Názory k článku
Kdy dojdou IPv4 adresy?

Já se také přikláním k tomu, že IP adresy nedojdou nikdy, stejně jako nedojde nikdy ropa, uhlí, měd a voda...

Jen budou tak drahé, že si je nikdo nepořídí.

A to bude presne ten duvod, proc ISP zacnou nabizet IPv6. Protoze teprve tehdy se jim vyplati zacit podporovat i IPv6.

Jen si sakra říkám, co budu muset začít podporovat, až takhle dojde/nedojde ta voda.

technicka:

uz dnes se o vodu valci.. napr. okupace golandskych vysin sionisty - pravym duvod je zadrzeni vody a jejich zcela nerovnomerne rozdelovani pak kdy jedna strana ilegalniho plotu ji mrha a druha ji nema

malokdo take vi, ze sionisti bagrovaly libanonu urodnou pudu - jednak ji sami potrebuji pro rozsirovani sionismu a jednak to podporuje genocidni programy

TO: Fashi
Najdi si ve slovniku vyznam slova sionismus a zopakni si taky ucivo 5. tridy: "sionisti bagrovaly".

dekuji, ze se nesnazim zpochybnit nezpochybnitelne :-)

nicmene tebou uvedena chyba neni chybou - sklonovano podle hebrejskeho vzoru kurva

tedy kurvy bagrovaly

a pak videl jsi nekdy fashiho vericiho v moralni obrodu realne aplikavotelnou na bazi cileneho anarchismu ve vztahu k strukturam falesne se tvaricim jako "dobro"?

tedy pro tvoji IQ skupinu - jihad?

Díky za připomenutí, jak kdykoliv odlišit své příspěvky od vašich :-)))))

všem slušným lidem se omlouvám, nevzal jsem si léky

Souhlas, přesně tak. Nemůže dojít ropa nebo IPv4 adresy: prostě bude dražší a dražší je získávat, takže se to bude řešit jinak. Místo ropy se začne víc využívat něco jiného, protože to začne konečně být levnější, a místo IPv4 se dostane do popředí IPv6 a nebo taky něco úplně jiného... Vždyť NAT z počátku byl obrovský problém a dnes je to všechno jinak, spoustě programů to prostě nevadí. Skype, nyní už i Live Messenger... je to jen o šikovnosti programátorů, jak pakety dostat na správné místo.

Chytani za slovo vam tedy jde, panove.. Samozrejme, ze nedojde IPv4 do posledni adresy, stejne tak jako ropa nedojde do posledni molekuly, vazne nechapete, co tim bylo mysleno?

NAT neni reseni. Skype dokaze prorazet NAT casto jen diky zneuzivani pocitacu, ktere za NATem nejsou.

"Často"? Spíš "pouze"!

Osobně doufám v brzké masové zavedení IPv6. Už se nemůžu dočkat až bude mít moje mikrovlnka adresovatelná z internetu. :-D

IMHO skype umi UDP hole punching, ktere sice take vyzaduje treti pocitac, ale nezatezuje ho ani zdaleka tolik aby to nemohli delat primo registracni servery.

To se da snadno zaridit. Rezervuje se jedna adresa, ktera se da za kristalove sklo na mahagonovou policku se slonovinovou intarzii a zlatym ramovanim. Ta se nikdy neprideli. Smysl te adresy bude jenom aby IPv4 adresy nikdy formalne nedosly.

Takova adresa ale uz stejne existuje, napr. 127.0.0.1 nebo 192.168. nebo 10. nebo 255.255.255.255 nebo 0.0.0.0 :)

Spis nes kdy dojdou IPv4 adresy by se mely merit smysluplnejsi metriky, jako napr. jak hodne sajou NATy :)

A co na to BLEK.? A kdy dojdou baby?

No to je mi kravina, 127.0.0.1 nebo 192.168. nebo 10 nebo 255.255.255.255 nebo 0.0.0.0 se neřadí do veřejného rozsahu ip adres. Btw 0.0.0.0 není žádná ip, už jste vyděli někdy telefonní číslo 000000... a 255.255.. už je mimo rozsah ipv4, ta má jen do 254. Já osobně se domnívám proč by nemohly být bitově větší ip adresy? Např 320.... atd

Bitově delší IP adresy, to jako třeba přidat další bajt? V tom případě by se muselo všechno přepsat, to už je přece jednodušší rovnou přejít na IPv6, ne?

Nebýt zprznění Internetu do podoby soustavy sítí schovaných za maškarádami (se všemi negativními důsledky), IPv4 adresy už dávno došly.

Internet nikdy nebyl nic jiného než soustava sítí, oddělených firewally, a propojených aplikačními bránami. Tak to bylo dávno před tím než se začal masivně používat NAT, takže plačete na špatném hrobečku..

Jakozto vetchy starik nad hrobem si dovolim podotknout, ze v davnych dobach se firewally na Internetu nepouzivaly. Pokud pomineme US army, tak Internet byl ciste akademickou zalezitosti a duvody ke skryvani se za firewallem nebyly.

Máte pravdu, na AŽ TAK dávné doby jsem skutečně nepomyslel. Jenže tehdy taky stačil jeden průměrný hacker a jeden blbě napsaný Sendmail a celý internet (pár desítek tisíc uzlů) byl během hodiny dole. Proto přišly firewally a aplikační brány. Pak byl docela dlouho klid, a teprve potom přišel díky menší dostupnosti veřejných adres NAT.

A i kdyby byly (hypoteticky) všechny OS a daemoni psaní pořádně a absolutně bez bezpečnostních chyb, měli bychom v každé větší firmě firewally a aplikační brány taky- zejména proto že se tak mnohem efektivněji šmírujou a kontrolujou zaměstnanci.

Zase tak starý nejsem a doby, kdy v rámci Internetu fungovala end-to-end konektivita, pamatuji velmi dobře.

ja jsem nikdy nepochopil co je tak strasneho na NATu? Myslite ze firmy s nadsenim prijmnou fakt ze muzou mit verejnou adresu na kazdem PC ve firme? Je to pro ne nejaka vyhoda? IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi, a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru. Vyhoda teda vlastne zadna. A polovinu soucasnejch verejnejch IP stejne blokujou domaci uzivatele kteri si ji poridili akorat kvuli torrentum, a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou.

Přesně tak. Já jich vyměním 16 :):):)

Plkate pekne nesmysly panove, viz napr VoIP. Kdyz se bude chti nekdo zvenku dovolant do firmy, musite mit nejaky bazmek na tom NATu, ktery to zaridi. Kdyz ta firma ma 10 pocitacu, je to jen dalsi misto pripadnych zavad navic, ale kdyz ta firma ma 10 000 pocitacu je to vpodstate neresitelny. Kdyby vsechny stroje meli verejne IP, je to ciste o nastaveni pravidla pro jeden port. Podobnych aplikaci je samozrejme vicero.

Zjevně nemáte nic moc co do činění s korporátním síťovým prostředím, jinak by z vás věta "Kdyby všechny stroje měly veřejné IP..." nemohla vypadnout.

Zjevne netusite, kolik korporaci ve skutecnosti ve svych siti verejne rozsahy pouziva. Jestli vam trebas takovy Peugeot prijde jako mala firma ...

No nevím, to jako myslíte, že přes VoIP se volá přímo na veřejnou adresu? Co takhle VoIP brány, které jsou nutností už u pár desítek přístrojů (u 10 000 to bez nich opravdu nepůjde).

Jsou nutnosti jen proto, ze neexistuje e2e konetivita. Vazne nevidime zadny duvod k tomu, pouzivat nejaky srv, kdyz chci mluvit s nekym, jehoz IP adresu vidim. Samozrejme, muzu vyuzivat nejake sluzby typu hlasova schranka ... ale kdyz nic takoveho nechci, tak nepotrebuju ani nikomu platit za nejakou virtualni ustrednu, kterou virtualne potrebuju k tomu, abych mohl s nekym mluvit.

Kdyz chcete mluvit s lupou, tak taky nepotrebujete zadne rozhrani a servery, staci, kdyz ma vas stroj pristup do site a da se s nim komunikovat. Vzhledem k tomu ze jde o komunikaci jednostranou, staci, kdyz je dostupna prave ta jedna strana, ale pokud chcete komunikovat obema smery ....

"ja jsem nikdy nepochopil co je tak strasneho na NATu?"

Tak treba to je hnusna berlicka, ktera obecne nefunguje dobre a kvuli ktere je zpravidla dost omezene pouziti nekterych sluzeb.

"IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi"

Uff. Pokud je tohle vazne pravda, tak si to ti admini myslim zaslouzi.

"a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru."

To zni, jako byste nechapal rozdil mezi slovy NAT a firewall. Nejde o synonymum, nevidim duvod, proc by vas mel nekdo s prichodem IPv6 nutit firewall prestat pouzivat.

"a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou."

Zatim co vy mate zrejme jasno. A co to takhle nechat na zakaznicich, resp. lidech, kterych se to tyka? ;)

"ja jsem nikdy nepochopil co je tak strasneho na NATu?"

Tak treba to je hnusna berlicka, ktera obecne nefunguje dobre a kvuli ktere je zpravidla dost omezene pouziti nekterych sluzeb.

-- berlicek je spousta. Obecne nefunguje dobre? Tak jak se ma chovat se chova, nic vic od NATu cekat nelze.

"IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi"

Uff. Pokud je tohle vazne pravda, tak si to ti admini myslim zaslouzi.

--ano, tezko asi neni silny argument proti, ale co na to rict? Je to tak. Lepe si zapamatuju 50 adres od tiskaren, switchu, atd v IPv4 nez IPv6, coz samozrejme ale neni argument proti IPv6, je to jen konstatovani.

"a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru."

To zni, jako byste nechapal rozdil mezi slovy NAT a firewall. Nejde o synonymum, nevidim duvod, proc by vas mel nekdo s prichodem IPv6 nutit firewall prestat pouzivat.

-- ale chapal, ale nevidel duvod proc by uzivatele firemniho prostredi meli mit verejnou adresu.

"a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou."

Zatim co vy mate zrejme jasno. A co to takhle nechat na zakaznicich, resp. lidech, kterych se to tyka? ;)

--at si kdo chce pouziva co chce, mluvim od stavu verejnych adres ktery znam z okoli. A ten stav bude spis nez k IPv6 smerovat k setreni se stavajicima adresama, a treba i jejich odebiranim.

svati = autokonfigurace adresy, zakladni kamen ipv6 ;]

on ten NAT umožňuje například připojení ke dvěma nezávislým providerům bez nutnosti mít provider independent adresy a svůj vlastní AS. To je fakt.

Natovat jde i ipv6. Jenom se o tom ve slusnych rodinach nemluvi.
BSD to umi snad odjakziva, linux od letosniho ledna. Kdo si chce mrzacit sit natem, muze i nadale.

to sice jo, ale o tom přece řeč nebyla. Navíc povinnou součástí IPv6 je i IPSec a tam by mohl být s NATem poněkud problém.

DHCP znám. Ale

1) jsem docela rád, když si adresy pamatuju a mám v nich v hlavě přehled

2) serverům, routerům, switchům dávám adresy statické. Tato zařízení jsou jakési pevné body, které nechci konfigurovat z DHCP, protože DHCP se mi taky může přestat fungovat a navíc je z pricipu věci insecure.

Administrace lokální sítě postavené na privátních adresách je podle mě jednodušší a bezpečnější než pokud bych všem zařízením dal veřejné adresy.

Co Vam brani dat staticke adresy i tem IPv6 zarizenim? Hlavne mi prosim nerikejte, ze mate problem zapamatovat si adresu typu 2001:abcd:1::1 ... Pricemz 2001:abcd::/32 je prefix, ktery jste vyfasoval od RIR. Nebo mate za to, ze musite pouzivat vsude eui-64 adresy?

Bezpecnost je v tomto pripade zcela irelevantni pojem. Nema cenu ji diskutovat, protoze sam preklad adres NENI bezpecnostni mechanismus.

Ale tohle vsechno uz diskusemi na LUPE probehlo a nema cenu ho znovu omilat. Zajemce o tento typ diskuse odkazuji do archivu LUPY.

Souhlasím, možná jsem se nepřesně vyjádřil. Chtěl jsem říct, že v IPv4 světě je výhodné použít uvnitř lokální sítě privátní adresy, protože např. v případě změny v připojení do internetu není nutno cokoli měnit (DNS, DHCP, ...).

Čtěte prosím pozorněji. Já jsem řekl, že DHCP není bezpečné, a na tom taky trvám. O NATu nepadlo ani slovo, NAT samozřejmě nemá žádný bezpečnostní význam.

Naopak použití privátních adres bezpečnost zvýší. Pokud nebudu mít žádný firewall a přitom budu mít privátní adresu za routerem, radikálně omezím množinu možných útočníků zvenčí. Zkuste se ke mně připojit, když mám 10.0.0.5 a vy ke mně máte 15 hopů :-).

Co se zmen tyce, pokud jste vetsi spolecnost, predpokladam, ze mate PI adresy. Pokud nikolivek, uz jsem par organizacim s prechodem mezi ISP pomahal a verte, ze to prilis bolave nebylo. Zmenu DHCP je mozne udelat jednim zapisem, pripadne jednou davkou. u DNS, vcetne reverzniho je to podobne (pokud nepouzivate treba pro stanice dynamicke DNS).

DHCP neni bezpecne? V jakem smyslu?

Co se tyce pripadu s 10.0.0.5, pokud na pristupovem smerovaci nebudete mit firewall, neni preklad adres neprekonatelnou prekazkou. Ja davam prednost zabezpeceni nikoliv chimerickemu, takze kdyz zakaznik chce zabezpeceni jednoduche, dostane firewall - kdyz slozite, tak holt firewall na stanicich.

DHCP zranitelnost - např. podvržený DHCP server. Robustní DHCP vyžaduje nasadit všude spravované switche a zakázat DHCP odpovědi z neautorizovaných portů.

10.0.0.5 - kdo Vám to bude 15 hopů kolem půl zeměkoule směrovat, to jsem teda žádostiv. Samozřejmě, firewall je úplnej základ. Privátní IP adresy jsou pouze dodatečná výhoda - pro mě. Pokud si chce kdokoli komplikovat život vlastním AS a PI adresami, je mu přáno.

Pokud se budeme bavit o tom, ze neverite vlastni fyzicke/linkove infrastrukture, tak se nabizi spousta dalsich peknych utoku. Aniz bych daval nejake konkretni priklady, arp/rarp neni uplne neprustrelny protokol.

Vzhledem k tomu, ze dnes vetsina utoku chodi z nejakych pocitacu, ktere jsou ode mne pres jeden dva hopy (ano bot nety), pak je diskuse o "delce dosahu smerovani" Vasi privatni site irelevantni :-)

Dovolil bych si to prirovnat "zabezpeceni NATem" k "zabezpeceni WiFi tim, ze nevysilam SSID" ...

> Jeden za všechny (platí pro IPv4): pokud nemám vlastní AS (a která z firem jej má??), změna inet providera rovná se triviální změně konfigurace routeru. Pokud mám v celé síti veřejné IP adresy, tj. je třeba přeadresovat všechna zařízení, tak pomáhejte adminovi všichni svatí.

Pak se nabizi jeste moznost NATovat privatni rozsah na stejne velky verejny rozsah. Tim ti odpadne velka cast problemu s NATem (i kdyz ne vsechny).

Duvodem proc nema drtiva vetsina uzivatelu "svuj" rozsah IP je prave ten, ze jich jaksi neni dost. Je jasny ze vam asi tezko bude nekdo smerovat /30. Samozrejme ze pro 5 pocitacu si asi nema cenu zadat o prefix, ale pro 50 uz to smysl ma.

Ma to navic jednu vemi velkou vyhodu, kdyz potrebujete zalozni linku, coz u stredni firmy uz je skoro nutnost, nemusite resit nejake zhuverile scripty na routeru, ktere vam budou prepinat NAT a milion forwardovanych portu. Staci proste oboum ISP rict, ze maji smerovat rozsah XY pokud linka funguje.

"Obecne nefunguje dobre? Tak jak se ma chovat se chova, nic vic od NATu cekat nelze."

OK, myslel jsem spis to, ze i providerum dava zabrat. Nebo je snad trivialni NATovat tisice uzivatelu, nedej boze uzivatelu p2p siti?

"To zni, jako byste nechapal rozdil mezi slovy NAT a firewall.
[...] "

"ale chapal, ale nevidel duvod proc by uzivatele firemniho prostredi meli mit verejnou adresu."

OK, sice to zni spatne, ale -- proc? Jaky je rozdil(*), jestli firemni pocitace v siti budou mit verejnou adresu, nebo privatni? Kdyz se pripojim k routeru s adresou ze stejneho privatniho rozsahu, tak me pustite dovnitr? (mozna spatna otazka, ono se to stava :))

(*) a ano, nejsem tak uzkoprsy; ale argument "na privatni adresu za NATem se nikdo nedostane" mi moc presvedcivy neprijde, stejne jako konstatovani "je to tak bezpecnejsi"

Pokud bude mít každé zařízení ve firemní síti veřejnou IP, tak to opravdu dobré nebude. Připojení nového zařízení (notebook, PDA, mobil) by pak znamenalo (zbytečnou) registraci veřejné IP (a následné zablokování pro přístup zvenčí), které jen zesložiťuje systém. Nehledě na to, že firma by si na začátku musela koupit "dostatečně" velký adresní prostor, aby měla spojitý pool adres (protože jinak se administruje fakt blbě). Zbytečná investice.

Firmy žádný adresní prostor nekupují. Esli někdo platí za přidělení adres, měl by vyměnit svýho providera.

Nechápu, jak může někdo věnovat tolik úsilí tomu, aby vymyslel problém tam, kde ve skutečnosti žádný není…

Presne tak.

"Připojení nového zařízení (notebook, PDA, mobil) by pak znamenalo (zbytečnou) registraci veřejné IP (a následné zablokování pro přístup zvenčí), které jen zesložiťuje systém."

To mi nedava smysl -- privatni adresu neregistrujete, verejnou ano. V tom pripade si treba vydupejte smernici, ze ve firme chcete registrovat i privatni, nebo naopak zadne adresy. :)

Verejne IP se prideluji, registruji i blokuji po blocich. Pokud mate prideleno /64 a vyuzivate 3000 adres, tak po pripojeni noveho zarizeni nic registrovat nemusite, protoze mate porad rezervu (a jakou :-)) a co se konfigurace tyce, proste dostane adresu z toho /48 prefixu ktery je zablokovany pro pristup zvenci ...

A co se tyce dostatecne velkeho adresniho prostoru ... firma si poridi /64 jako vsichni, protoze kdyz si poridi min budou se ostatni manageri tomu jejimu managerovi smat jako by mel zaplatovane sako. /64 samozrejme bude stacit jeste hodne dlouho.

NAT je zla vec

IP adres je dost, jen je třeba je vracet

Např.
13.0.0.0/8 16.5Mega adres pro jediné výzkumné centrum je zcela zbytečné.
15.0.0.0/8 + 16.0.0.0/8 Hewlett-Packard Company
17.0.0.0/8 Apple
18.0.0.0/8 Massachusetts Institute of Technology
...

Ať vrátí co nakradli ;)

X.0.0.0/12 je až nad hlavu. Jeden "milion" jim musí stačit i pro lednice a rychlovarné konvice s připojením do Netu!

ty komousi, co taj mas co znarodnovat adresy? proc by je meli vracet? kdyby radsi socky zacaly vyzadovat ipv6!!!

Jó, časy se mění. Mám návrh - kdyby to šlo, IANA by mohla kasírovat $1 / rok / IP adresa. Výtěžek třeba na charitu. No a jestli jsou pánové Hewlett a Packard takoví filantropové, že zaplatí 32 megadolarů ročně, smekáme před nimi klobouk! A jestli ne, tak bude dost recyklovaných IP adres.

Akorát teda nemám domyšlené, co udělat, když někdo nezaplatí... že by si routery vyjma směrovacích informací předávaly taky databázi neplatičů?

Dobrý nápad

Jo, to by ty routery lehli velmi rychle ...

Myslim, ze nejake adresy bychom mohli taky vymenit :-)

I kdyz opravdu nekdo stoji o tricet let stary a ojety vehikl?

Chtel jsem to napsat k blogu, ale nejak me nema rad. Pasmo 10,5 GHz neni prideleno natrvalo a pred spustenim radaru bude uvolneno. Ocekava se, ze GL, na zaklade ktere se pouziva, bude mit platnost ukoncenu v roce 2009.

Jinak ja abych nebyl pri vymene zbytecne mekky. CZFREE pouziva ted /8 a adresy mizi jak snih na jare, takze bych zadal alespon o /4, aby byla rezerva do budoucna. Navic pokud se zacne CZFREE drobit, tak je potreba preventivne zaregistrovat alespon 2048 cisel AS.

OK, pripisu tam Tvoje postrehy. Je treba, aby byli vyjednavaci dost TVRDI :-)

Ono nejak trva, nez se komentar objevi.

Kazdopadne jim muzeme vyhrozovat, ze kdyz nam nevyhovi, tak to rekneme Putinovi. A Vinta si v Praze nechame jako rukojmi.

Nemusime mit Vinta, to je jenom ikona. Staci v pondeli oplotit Hilton (ietf68) a zadnyho cizaka nepustit ven.

Ikona se jako rukojmi hodi. Ono mit 300 rukojmi po dobu, nez nam vyhovi, by prislo pekne draho. Specialne v pripade, ze bysme je drzeli v Hiltonu.

Vint ma teda taky nevyhodu, ze je dost starej a nemusel by nam potrebnou dobu vydrzet. Ale mohli bysme ho treba v 80 vymenit za nekoho jineho. Treba za Billa G. kdyz je to ten otec internetu a Vint je jen ded internetu. Udelali bysme generacni vymenu.

Nechci vypadat jako ze hazim flintu predem do zita, ale ono prideleni /4 by mohlo trvat treba dele nez tyden.

Vono jich je tady 1250 :-) Jeden sem nebo tam ... Muzes provadet demonstrativni dekapitace a voni hned-tak nedojdou. Naklady holt naky budou, ale kdyz odectes rezii Hiltonu, nemusi to stat tolik.

Kdyz uz rozvadime tajny plany, tak pocitej, ze se to Vint dozvi a treba neprijede. IETFakum to nema kdo rict - budu mlcet jako hrob a VladaS pise nakej papir na konferenci, tak lupu nesleduje.

Navic budeme mit zkusenost a kdyz nahodou prijede dalsi US president, muzeme si to s oplocovanim zopakovat ...

Navic mam dojem, ze by treba mohlo v prubehu zajeti vyjit naky RFC, ktery CZF /4 prideluje ...

Zadny extra RFC nechci, to bysme taky mohli dostat 256.0.0.0/4, hezky za stavajicich podminek podle stavajicich RFC, samozrejme s objemovou slevou, abysme memuseli platit tak velke clenske prispevky.

Fakt je, ze naucit se oplocovat se muze hodit. To je zcela jiste dira na trhu, protoze unosy celych konferenci nikdo nenabizi. Kdyby jsme to oplotili elektrickym ohradnikem, muzeme jako vedlejsi prijem jeste navic pronajimat prenos dat po elektrickem ohradniku. Nebo ohradnik pouzit jako antenu pro 4G. A nebo dokonce by ohradnik mel parabolicky tvar a pronajal by se jako antena k radaru.

Firma by casem expandovala do zahranici, protoze by nam tady asi dosly konference. Proste to vidim velice nadejne. Jen se bojim, aby mi nezrusili americke vizum.

Snad jedine, ze bychom to US administrative podali jako boj s ideologickym nepritelem. Posilal jsem par Letter of Invitation Cinanum :-)

Tak oplocovani se kontakt nebude, vcera dorazili marinaci ;-) Teda alespon jedna marinacka.

Nebudu riskovat konflikt s US NAVY, kdyz je vltava pod oknama.

Nebud mekej, jsme narod Husuv, v cele s neohrozenym policejnim prezidentem Husakem se nam nemuze nic stat. Postavime misto plotu vozovou hradbu. Navic imperialisticke jaderne ponorky neprojedou pod oblouky karlova mostu, protoze se tam proste nevejdou.

1. Muzes si delat legraci jenom proto, ze neznas Karen :-)
2. Imperialisticke ponorky nebudou mit problem s Karlovym mostem, ledaze by uz potvory schovavaly v Orliku :-) To je myslim na interpelaci ve Snemovne. Mozna nam toho Tvrdik zamlcel vic.
.

1. Нас много, ale Karen je jen jedna ;-)

2. a sakra...

Chtel jsem napsat radoby vtipny prispevek, ze na jednu isp sit staci dve ip adresy - smerovac a nat. Pak by bylo adres dost a dost.

Ale pak jsem si vzpomnel, ze cisla pro bgp dochazi rychleji. A sance, ze nekdo dobrovolne nasadi ctyrbajtova cisla AS je srovnatelna s sanci na nasazeni ipv6.
Takze ipv4 nedojde, protoze ti co ho zatim nemaji by stejne s novymi adresami nemohli nic uzitecneho delat.

Potřebujete 4, jelikož 31 bitovou masku použít nemůžete. Protože první adresa by byla podsíť a druhá broadcast.

feature jako ip unnumbered neznate? ;-)

MS ale svuj IP stack snad nikdy nemelo nebo ano?

to je hezke tak krasne popsat nesmyslnost open-source :-)

Spousta lidí se tu ohání tvrzením, že pouhý NAT (a vnitřní sít s neveřejnými adresami) pro zabezpečení zvenčí nestačí.

Nemáte někdo nějaké tipy na zdroje informací, proč tomu tak je a jaké jsou možnosti zneužití?

Laickým pohledem by se totiž zdálo, že když má někdo adresu z privátního rozsahu, nemůže se mu nic stát!

Kdyz ma adresu z privatniho rozsahu, ale chodej mu maily a cte je outlookem, tak je mu ten privatni rozsah houby platny ...

Privátní adresy se dají normálně routovat a taky se routují.

Přes půl světa se k privátní adrese asi nikdo nepřipojí, protože páteřní routery neví, kam datagramy směrovat. Pokud je ale útočník nablízku, má to snazší.

Řekněme že máte firmu, uvnitř PC s privátní adresou, linuxový router s veřejnou adresou a povoleným forwardováním IP připojený k inet providerovi. Nyní někdo v síti providera nastaví správně cestu do Vaší sítě (stačí přidat záznam do směrovacích tabulek routerů, ležících po cestě). A spojení je na světě.

Privátní adresy tedy výrazně omezí množinu potenciálních útočníků, omezený okruh lidí ale může spojení s privátní sítí navázat.

Doporucuju takovy snadny test. Pustit traceroute na nejakou privatni IP, z rozsahu, ktery neprovozujete (napr pokud mate 192.168. tak otestujte 10.10.10.10). Uvidite kam az to proleze. Podle RFC by to mel zahodit prvni router cestou (samorejme router ve verejne siti - tudiz v 99% pripadu je to defaultni GW), ale vrele o tom pochybuju.

Ze soukrome praxe to v lepsim pripade proleze az na hranicni GW ISP, v horsim jeste mnohem dal.

No a takovy blbe nastaveny nat udela presne to, co se od routeru ceka, kdyz na nej prijde paket adresovany IP kterou zna, tak jej na ni posle. Navic neni problem rict svemu stroji, ze IP 192.168.1.0/24 zna stroj 62.256.136.322.