classic.ISPforum.cz

okoun píše:Jak tu adresu útočník zjistí?

Best practice je ale samozrejme delat firewall pro 4 i 6..

jako fakt vážně máte takto nezabezpečenou síť? tohle je ta chyba a ne IPV6

Jak to proboha chceš udělat jinak? link-local je integrální důležitá součást IPv6 protokolu. Takže tam prostě JE a BUDE. Je tam právě kvůli vzájemné komunikaci jednotlivých zařízení bez potřeby jakékoliv (vnější) konfigurace.
Oddělit naprosto všechno po L2 je pro menší sítě prostě nereálné.

Jak to máš zabezpečené ty, když tohle neznáš?

prvně oddělit komunikaci na L2 mezi CPE to je základ, jinak tam může útočník zkoušet různé věci, tohle můžeš udělat i jako malinká podniková síť....
potom můžeš filtrovat na L2 věci které nepotřebuje, to má ale každej už jinak, my třeba dáme drop všeho až na pppoe a je pokoj.... případně kdo má vlanu dá drop všeho kromě vlany a podobně

Já třeba bych mohl využívat delegovaný prostor IPv6 a mít třeba server přístupný přímo z internetu, ale právě proto, že té 6ce moc nerozumím, raději to mám všude vypnuté včetně routeru a jedu jenom po IPv4 přes NAT. Mám zkrátka strach z toho, zda bych to zvládl zabezpečit a navíc udržovat všechny pravidla dvojmo, tedy na 4ce a na 6ce, to je taky blbý.

mam pouze ipv4, pokud zapnu pc (win 10) cca pul minuty neco resi nez se dostanu na net, pokud vypnu ipv6 jsem na netu okamzite.... jen tolik k uzasnemu dualstacku. A k ipv6 je mi líto že ho nevyvynuly praktici ale akademici...

jirson píše:mam pouze ipv4, pokud zapnu pc (win 10) cca pul minuty neco resi nez se dostanu na net, pokud vypnu ipv6 jsem na netu okamzite.... jen tolik k uzasnemu dualstacku. A k ipv6 je mi líto že ho nevyvynuly praktici ale akademici...

Záleží na implementaci, asi bude někde chyba. Já mám doma IPv6 na MK routeru a internet nabíhá okamžitě. Ani na pár jiných místech s IPv6 jsem neměl problém.

jirson píše:mam pouze ipv4, pokud zapnu pc (win 10) cca pul minuty neco resi nez se dostanu na net, pokud vypnu ipv6 jsem na netu okamzite.... jen tolik k uzasnemu dualstacku. A k ipv6 je mi líto že ho nevyvynuly praktici ale akademici...

Tohle se obvykle děje v případě, že tobě doma sice 6ka funguje, ale při cestě do Internetu to něco někde zabije. Pak ce prostě čeká až spojení vyhnije na timeoutech a klientská aplikace to pak prostě zkusí po 4ce. Jako rychlý test se dá vcelku jednoduše použít adresa www.nebezi.cz kterou provozuje Ondřej Caletka, mimochodem jeden z největších propagátorů IPv6 u nás. Schválně si zkus na TyTrubko najít jeho přednášky, je to fakt zajímavé.
Stejně tak se dá vřele doporučit už dostatečně veřejně profláklá kniha IPv6 od Pavla Satrapy, aktuálně ve 4. vydání, která je dostupná i zdarma na https://knihy.nic.cz/

Koho IPv6 zajímá, tak si informace najde, něco si o tom pŕečte, zajde na nějaký seminář atd... Ti ostatní prostě zůstanou v době páry.

Jen technický dotaz: Ty stránky www.nebezi.cz jsou dostupné pouze přes IPv6 nebo co? Protože v mém případě opravdu neběží.
Knížku o IPv6 už jsem četl (je to pár let zpět) a právě z ní jsem pochopil, že je těch změn oproti 4ce na obyčejného uživatele nějak moc a proto jsem to zatím dal k ledu.

přímo z jejich webu: "Neběží.cz Server, který na protokolu IPv4 neběží…"

Jop, http://www.nebezi.cz na IPv4 fakt neběží.

Stejně tak http://www.kame.net pokud je želva statická, tak IPv4, pokud se želva pohybuje, tak IPv6.

Jinak, pro běžného uživatele se vcelku zas tak moc nemění, počítač má adresu, zná bránu a DNS a Internet funguje. Zvídavější uživatel zjistí, že IP adresa se poněkud odlišuje od IPv4 a co se týká konfigurace domácího routeru je to trochu jiné, a když to zjednoduším, možná i jednodušší, protože se nutně nemusí nastavovat DHCP server. Router prostě má zapnutý RA čímž do sítě vyhlašuje, že je router a má ten a ten prefix (polovina adresy 8 bajtů). Stanice si ten prefix vezme a na základě MAC adresy si vygeneryje druhou část adresy a tu dá na interface. A jelikož router o sobě vyhlašuje, že je router, použije se jako výchozí brána.
Když se s tím uživatel smíří, může pokračovat dál...

Už to jde nainstalovat na APU?
Jsem to zkusil přes mSATA a redukci na CF kartu a nějak to nejede, ale nevylučuji moje levé ruce...

PC Engines APU.4C2 jede, mam to na sata disku, ale instaloval jsem na jinem zarizeni.

tak uz by mali v novej beta5 dostupne vsetky funkcie, ma to niekto nasadene aj na vyznamnejsom bode? co pozeram tak hlavne bude poriesena podpora noveho hardwaru, UEFI...

edit: Nahodil som to. Bolo potrebne stiahnut npk pre x86 a nahrat do files. Restart a upgradlo sa, konfiguracia vymazana.