPv4 s NATem - jenom není sledovatelná jedna IP, ale pouze segment, tedy adresa sítě. Takže každý šmírák se dostane opět na tvoji WAN. A zbytek má sakra ztížený - co se objeví ve druhé půlce adresy - to už je vlastně jen tvoje věc. A např. proscanování 2^64 adres je docela šichta ... zkus si pustit nmap na celý internet - a to je jen ubohých 2^32. Ono takto to vypadá nic moc, ale napiš si to do kalkulačky. 2^64 = 18446744073709551616!
NAT pro IPv6 zjednoduší opravdu jen jednu jedinou věc - multihoming malých sítí.
rouchi píše:Já se tedy přikláním jednoznačně k názoru, že IPv6 není ideální cesta ! k čemu je mít všechen HW public, proč mít domácí síť public ? mě vyhovuje mít schovaný ty moje 4 počítače za jedním routerem. !
Je třeba si uvědomit jednu zásadní věc ! a to je ta že IPv6 v návrhu jaký známe ( aby každé zařízení mělo svojí public IP) je pouze cesta a myšlenka nad 100% dohledem nad tím co kdo na internetu dělá, je to o to snáze dohledatelné, zneužitelné a obecně já jsem proti takovému dohledu a kontrole provozu internetu. ! přeberte si to jak chcete, ale já se rozhodně budu IPv6 bránit tak dlouho jak to jen půjde (ideálně do té doby než někdo vymyslí a udělá NAT pro IPv6.
Pro jistotu - co je privacy extensions? Každá síťová karta má několik adres. Jedna je např. jen site-local (tedy neroutovatelná), druhá už je globální a může být stále stejná. A těch globálních tam můžeš mít kolik chceš - takže ta privacy je zkonstruovaná úplně náhodným způsobem a používá se jen pro odchozí provoz (i když samozřejmě lze i pro příchozí). A není problém ji hodně často měnit ... žádný šmírák nemá šanci. A vzhledem k velikosti adresního prostoru se málokdy potkají na síti dvě stejné adresy
a i to se vyřeší detekcí před prvním použitím, pokud by to fakt nastalo. A vzhledem k té velikosti je dost nepravděpodobné, že by počítač použil stejnou adresu dvakrát během několika tisíc let (počítat se mi to nechce:-).
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
midnight_man
- Příspěvky: 3680
- Registrován: 14 years ago
IPV6 a indície ktoré idú z Bruselu ukazujú na fakt, že cielom niektorých nariadení bude, aby každý koncový zákazník mal svoju verejnú IP (a možno aj každý PC v domácnosti). Tak bude jednoduchšie dohľadávať klientov.... Mám z toho zmiešané pocity.
0 x
NAT toho moc neřeší, jen přidává problémy.
Pokud někdo touží po schování struktury své sítě, zakáže navazovat spojení z internetu (WAN) do LAN, zakáže žádosti o ICMP echo z internetu (WAN) do LAN a strukturu sítě tím odstíní. Firewallem, ne NATem.
Sledování uživatelů dnes probíhá pomocí IPv4 adres, u IPv6 adres pak může být uživatel sledován na úrovni /64 prefixu (nebo většího). Tzn. do sledování pak spadne celá LANka, stejně jako v IPv4.
IPv6 naopak nabízí nástroje, které v IPv4 nebyly - např. Prefix Delegation, pomocí čehož si dokáže domácí LANka požádat o tolik adres (sítí), které potřebuje. Kdyby tohle existovalo u IPv4, možná by se NATy nerozšířily tak rychle a IPv4 adresy by došly mnohem dřív (protože by se jich využívalo mnohem víc, každá domácnost by měla svůj prefix, a pod.).
IPv6 multihoming je dnes jediná oblast, kde ten NAT alespoň trošku dává smysl, byť nesmí být v IPv4 podobě (NAT celé sítě za jednou IPv6 adresou), ale v podobě mapování prefixů - tím se pořád zachová původní princip internetu (vzájemná konektivita mezi uzly) beze ztráty schopnosti mít záložní datovou linku.
Pokud někdo touží po schování struktury své sítě, zakáže navazovat spojení z internetu (WAN) do LAN, zakáže žádosti o ICMP echo z internetu (WAN) do LAN a strukturu sítě tím odstíní. Firewallem, ne NATem.
Sledování uživatelů dnes probíhá pomocí IPv4 adres, u IPv6 adres pak může být uživatel sledován na úrovni /64 prefixu (nebo většího). Tzn. do sledování pak spadne celá LANka, stejně jako v IPv4.
IPv6 naopak nabízí nástroje, které v IPv4 nebyly - např. Prefix Delegation, pomocí čehož si dokáže domácí LANka požádat o tolik adres (sítí), které potřebuje. Kdyby tohle existovalo u IPv4, možná by se NATy nerozšířily tak rychle a IPv4 adresy by došly mnohem dřív (protože by se jich využívalo mnohem víc, každá domácnost by měla svůj prefix, a pod.).
IPv6 multihoming je dnes jediná oblast, kde ten NAT alespoň trošku dává smysl, byť nesmí být v IPv4 podobě (NAT celé sítě za jednou IPv6 adresou), ale v podobě mapování prefixů - tím se pořád zachová původní princip internetu (vzájemná konektivita mezi uzly) beze ztráty schopnosti mít záložní datovou linku.
0 x
Myslíš, že jde použít jen ICMP?
zajdee píše:Pokud někdo touží po schování struktury své sítě, zakáže navazovat spojení z internetu (WAN) do LAN, zakáže žádosti o ICMP echo z internetu (WAN) do LAN a strukturu sítě tím odstíní. Firewallem, ne NATem.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
To ne, však jsem psal o zákazu iniciování provozu z internetu (WAN) do LANu (dá se aplikovat např. na TCP SYN pakety, který zvenku dovnitř nepustíš, když se budeš tak moc bát; u UDPka může být problém s Ciscem, který - na rozdíl od linuxu - nezná u UDP vztah 'established/related' a zakázat veškerý UDP do vnitřní sítě neni úplně ideální; nicméně na linuxu to nastavit jde, což pokrývá dost domácích krabiček)
0 x