jednducho viem na urovni PC (instalacia rovnakych OS a vybavenia) a firewallu zabezpecit, aby sa tvarili totozne, takze ak budu maskovane na jednu IP, je z vonka sakra problem rozlisit, co vnutri siete je.To je velmi naivní představa.
Uživatel je rád, protože jeho zařízení nejsou dostupná z internetu.Co má uživatel z toho, že útočník se na jeho zařízení z internetu dostane, ale on sám ne?
Stále nevím jak to bude v případech, kdy si do domácnosti opatřím tiskárnu, VoIP router, připojím si k internetu DVB-T,S,C televizi případně HDD recorder..... Co na to provider a jak na tom bude uživatel?Jak by to bylo? Provider na to nic, uživatel do toho zapojí kabel a bude mu to fungovat. Na telefon se normálně dovolá bez prostředníků, nahrávání pořadu si bude moci nastavit odkudkoli z internetu, a uživatel se bude divit, proč to takhle jednoduše nefungovalo už dávno.
S IPv6 přichází prakticky nevyčerpatelný počet adres pro každého člověka. Dle mého názoru má každý člověk na světě nárok na nespočetně mnoho veřejných IPv6 adres, aby si mohl připojit cokoliv jen bude chtít a potřebovat. Bavím se o domácnostech. Firma je něco jiného, tam o nějaké mojí síti nemůžeme rozhodovat, neboť celá topologie patří firmě.
Už jen to, že mám na to - řekněme morálně - nárok, znamená, že by mi měl operátor přidělit a naroutovat nějaký segment, zpravidla to bývá /64, pokud je tam jen jedna podsíť (subnet). Pokud poskytovatel připojení použije NAT, třeba z ekonomických nebo technologických důvodů, pak chci nejhůře NAT 1:1, nikoliv nyní nejčastěji používaný NAPT. Prostě každá IPv6 adresa musí mít k dispozici všechny porty, aby libovolné zažízení v domácnosti mohlo využít libovolné služby.
Poskytovateli připojení není vůbec nic do mé domácí sítě. A to platí v IPv4 i IPv6.
NAT způsobuje to, že některé služby na Internetu nefungují jak by měly, protože prostě nefungují skrze NAT. To, že Skype funguje skrze NAT, ještě není fungující Internet. Je řada jiných služeb pro třeba právě pro VoIP telefonii, které mají s NATem problémy. A žádný operátor podle mě nemá právo mi odepírat jakékoliv služby tím, že použije NAPT.
Bezpečnost obstarávají firewally, nikoliv NAT, tak proč nemít /64 pro každou domácnost, abych měl každý dostupné cokoliv si povolí odkudkoliv. NAT či NAPT navíc způsobují složitější zpracování, tedy zbytečné zpomalení, což bude u budoucích služeb čím dál více důležitější. Je dobré držet se známého pravidla: "Keep is simple, stupid." a jen routovat, bez NAT či NAPT.
Jsem zásadně proti jakémukoliv NATu. Skutečně denně mi NAPT, ale i NAT, přináší soukromě i pracovně jen potíže. Užitek jsem z nich ještě neviděl, neboť chranu stejně musím řešit jinak, než pomocí NAT či NAPT, musím ji řešit firewallem.
Jak bez NATu vyřešit restrikci providera na 1 MAC adresu (jinak řečeno 1 fyzické zařízení)? No IPv6 bez NATu to určitě neřeší.Řešením je zrušení té restrikce.
Jinak ten uvažovaný NAT nemusí být 1:N, ale 1:1 tj. každá jedna "interní" adresa se může mapovat na samostatnou "externí".Ano, to je myslím dobrý začátek. Pak se jednoho dne někdo zeptá: „Proč tam vlastně máme ten NAT? Není to k ničemu dobré a jenom jsou s tím problémy.“ A problém s NATem bude vyřešen…
je zakázáno vše co není výslovně povolenoTo ovšem neřeší NAT, ale firewall. Jinak ať si samozřejmě každý nasadí NAT na IPv6 dle vlastního uvážení, on na to časem přijde, že mu to akorát komplikuje život :-)