Názory k článku IPv6 NAT – chceme ho?
Článek je starý, nové názory již nelze přidávat.
-
davro (neregistrovaný) 2001:718:801:----:----:----:----:----To platí pouze do doby, než si někdo přitáhne do firmy nějaké hodně specializované zařízení za mnoho milionů, které prostě do té sitě připojit musí a používá nějaké obskurní protokoly. Jen tak z fleku mne napadají videokonferenční zařízení, mikroskopy nebo medicínské systémy využívající protokol DICOM.
-
tigmac (neregistrovaný) 109.164.5.---To je falešný pocit bezpečí, zjistit a nebo odhadnout vnitřní IP adresy není zdaleka nemožné. NAT je peklo, zejména v době rozvoje služeb, které fungují P2P a to nemám na mysli "stahovače", ale např. věci jako VoIP. Ano, ono VoIP "funguje" i s NATem, ale často je k tomu potřeba server někde "venku" zatímco bez NATu mohou jít pakety pěkně nejkratší cestou, což třeba SIP umí zařídit (když má možnost).
Zkrátka NAT je z nouze ctnost řešení a není to řešení bezpečnostní - samotný firewall toto řeší lépe než samotný NAT (viz source routing útok).
Kromě toho při zakrytí rozsáhlejší sítě NATem vznikají další problémy: omezený počet portů. Je sice možné použít více vnějších IP adres, ale tím se vše zase jen zbytečně komplikuje.
Shrnuto: už aby by byl NAT minulostí.
Nebo jinak: už aby nutnost použití NATu byla minulostí, mám tím na mysli to, že poskytovatelé připojení dávají neveřejnou adresu, to je skoro zločin ;-) -
Filip Jirsák (neregistrovaný) ---.jirsak.orgOtázka je, zda ten domácí NAT vám nevadí proto, že byste veřejné IP adresy opravdu nijak nevyužil, ani kdyby byly doma běžné; nebo zda teď nemáte potřebu to řešit, ale pokud by bylo normální mít doma veřejné IP, využil byste to.
Já se přikláním spíš k druhé variantě, tedy že až bude rozšířené IPv6 a tím pádem veřejné IP adresy, začnou se rozšiřovat služby, že si třeba na dálku spustíte svůj domácí počítač, stáhnete dokument a počítač zase vypnete, nebo si mobilní telefon budete přes internet synchronizovat a ovládat z domácího počítače atd. -
Agent (neregistrovaný) ---.multima.czMám pocit, že správce firemní sítě, který je zodpovědný za její chod stabilitu a bezpečnost se na věc bude dívat trochu odlišně než spráce akademické sítě.
"...navíc jsou uživatelé kreativní a zkoušejí nejrůznější síťové služby" - toto je např. ve fiemní síti téměř vyloučené. -
sojkovec (neregistrovaný) ---.static.grapesc.czA až bude mít každé PC, televize, pracovní stanice, notebook, telefon a kdoví co ještě veřejnou IP, má malware a státní šmírování konečnou technologickou zelenou. A šifrování? Tadyhle ten moc šifruje, vlítnem na něj. Prozradíš co to bylo? Poskytneš klíč? Ne? Jsi terorista (pedofil, nacista, doplňte si...) a půjdeš do želez.
-
Filip Jirsák (neregistrovaný) ---.jirsak.orgNAT může být klidně 1:1, takže topologii sítě zjistíte a dostanete se na každý počítač. Je asi jasné, že reálný NAT se pak nachází někde na škále od tohoto zcela otevřeného NATu 1:1 až po NAT, za kterým nelze další počítače žádným způsobem zjistit. Problém je v tom, že málokdo ví, jak je na tom jeho NAT doopravdy, myslí si, že je za NATem schovaný, a přitom to vůbec nemusí být pravda. Ostatně stačí si uvědomit, že Skype a další se dokáží úspěšně protunelovat kdejakým NATem.
-
Vanamond (neregistrovaný) ---.ksystemy.czÓ velký mágu, NATem 1:1 RFC myslí mapování jedné dané veřejné adresy portově 1:1 na jeden daný vnitřní počítač, tedy port 25 na veřejnou jde na 25 na onu vnitřní, to samé s 26 a 27 apod. Tedy blábol o přístupu natem 1:1 na každé vnitřní PC zůstává blábolem. Mimochodem ten plně hlídaný NAT (FCNAT ) realizuje již dnes už naprostá většina i malých routříků. Skype se protuneluje NATem proto,že ( díky běžně nastaveným výchozím pravidlům firewallu zevnitř ven ano, zvenku dovnitř ne , postaveným v pořadí ZA NAT ) je server Skype osloven ZEVNITŘ. Doporučuji prostudovat základy NATu.
-
Filip Jirsák (neregistrovaný) ---.jirsak.orgPředstavte si NAT 1:1 pro každou IP adresu ve vnitřní síti, která se mapuje na právě jednu veřejnou IP adresu, a zároveň ona veřejná IP adresa se mapuje právě na jednu adresu ve vnitřní síti. Pak máte NAT a zároveň přístupné každé jednotlivé PC ve vnitřní síti.
To, že musí být komunikace zahájena zevnitř, není zrovna silná podmínka, protože z běžné sítě se zevnitř navazuje nějaká komunikace neustále a není velký problém někoho donutit, aby tu komunikaci zahájil. -
davro (neregistrovaný) 2001:718:801:----:----:----:----:----šifrovat standarTně nevím. Šifrovat standarDně je něco, co by IPv6 mělo podporovat jako svou nedílnou součást pomocí IPSec. Jsem přesvědčen že časem by se to mělo stát standardním řešením, spolu s tím, jak zavádíme DNSsec a podobné technologie. (tedy pokud si to někdo nebude komplikovat NATem)
-
Vanamond (neregistrovaný) ---.248.broadband13.iol.czAle jo. Neznám českou terminologii - takže asi vycházím z vyčtené terminologie v manuálech. NATem myslím to, co se anglicky označuje za port NAT ( občas jsem viděl termín SUA, tedy single user account ) tedy že mnoho vnitřních adres je maskováno za jednu veřejnou a spojení se rozlišují tabulkou portů, kterou si vede daný NAT ( zdrojový port je nahrazován a podle něj se pak také hlídá, komu zpětně patří. Stupeň kontroly souvislosti vysílaných a následně přijímaných paketů určuje kvalitu NATu. Nahrazují se pochopitelně např. při mapování i cílové porty atd. )
Pro pana Jirsáka - jo, jasně. Ale pak potřebuji tolik veřejných adres, co PC, ten port NAT ztrácí význam, víceméně jsme ho degradovali na jeden záznam v tabulce.
Co se týče podmínek odeslání startu komunikace - no, vidím to pořád jako lepší, než nic. V každém případě to má loupežník složitější. -
misch (neregistrovaný) ---.ext-brno.czechin.czRovnako som rad, ze ani len moj provider nevie, kolko mam doma interneteniaschopnych zariadeni (PC, NB, mobily, cierne hracie skrinky...), kedy ktore z nich zapinam a podobne.... Hm, a bez NATu je v tom snad nějaký rozdíl? Máte-li tam firewall, nedozví se to provider ani potom. A naopak -- i teď s NATem a IPv4 není problém sledováním provozu zjistit že k té vaší jediné veřejné IP adrese evidentně není připojení jen jediné zařízení ... Pořád to samý dokola a dokola -- "my máme NAT, my jsme v bezpečí. Ach jo :/
-
jd (neregistrovaný) 194.213.198.---Jenomze tady nejde o to nalhavat providerovy ze mate pripojeny jen jeden pocitac. Tady jde o to ze mate ve vnitrni siti zarizeni kteres se pripojuje ven a nechcete vytrubovat kazdemu, kdy je vas napriklad mobil doma = vy jste doma. To bez NATu neudelate, firewal nestaci.
-
jd (neregistrovaný) 194.213.198.---Ano, ale to ve vnitrni siti nelze pouzit! Proste proto, ze pak je daleko vetsi problem nalezt, kdo uvnitr zabezpecene site dela co by nemel. Pozadavek je mit co nejvyssi kontrolu ve vnitrni siti a zaroven co nejmene vykecat ven. S IPv^ bez NAT muzet mit jedno nebo druhe, ale ne oboji.
-
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skNAT je len pridavok k bezpecnosti, sice maly, ale nie zanedbatelny. Firewall nemaskuje rozne IP, ktore pristupuju z mojej siete von, to robi prave NAT. Pokial teda nemate pod pojmom "firewall" na mysli tu ciernu krabicku, ktora nepotrebuje NAT, len "riesi pristup" na internet (pravidla, preklad adries, zmeny TTL a okien kvoli stazeniu identifikacie OS a podobne.) :-)
Ako chcete z vonka zistit, ze dnu evidentne je pripojenych viac PC napriklad s WinXP? :-) -
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skVacsinou zavireny PC robi na sieti paseku, ktoru si vsimne nejake IPS/IDS a upozorni, ktora IP robi neplechu. (teda podla mojej osobnej skusenosti vacsinou lezie von na SMTP alebo botacke adresy a to uz upozorni rovno firewall) Co mi v pripade velmi castej zmeny IP klienta vobec nepomoze.
-
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skNuz neviem. Moja aktualna vzorka:
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11 (.NET CLR 3.5.30729)
Z kazdeho PC, kde je rovnaky OS + browser a extensions (co je vo firme bezne) ide to iste v uvedenom headeri. -
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.sk1. na slovensku sa taki najdu (neuveritelne, vsak?), kedysi to robilo konkretne UPC - preto som ich obchadzal z dialky, robi sa to aj teraz
2. a bavime sa predsa aj o tom, ze NAT dokaze pohodlne skryt topologiu domacej/firemnej siete. jednducho viem na urovni PC (instalacia rovnakych OS a vybavenia) a firewallu zabezpecit, aby sa tvarili totozne, takze ak budu maskovane na jednu IP, je z vonka sakra problem rozlisit, co vnutri siete je. -
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skTo je prave omyl, pretoze ked ste sucastou akejkolvek (aj kvazi-virtualnej) siete, vzdy ostatne pocitace, ktore s vami komunikuju nakoniec musia byt stavovo spojeni. Tusite, ako napriklad chcete kulturnym sposobom (t.j. bez stahovania 1000000 malych kuskov + neskutocna rezia okolo toho) stahovat instalacky debianu na DVD, ak chcete pritom kazdu chvilu menit IPcku?
-
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skOK, to uz je skor socialna analyza, ktora ale neposkytne exaktne data. Napriklad od nas z firmy si maily von nepozera nikto. Nemoze. Jedine cez HTTP(S) na svoje sukromne konta. Browsery rovnake, OS rovnake. Pripadny snifovac sice ma data, ale vacsina ludi ma aj tak konta typu bubulak99@seznam.cz a podobne, takze je problem zistit aj to, ide vobec o chlapa alebo zenu. Dalej ludia mozu mat adries viacero, takze odchytenie toho, ze si dakto cita maily seznam.cz pre adresu bubulak99@seznam.cz a bubulak98@seznam.cz moze znamenat aj dva rozne PC, alebo jen jedneho cloveka s 2 kontami. Ak to dakomu za to stoji, tak si moze s partiou ludi urobit za tyzden-dva daku analyzu aj s odhadmi (otazne, ako presnymi). Ale je to neporovnetelne s IPv6, kde ma celu mapu internej siete zadarmo rovno na papieri do 60 minut po tom, ako pusti na daktorom vacsom spravodajskom serveri, kam vacsina ludi v kazdej firme hned z rana zabludi.
Takze ak IPv6 bez NAT, tak potom povinne proxy. A napriamo von nic. A zasa mame v haji vsetky tie slavne "vyhody" IPv6. -
Filip Jirsák (neregistrovaný) ---.jirsak.orgAle jistě, pokud chce někdo mít velmi restriktivní firewall a přístup ven jen přes proxy, v tom mu přece IPv6 nijak nebrání. podstatné je to, že když bude chtít jeden či více počítačů zpřístupnit z internetu, udělá to snadno.
Na tu mapu sítě vytvořenou ze zpravodajského serveru úplně stačí JavaScript a cookies, a NAT vám v tom nijak nepomůže. -
Filip Jirsák (neregistrovaný) ---.jirsak.orgStačí 2 IPv6 adresy, přerušení konektivity nemá na vnitřní síť vliv. Protokoly na šíření routovacích informací samozřejmě existují a používají se i v IPv4. Na konfiguraci toho moc složitého nevidím, rozhodně je to jednodušší, než udržovat spoustu výjimek v NATu, řešit to, že servery mají zevnitř sítě jiné adresy než z venku atd. I kdybyste to nakonec chtěl řešit NATem, pořád bude mnohem jednodušší na bráně jenom přepsat prefix IPv6 adresy a přepočítat kontrolní součet, než udržovat tabulku spojení, pokoušet se vysledovat spojení v UDP, hlídat rozsahy portů atd.
-
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skMinimalne na ITcku u nas vacsina ludi pouziva NoScript a ma zakazane cookies + dake tie haluze proti flash cookies. Povolujeme si to akurat pri internetbankingu a podobnych veciach.
Ako som uz pisal pred chvilou. Netvrdim, ze to nejde vobec aspon ako tak odhadnut, aku asi mame velku siet a podobne. Ale pristup von bez NAT poskytne kazdemu s minimalnymi nakladmi uplne presnu mapu siete. A tie naklady byvaju velmi podstatne pri rozhodovani, ci sa o mna zacne dakto blizsie zaujimat. -
anonymní 2001:470:9e70:----:----:----:----:----Mam dva IPv6 tunely ke dvoum ruznym poskytovatelum (paac mi ISP dosud neni schopen nabidnout nativni konektivitu) a i ty blbe widle s tim bez jakychkoli problemu funguji. Mam v siti zaroven 3 dalsi routery. Staci ?
Nemuzu si pomoct ale plkate o necem co ste nevidel ani z rychliku. Pouzivani NATu a privatnich rozsahu je naopak komplikace navic a spousta veci stim proste vyresit nejde. -
anonymní 2001:470:9e70:----:----:----:----:----vy logujete veskery traffic z firmy ven ? Pokud ne, tak vam od nekoho prijde ze z vasi NATovany IP prisel nejakej bordel a vy se muzete jit leda klouzat. To ze by se utocici komp projevoval nejak ve vnitrni siti neni totiz vubec pravda. Slusnejsi cervik vypada navenek trebas jako prohlizec.
Kdyz mate IP primo toho kompu, tak jej ste schopen dohledat. -
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skTato odpoved asi najlepsie demonstruje nas rozdielny pohlad na svet. Poniektori snivame o tom, aky bol krasny svet svet bez problemov a o tom, ako by sa malo dat urobit toto a tamto (keby sa na to dakto nasiel) a niektori zasa mame na krku riesenie problemov, ktore sa realne vyskytuju.
Podobne ako v tom starom matfyzackom ftipku....
1. elektrikar/itckar rozmysla, ako sa vysporiadat s obmedzenim na MAC
2. matematik zacne svoju uvahu slovami: "nech obmedzenie na MAC nejestvuje..."
:-) -
randomofamber (neregistrovaný) ---.90.142.82.static.b26.czUživatel je rád, protože jeho zařízení nejsou dostupná z internetu.
Poskytovatel je rád, protože jeho "omezení" mu usnadňuje správu ( 1 MAC = 1 zákazník ).
bavíme se o vztahu domácnost - poskytovatel internetu
Stále nevím jak to bude v případech, kdy si do domácnosti opatřím tiskárnu, VoIP router, připojím si k internetu DVB-T,S,C televizi případně HDD recorder..... Co na to provider a jak na tom bude uživatel? -
randomofamber (neregistrovaný) ---.90.142.82.static.b26.czJakou inteligentní krabičku?
Nemyslím, že zedník je zrovna dobré přirovnání. Pokud tedy chceme přirovnávat zedníka k providerovi, pak zedník postaví zeď v prázdné místnosti a nevím, proč by měl courat po bytě. Má postavit příčku(namontuje cable-modem) a sbohem. Zedníka taky nevolám abych si na zeď pověsil obrázek (zapojil router) a už je zedníkovi úplně jedno co na tom obrázku je či jak je velký... K pověšení obrázku stačí naklepnou hřebíček (zapojit kabely do routeru) a je to. Na to nepotřebuji zedníka ani providera... -
Filip Jirsák (neregistrovaný) ---.jirsak.org
Uživatel je rád, protože jeho zařízení nejsou dostupná z internetu.
Co má uživatel z toho, že útočník se na jeho zařízení z internetu dostane, ale on sám ne?Stále nevím jak to bude v případech, kdy si do domácnosti opatřím tiskárnu, VoIP router, připojím si k internetu DVB-T,S,C televizi případně HDD recorder..... Co na to provider a jak na tom bude uživatel?
Jak by to bylo? Provider na to nic, uživatel do toho zapojí kabel a bude mu to fungovat. Na telefon se normálně dovolá bez prostředníků, nahrávání pořadu si bude moci nastavit odkudkoli z internetu, a uživatel se bude divit, proč to takhle jednoduše nefungovalo už dávno. -
Jenda (neregistrovaný) 2001:470:9b01:----:----:----:----:----„A až bude mít každé PC, televize, pracovní stanice, notebook, telefon a kdoví co ještě veřejnou IP, má malware a státní šmírování konečnou technologickou zelenou.“
A o firewallu, případně privacy extension jsi někdy slyšel?
„A šifrování? Tadyhle ten moc šifruje, vlítnem na něj. Prozradíš co to bylo? Poskytneš klíč? Ne? Jsi terorista (pedofil, nacista, doplňte si...) a půjdeš do želez.“
Jak se tato možnost liší od přenášení šifrovaných dat přes IPv4? -
Jenda (neregistrovaný) 2001:470:9b01:----:----:----:----:----„Dalej ludia mozu mat adries viacero, takze odchytenie toho, ze si dakto cita maily seznam.cz pre adresu bubulak99@seznam.cz a bubulak98@seznam.cz moze znamenat aj dva rozne PC, alebo jen jedneho cloveka s 2 kontami.“
Jako že třeba jeden člověk používá dvě konta najednou ze dvou instancí prohlížeče a stíhá v tom webmailu klikat taky najednou, že jo. -
anonymní ---.mk-sys.czCo je to AES2? Zkusil jsem hledat a jediné, co se týkalo tématu, byla takhle konference, kterou jste nejspíš na mysli neměl. Osobně znám jen AES-128, AES-192 a AES-256, všechny tři samozřejmě v rámci IPsec používat lze, stejně jako autentizaci pomocí X.509 certifikátů a o tom, které autoritě budete věřit (a jestli vůbec nějaké), si rozhodujete sám. Tak v čem je podle vás ten "X.509 a AES2 s důvěryhodnou nezávislou CA" bezpečnější?
-
VS (neregistrovaný) ---.zcu.cztak od toho je pak ipv6 mobility.
Jenže to musí buď podporovat ISP - a kolik z nich bude, aspoň u základních "konzumních" služeb typu ADSL nebo WiFi za 500 Kč / měsíc. Nebo musím mít nějaký svůj router / server, což nic neřeší - ten můžu mít už pro IPv4 a používat nějakou VPN. Viděl jste IPv6 Mobility v provozu, že tak poučujete? Na každý problém existuje technologie, která "je přímo do toho". Velice často ji ale nelze použít z důvodů administrativních, ekonomických, byrokratických apod. -
VS (neregistrovaný) ---.zcu.czJde přes RA nebo jiným standardním zpsobem (který umí všichni klienti implementujícím minimální nutnou IPv6 fukcionalitu) říct "a od teď bude default gw z té druhé sítě než dosud, ale interní prefix té první sítě směruj na gw pořád". Bez toho aby to trvalo X minut? Pokud ano, tak uznávám, že se pletu.
Jinak ten uvažovaný NAT nemusí být 1:N, ale 1:1 tj. každá jedna "interní" adresa se může mapovat na samostatnou "externí". -
vlabra (neregistrovaný) 81.91.213.---Samozřejmě, není problém to udělat staticky i s IPv6, pokud bude podporovat NAT. Jinak nevím, jak by mohly ty PC komunikovat, když by ve firemní síti měli nějaké privátní adresy, které bych mohl mít třeba ve své domácí sítě. Vnitřní adresy ve firmě máme totiž organizované podle států, poboček a podsítí (10.stát.pobočka/podsíť.stanice). Pokud by totiž byla část IP adresy závislá na poskytovateli, tak potom nevím, kdo by mi přidělil adresu, když vypadne spojení (nyní to dělá DHCP na pobočce a v rámci pobočky můžu komunikovat i když připojení ven nefunguje), jak by se řešila změna poskytovatele, a jak by to fungovalo na vytíženějších VPN spojích, kde je propojení přes několik nezávislých poskytovatelů pro redundantní spojení?
Samozřejmě, tohle se dá řešit pomocí proxy, ale to je dobré tak maximálně na HTTP, ale ne na vzdálenou správu serverů u zákazníků, či velké datové přenosy. -
VS (neregistrovaný) ---.scnet.cztak staci aby to podporoval vas domaci router a bude vam to fungovat. Nic vic netreba. Zarizeni se jednoduse pripoji do libovolne dostupne site a ohlasi svemu domacimu routeru kde zrovna je a jakou ma lokalni IP.
Na to nepotřebuju IPv6 Mobility, takhle provozuju už 10 let VPN. Pravda, že s IPv6 je to integrováno přimo v IP stacku, takže to bude možná úspornější a celkově hezčí.
Je tu několik zásadních ALE: 1) musím vůbec nějaký domácí router mít, musí tuto technologii podporovat, a musí být pořád zapnutý. 2) i když splním všechno předchozí, tak si představte můj domácí router na ADSL s uploadem 200 kb/s, poteče-li přes něj veškerý provoz, to se budu mít krásně. Teoreticky by mohl ADSL router signalizovat mému ISP, aby to routoval přímo, a data netekla přes ADSL tam a zpět. Bude-li něco takového technicky možné, nechá si za to ISP řádně zaplatit, to si buďte jisti.
Ve firemním prostředí může být situace trochu jiná (vlastní slušná konektivita a HW pro Mobility GW), ale oni už dávno používají Cisco VPN, což poskytuje ještě nejaké výhody navrch, nebo jiné obdobné řešení.
Závěr je, že IPv6 v oblasti mobility nic přelomového nepřináší. Nebo ne? -
anonymní 2001:470:9e70:----:----:----:----:----a) VPN vam tlaci traffic nejdriv domu a pak po stejne lince zpatky, kdezto mobilni rozsireni IPv6 zaridi, ze data potecou rovnou k zarizeni. Z vasi reakce je videt, ze toho o tehle funkcionalite vite jeste min nez ja. To je prave jeden z velkych bonusu, ze trasa dat nevede pres vas router s VPN. Vasi aktualni IP praskne primo vas router, kteremu ji praskne vase zarizeni, jak elegantni a jak jednoduche. Nikomu nic neplatite.
b) At chcete nebo ne, tak mate nejakou krabicku a nazvat ji muzete jakkoli, DSL modem, WiFi klient ... a ta krabicka vam proste poskytne tuhle sluzbu. Tak jako tak ji mate uz ted a bezi stejne 24/7, protoze kdo by tech par W resil. Navic stejne budete chtit mit firewall, aby vam vasi mikrovlnku nezapnul nejaky vtipalek, pripadne aby sousedi nezjistovali co mate zrovna v lednici. -
VS (neregistrovaný) ---.scnet.czJestli to takhle fakt funguje tak si sypu popel na hlavu, moje neznalost. Pokud cílem toho redirectu je koncový uzel navazjící spojení, pak to je dobré, nezávisí to nijak na infrastruktuře ISP (leda by to blokoval). Mám ale strach, jak s takovou "redirect" zprávou budou zacházet výchozí konfigurace různých firewallů. Budu to muset prozkoumat, hlavně s výchozím nastavením FW na Windows 7. I když kdyby to hromadně podporovaly alespoň servery, byl by to úspěch. Nějak mi to ale připomíná IPv4 ICMP redirect...
Je mi jasné, že buď s redirectem počítá přímo koncový uzel (ideální stav), nebo to zpracuje nějaký router "cestou" (to nepředpokládám, že by mohlo být standardní chování), a nebo v nejhorším to bude všechno téct přes toho agenta (a to se bojím, že bude obvyklé chování). -
VS (neregistrovaný) ---.scnet.czA ještě něco: "IP Mobility Support for IPv4" tu máme od roku 2002, RFC3344. Nějak se to neuchytilo. Asi kvlůli všudypřítomnému NATu? OK.
Jak si ale Mobile IPv6 poradí s různými firewally? To je totiž taky část problému, kterou by to podle mě mělo řešit. Aby bylo "kouzlo" Mobile IP pro mě úplné, mělo by to fungovat v hotelu na WiFi, ve škola na Eduroamu, v cizí firmě, kde mi nechají připojit notebook. Je obvyklé, že na takových místech firewall blokuje příchozí spojení, případně i odchozí na určité porty (SMTP atd.). Poradí si s tím IPv6 Mobile (jako že ta omezení umí obejít)? A bude to pořád fungovat pomocí těch "redirect" zpráv? Nebude náhodou Mobile IP to první, co správci podobných sítí zablokují? Tohle ještě není otestováno in-the-wild, ale vidím tam mnoho prostoru pro různé podvody, útoky, potíže s diagnostikou sítě atd. Nebo je to vše vyřešeno a reálně otestováno? -
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.sk1. Firemne prostredie - ako sa tu uz spominalo, aj po stranke pridavku k bezpecnosti (uzavretost siete pred okolim, nikoho vonku nema co zaujimat, kolko a akych PC je v mojej sieti a kto konkretne kam konkretne chodi) aj po stranke praktickej (presuvanie podsieti, zmena providera a podobne).
2. Domaca siet - ja osobne som rad, ze mam DHCPkom nahodne pridelovanu IPcku od providera, takze moje paranoidne ja nenechava po sebe na kazdom serveri zaznamy s tou istou klientskou IPckou. Rovnako som rad, ze ani len moj provider nevie, kolko mam doma interneteniaschopnych zariadeni (PC, NB, mobily, cierne hracie skrinky...), kedy ktore z nich zapinam a podobne.... -
sojkovec (neregistrovaný) ---.static.grapesc.czSorry za chybu, snad se toho tolik nestalo. IPsecu prostě nevěřím, četl jsem si o něm, a podle toho, co jsem pochopil, tak akorát sniffing stěžuje, ne zcela znemožňuje (pravda, utopie, nicméně šifrování např. pomocí X.509 a AES2 s důvěryhodnou nezávislou CA, tak jak je to na vyšší úrovni, mně pořád příjde bezpečnější, spoléhat se čistě na ipsec mi přijde naivní, ale jsem jenom lajk, nevěřím ničemu, o čem kdosi prohlásí "standardně je to v pořádku").A implementaci ipsecu Microsoftem nevěřím už vůbec.
-
VS (neregistrovaný) ---.zcu.cza ve vnitřní síti používáte rovnou ty přidělené rozsahy veřejných adres
Takže všechna zařízení v síti budou mít 2 IPv6 adresy a 2 výchozí brány (s nějakou prioritou), vlastně ideálně ještě třetí "interní" IPv6 adresu a bránu + statické routy pro tuhle interná síť (ale ty jde myslím propagovat v rámcí RA), aby se při přepnutí konektivity nepřerušila komunikace uvnitř sítě.
Ona to takhle napsat jde hrozně snadno. Ale máte to tak někde v produkčním prostředí v provozu, že tak poučujete? Jak máte v síti třeba další 2 interní routery, musí se na ně nějak šířit informace o přeroutování (resp. aby přestaly propagoval bránu v rozsahu nefunkčního ISP) - je na to nějaký standardní protokol? Aspoň v linuxu?
Nemůžu si pomoct, ale celé tohle je na konfiguraci a údržbu řádově složitější než jedna "privání" IPv4 adresa na stroj v LAN + na edge routeru NAT na zrovna aktivního ISP, nebo klidně load-balancing podle hashe srcIP+dstIP+... přes 5 různých obyčejných připojení (třeba v Mikrotiku je konfigurace této funkcionality na pár minut, a funguje to dobře).
Čistá řešení naráží na administrativní překážky - třeba že ISP musí podporovat něco "navíc", co není součástí základních levných služeb, nebo musí dokonce něco individuálně nastavit na své straně. Už dnes není "žádný" problém mít plně redundantní konektivitu krásně řešenou přes BGP, ale nejde to s jedním ADSL přípojením za 500 Kč a jedním třeba optickým za obdobnou cenu. -
randomofamber (neregistrovaný) ---.90.142.82.static.b26.czJak bez NATu vyřešit restrikci providera na 1 MAC adresu (jinak řečeno 1 fyzické zařízení)? No IPv6 bez NATu to určitě neřeší. Z mého pohledu BFU je nejjednodušším řešením, koupě routeru, který se připojí na přípojku od providera. Sám se nakonfiguruje a za router si pak BFU připojuje kdy chce, co chce a kolik se mu zachce. Žádné další problémy s přidělováním adres, registrací nějakého abstraktního a pro BFU nepochopitelného /48 prefixu ( Co to je /48 prefix? Kolik toho musí BFU nastudovat, i když ho to vůbec nezajímá, protože je to třeba zedník...).
-
vlabra (neregistrovaný) 193.85.226.---Ano, toto firewallem to jde vyřešit. Ne však všechno.
Hlavní výhoda NATu ale je, že odděluje topologii vnitřní sítě od té vnější.
Problém s chybějícím NATem totiž začíná v době, kdy máte po celém světě stovky poboček (ono jich tačí i pár jednotek po republice) propojených přes VPN a každá je připojená přes providera s jinou veřejnou částí IP. S IPv4 a NATem to je jednoduché. Celá korporátní síť má lokální adresy třeba 10.* a routery na pobočkách pak ví, že všechno na 10.* mají posílat přes VPN do firemní sítě a všechno ostatní přes NAT (eventuelně proxy) do internetu. Jak se bude tohle řešit bez NATu a možnosti mít uvnitř vlastní soukromé IP? To si budou muset všechny firemní routery vyměňovat všechny adresy všechy firemních poskytovatelů aby věděli co je vnitřní a co vnější śíť? -
davro (neregistrovaný) 2001:718:801:----:----:----:----:----Tato věc je v podstatě nezávislá na překladu adres, to jste jenom smíchal dvě věci do jedné.
Nejjednodušší by mně v tomto případě přišlo si rozjet mezi těmi routery nějaký směrovací protokol (v rámci šifrovaného provozu mezi těmi routery). Tento směrovací protokol oznamuje pouze sítě patřící do firemní VPN, zbytek jde po defaultu ven, pokud tedy nechcete všechno směrovat přes jeden centrální prvek, kde to budete filtrovat.
Nebo to uděláte celé staticky, tak jak to děláte teď.
Ta situace se vůbec neliší od současného stavu. -
Má odpověď na otázku vhodnosti existence IPv6 NAT je ANO.
Jde totiž o další nástroj, jehož existence rozšiřuje možnosti implementace pro konkrétní situaci. Vhodnost jeho nasazení a kombinace s dalšími dostupnými technologiemi ponechme na posouzení tomu, kdo připojení realizuje.
Osobně očekávám, že odpovědi budou pro různá prostředí diametrálně odlišné. V akademické sféře zřejmě často převáží požadavek transparentnosti a otevřenosti komunikace s každým počítačem, v komerční sféře někdy spíše striktní pravidlo "je zakázáno vše co není výslovně povoleno". Konfigurace domácího prostředí bude možná předmětem generačního sporu členů domácnosti :-) -
frr (neregistrovaný) ---.fccps.czAž na to, že WiFi klienti se takhle chovají *z principu*, z definice, toto chování je dáno standardem. Paket ve WiFi síti nese MAC adresu "remote endpointu" komunikace, MAC adresu APčka, ale na lokálním konci jedinou MAC adresu klienta (nepočítá se s tím, ze klient WiFi sítě by nemusel být "endpointem" ethernetového rámce). Tento tzv. 3-address mode sice neni jediný možný, možný je i 4-address mode typický pro WDS rezim, ale WDS na klientovi se jaksi nevyskytuje :-) WDS režim kromě toho, že potřebuje v každém paketu 4 MAC adresy, navíc znamená bridging mezi "WDS relacemi", které lze navazovat mezi APčky dynamicky, nebo nějak explicitně správcovat - prostě WDS není věc, kterou byste chtěl na klientu paušálně podporovat... Viděl jsem nějaká APčka s proprietárním firmwarem, která uměla používat 4-address mode i v klientském režimu (bridge na metaliku), ale ta byla nekompatibilní se zbytkem světa...
-
nn (neregistrovaný) 212.96.169.---
S IPv6 přichází prakticky nevyčerpatelný počet adres pro každého člověka. Dle mého názoru má každý člověk na světě nárok na nespočetně mnoho veřejných IPv6 adres, aby si mohl připojit cokoliv jen bude chtít a potřebovat. Bavím se o domácnostech. Firma je něco jiného, tam o nějaké mojí síti nemůžeme rozhodovat, neboť celá topologie patří firmě.
Už jen to, že mám na to - řekněme morálně - nárok, znamená, že by mi měl operátor přidělit a naroutovat nějaký segment, zpravidla to bývá /64, pokud je tam jen jedna podsíť (subnet). Pokud poskytovatel připojení použije NAT, třeba z ekonomických nebo technologických důvodů, pak chci nejhůře NAT 1:1, nikoliv nyní nejčastěji používaný NAPT. Prostě každá IPv6 adresa musí mít k dispozici všechny porty, aby libovolné zažízení v domácnosti mohlo využít libovolné služby.
Poskytovateli připojení není vůbec nic do mé domácí sítě. A to platí v IPv4 i IPv6.
NAT způsobuje to, že některé služby na Internetu nefungují jak by měly, protože prostě nefungují skrze NAT. To, že Skype funguje skrze NAT, ještě není fungující Internet. Je řada jiných služeb pro třeba právě pro VoIP telefonii, které mají s NATem problémy. A žádný operátor podle mě nemá právo mi odepírat jakékoliv služby tím, že použije NAPT.
Bezpečnost obstarávají firewally, nikoliv NAT, tak proč nemít /64 pro každou domácnost, abych měl každý dostupné cokoliv si povolí odkudkoliv. NAT či NAPT navíc způsobují složitější zpracování, tedy zbytečné zpomalení, což bude u budoucích služeb čím dál více důležitější. Je dobré držet se známého pravidla: "Keep is simple, stupid." a jen routovat, bez NAT či NAPT.Jsem zásadně proti jakémukoliv NATu. Skutečně denně mi NAPT, ale i NAT, přináší soukromě i pracovně jen potíže. Užitek jsem z nich ještě neviděl, neboť chranu stejně musím řešit jinak, než pomocí NAT či NAPT, musím ji řešit firewallem.
-
Vanamond (neregistrovaný) ---.248.broadband13.iol.czna IP V4 není NAT ( tedy pochopitelně Port NAT, tedy NAPT, míněno ve verzi Full Cone NAT - tedy plně hlídaný NAT ) vůbec špatná věc. Jednak mi to přináší výrazně vyšší zabezpečení - byť to není pochopitelně dokonalé, ale nějaké zabezpečení to je. Jednak mi to umožňuje - jak tu padlo - nezávislé adresování vnitřní sítě a to i v rozsahu internetových adres. Pak mi to velmi zjednodušuje práci s více linkami od více providerů. V malém prostředí ( myslím SMB segment, který je ale mejmasivnější - ( síť TU Liberec asi nepředstavuje masovou záležitost, že ? ) mi NAT nijak nepřekáží v publikování běžných prostředků do internetu - běžně ( denní chleba ) tedy mailservery, webservery, vzdálené přístupy a kamery. Nevidím v tom problém, naopak vzhledm k možnosti různého mapování více veřejných adres a různých provázaných vnitřně/vnějších smyček přes ně jdou dělat zajímavé kousky.
Ten Vámi prezentovaný - z mého pohledu extrémně primitivní - pohled na IPV6 totiž předpokládá, že mám jediného providera ( to nemám ani doma - normální člověk, jehož živnost je přímo závislá na konektivitě má i domů nejméně dvě různé linky, běžně na nich visí i doma dohledové kamery a různá ovládání, o malé firmě ani nemluvím ) jediné adresování a jednoduchý model routingu. Ani jedna z uvedených podmínek není splněna ani u mne doma, ani ve většině mnou spravovaných firem.
Další samostatnou kapitolou je obrana proti odposlechu ( jak konkurenčnímu, tak od "Velkého bratra" a určení koncové stanice a osoby. Tady NAT koná a konal a bude konat dokonalé služby.
Obecně na mne celkově - teď nejenom o NATu - působí návrh IPV6 jako megalomanský konstrukt, zaplacený ( Velkým bratrem ) za účelem zjednodušení dohledu provozu. Do tohoto obrazu mi zapadá i - až dementně legrační - snaha o naprostou nekompatibilitu IPV4/IPV6 a návrh omezených přechodů mezi těmito světy pomocí placených můstků u providerů ( zdravím VB u Telefonicy s návrhem výhradně IPV6 linek a routingu přes státně/Telefonické můstky ) -
Vanamond (neregistrovaný) ---.ksystemy.czÓ velký mágu - v principu samozřejmě v ničem, pokud mohu mít své vnitřní adresy naroutované na dané vnější. Ale mně ze studia RFC a reálných dokumentů vyplynulo, že ty vnitřní bych měl dostat od poskytovatele a že se s tím víceméně automaticky počítá ( malé firmy budou "osvobozeny" od nunosti mít své DHCP a DNS - je častá formulace ), což je ta logika, na kterou si stěžuji a co pak zabraňuje spolupráci s multilinkem. Pokud si ale zvolím svůj vnitřní IPV6 rozsah ( tedy návazně rozjedu svoje IPV6 služby DHCP a DNS, protože psát to ručně nebude ono ), nevidím důvod, proč bych na to neměl aplikovat NAT, který mi přinese další vrstvičku zabezpečení ( no, abychom se nehádali o ten pojem, tak tato technologie přidělá potenciálnímu útočníkovi i zvědavci další problém při přístupu zvenku do mé sítě, což je to, co chci.)
Firewall a NAT rozlišuji již řadu let poměrně přesně, ale tyto technologie jsou s reálném použití natolik provázané ( resp bez vzájemného pečlivého nastavení není výsledek dobrý ). ( No, upřímně - na reálných routerech to ani spojovat nejde, nastavovací menu i příkazy jsou striktně odělené, takže i laik velmi rychle chápe. Ale Váš nápad o nerozlišování se mi líbí, je takový "profesorský", hi )
Mimochodem - tento pocit má zjevně i několik vývojářů,takže mám teď v ruce routřík, kde je jeden samostatný firewall ( packet filter ) aplikován rovnou do pravidel NATu a jiný "normální firewall" se nastavuje a aplikuje zvlášť. Díval jsem se na to napřed docela kysele, ale má to své praktické kouzlo, hi . -
Michal (neregistrovaný) 2001:e20:2000:----:----:----:----:----Ja ho taky chci!
Muj aktualni problem jsou VM ve VirtualBoxu na notebooku. S IPv4 je to jednoduche - mam interface vboxnet0 s nejakou RFC1918 adresou a v iptables pravidla ktera vsechen traffic pochazejici z vboxnet0 (tedy od virtualnich stroju) maskaraduje na v4 adresu kterou jsem dostal pres DHCP. Je jedno jestli jsem doma, v praci nebo u klienta a je jedno jestli jedu pres wifi nebo pres drat - NAT mi umoznuje mit VM staticky nakonfigurovane a funkcni kdekoliv.
Jak ale k tem VM mam dostat v6 konektivitu? Samozrejme v domaci siti muzu vyhradit jeden /64 pro vboxnet0, na routeru pridat static route ukazujici na muj notebook a nakonfigurovat notebook jako router pro VM. Ale az budu v cizi siti ktera ma v6 tak jsem nahranej. Tezko budu nekoho presvedcovat aby mi pridelil a naroutoval /64 z jeho prefixu kdyz se na chvili objevim v jeho siti. A napichnout ty VM rovnou na externi interface (tedy udelat "bridge") taky nemuzu protoze moje wifi karta odmita slouzit dvema ruznym MAC adresam.
Takze NAT mi na IPv4 elegantne resi problem pro nejz na IPv6 zatim reseni nemam.
Vsadil bych se ze driv nebo pozdeji se i pres odpor fundamentalistu NAT na IPv6 objevi. A uz aby to bylo ;-) -
vlabra (neregistrovaný) 81.91.213.---No, podle mne to s NATem souvisí s tím, že ve firemní síti nyní používáme privátní IP adresy jejichž síťová část je přidělovaná podle regionů (států a poboček) a ne podle toho, kým jsme připojeni. Takhle víme podle IP, kde ty počítače jsou, a dá se jednoduše filtrovat kdo a kam může. Navíc se můžeme vždy spolehnout že IP adresy 10.* jsou 100% "naše".
-
frr (neregistrovaný) ---.fccps.czNa tu mobilitu bych moc nespoléhal, je to z principu od základu kočkopes (rozumí se potažmo nakonec i z provozního hlediska) a nevěřím, že to bude jednoho dne reálně fungovat (kromě vybraných kombinací dvou konkrétních providerů, kteří se na tom mezi sebou domluví). Vidíte někdo na obzoru "IPv6 mobile roaming pool" na způsob dněšního NICu/NIXu?
-
anonymní 2001:470:9e70:----:----:----:----:----1) opet a dokola, NAT nic nezabezpecni ani neschova. Dobre 50% domacich a firemnich siti vesele posila privatni IPcka ven z te site, protoze nemaji spravne nakonfigurovany firewall.
2) staci si nechat pridelit vlastni /48 prefix (coz se v pripade odroutovane site predpoklada) a nikdo nevi kolik kde tam ceho je. IPcka si jednotliva zarizeni voli nahodne. Vcem je problem ? -
ubx (neregistrovaný) ---.anasoft.ba.cust.gts.skAsi mate velky prebytok casu v praci. ja napriklad tolko casu nemam, aby som kvoli sledovaniu podozrivej prevadzky na sieti este prehladaval tabulky zmien ipciek. ak zistim, ze sa z 500 roznych ipciek posielaju von emaily a bude mi trvat 15 minut, kym zistim, ze ide o to iste PC, len sa mu medzitym 499x zmenila IP adresa, tak si asi nasadim bryle a modre sluchatka....
-
Filip Jirsák (neregistrovaný) ---.jirsak.orgVypořádat se s problémem omezení na 1 MAC je omezení zrušit. NAT není řešení tohoto problému, NAT je vytvoření dalšího problému – uživatel má problém, protože jeho zařízení nejsou dostupná z internetu, a poskytovatel má problém, protože jeho omezení nefunguje. Navíc IPv6 tenhle problém asi celkem elegantně vyřeší, protože počet poskytnutých IPv6 adres bude určitě pěkné marketingové lákadlo, takže poskytnout koncovému uživateli jen jednu nepůjde. A ISP by pak těžko obhajoval, proč vám přidělil tisíce IP adres, ale smíte připojit jen jedno zařízení.
-
davro (neregistrovaný) 2001:718:801:----:----:----:----:----víte, já třeba na stavbu zdi zavolám toho zmiňovaného zedníka, protože učit se, jak míchat maltu a udělat rovnou zeď není úplně triviální. Taky mně to stojí peníze. A to ani nehovořím o ztrátě soukromí, když mi ten zedník bude courat po baráku.
No a pokud tam teda dám nějakou inteligentní krabičku, tak nevím, proč by ke mně měl běhat provider instalovat přípojku pro síťovou tiskárnu. To si asi s něčím pletete. -
Jenda (neregistrovaný) 2001:470:9b01:----:----:----:----:----„Další samostatnou kapitolou je obrana proti odposlechu ( jak konkurenčnímu, tak od "Velkého bratra" a určení koncové stanice a osoby. Tady NAT koná a konal a bude konat dokonalé služby. “
Tak to tedy nechápu, jak může NAT chránit proti odposlechu. Můžete to rozvést?
Jinak určení koncové stanice a osoby podle IP adresy - privacy extension.
„Do tohoto obrazu mi zapadá i - až dementně legrační - snaha o naprostou nekompatibilitu IPV4/IPV6“
Zvláštní je, že jsem ještě nikde nečetl žádný návrh, jak to udělat kompatibilně.
„zdravím VB u Telefonicy s návrhem výhradně IPV6 linek a routingu přes státně/Telefonické můstky“
ISP může směrovat přes Ministerstvo už teď, je úplně jedno, jestli jde o IPv4 nebo IPv6. -
Filip Jirsák (neregistrovaný) 78.108.97.---
Jinak ten uvažovaný NAT nemusí být 1:N, ale 1:1 tj. každá jedna "interní" adresa se může mapovat na samostatnou "externí".
Ano, to je myslím dobrý začátek. Pak se jednoho dne někdo zeptá: „Proč tam vlastně máme ten NAT? Není to k ničemu dobré a jenom jsou s tím problémy.“ A problém s NATem bude vyřešen… -
bobiiiiik (neregistrovaný) ---.net.upcbroadband.czA je takový problém nechat si od ISP naroutovat do sítě subnet veřejných adres a odchozí provoz do netu z privátní sítě NATovat? Nahodil bych veřejnou tam kde je potřeba a provoz mezi veřejnými a privátními IP se jednoduše routuje. Ale odchozí traffic z privátních subnetů do netu se proNATuje.
Jsem si vědom toho, že se tím eliminuje jistá forma "zabezpečení" privátních subnetů řadových zaměstnanců, ale výhody NATu mi přijdou naprosto zřejmé. Jako příklad uvedu povolení přístupu na zařízení, nebo třeba k určitým službám pouze z určitých IP. Pracuji pro jednoho menšího operátora (provoz do NIXu kolem 500Mbps), takže se s tímhle potýkám velmi často. Tato forma zabezpečení je velmi účinná a když si představím, ža bych měl povolit přístup do našeho dohledového systému z několika stovek IP (z různých subnetů), tak mi běhá mráz po zádech. -
Filip Jirsák (neregistrovaný) ---.jirsak.orgZ pohledu ISP a IP adres je ovšem úplně jedno, zda je tam switch nebo router a jaká je topologie vnitřní sítě. ISP prostě přiděluje IP adresy z daného rozsahu, a o víc se nestará. Pokud to zákazníkovi vyhovuje, nic nemusí řešit, pokud chce řešit nějakou vnitřní strukturu sítě, prostě se vykašle na adresy přidělované ISP a přidělený rozsah si namapuje podle svého uvážení.
-
vlabra (neregistrovaný) 193.85.226.---Ano, firewallem to jde vyřešit. Hlavní výhoda NATu totiž je, že odděluje topologii vnitřní sítě od té vnější.
Problém s chybějícím NATem totiž začíná v době, kdy máte po celém světě stovky poboček (ono jich tačí i pár jednotek po republice) propojených přes VPN a každá je připojená přes providera s jinou veřejnou částí IP. S IPv4 a NATem to je jednoduché. Celá korporátní síť má lokální adresy třeba 10.* a routery na pobočkách pak ví, že všechno na 10.* mají posílat přes VPN do firemní sítě a všechno ostatní přes NAT (eventuelně proxy) do internetu. Jak se bude tohle řešit bez NATu a možnosti mít uvnitř vlastní soukromé IP? To si budou muset všechny firemní routery vyměňovat všechny adresy všechy firemních poskytovatelů aby věděli co je vnitřní a co vnější prostředí? -
Má odpověď na otázku vhodnosti existence IPv6 NAT je ANO.
Jde totiž o další nástroj, jehož existence rozšiřuje možnosti implementace pro konkrétní situaci. Vhodnost jeho nasazení a kombinace s dalšími dostupnými technologiemi ponechme na posouzení tomu, kdo připojení realizuje.
Osobně očekávám, že odpovědi budou pro různá prostředí diametrálně odlišné. V akademické sféře zřejmě často převáží požadavek transparentnosti a otevřenosti komunikace s každým počítačem, v komerční sféře někdy spíše striktní pravidlo "je zakázáno vše co není výslovně povoleno". Domácí prostředí bude možná sporem i mezi členy domácnosti :-) -
Filip Jirsák (neregistrovaný) ---.jirsak.orgTakže abych to shrnul – když máte dva poskytovatele, od obou rozsah IPv6 adres, žádný NAT a ve vnitřní síti používáte rovnou ty přidělené rozsahy veřejných adres, není s tím žádný problém a je to to nejjednodušší použití. Ale je pravda, že se to dá NATem komplikovat.
-
anonymní 2001:470:9e70:----:----:----:----:----jj, to je tak, kdyz nekdo pise o necem, o cem vubec nevi jak to funguje.
a) NAT neni zabezpeceni, nema snim nic spolecneho, to zajistuje firewall
b) je uplne jedno jestli je vnitrni rozsah verejny nebo ne, pokud neni spravne nastaven firewall, sit lze napadnout
c) IPv6 primo nativne podporuje vice ruznych rozsahu v jedne siti, dokonce umi prechazet ze site do site bez toho, aby se menila cilova IP zarizeni - obe strany mohou neustale udrzovat spojeni -
Bohužel si v této diskusi soustavně pletete pojem a průjem. Full cone NAT není žádný "plně hlídaný NAT" (ať už to znamená cokoli), full cone je právě ta nejméně restriktivní varianta NATu, která je propustná oběma směry (obvykle tedy jedna vnitřní adresa na jednu vnější, ale z pohledu definice v RFC 3489 je jedno, i kdyby se jedna vnitřní rozNATovávala na vícero vnějších). Podmínkou, aby NAT byl full cone (a ne restricted) je totiž právě možnost zahájit spojení zvenčí (což vyžaduje jednoznačné mapování). Tohle je tedy právě ten typ NATu, který by mohl mít opodstatnění pro ten váš multilink (mapovat vnitřní síť 1:1 na vnější prefix od příslušného providera).
Jakým způsobem podle vás NAT brání odposlechu? Odposlechu může bránit akorát tak dobře provedené end-to-end šifrování, NAT rozhodně ne. Budete-li posílat maily v cleartextu, je úplně jedno, jaká je na nich IP odesílatele...
Určení koncové stanice? Zde vám NAT nepomůže o nic více, než zmiňované Privacy Extensions. Navíc pokud dneska NATujete (jako ISP, ne pro svoji osobní potřebu), stejně tady máme ZoEK, takže dohledat příslušnou stanici nebude problém.
Ke konspiračním teoriím se vyjadřovat nebudu (už jste slyšel, že Apollo byl podvod?), ale "návrh omezených přechodů mezi těmito světy pomocí placených můstků u providerů" je, s prominutím, úplná blbost. I kdyby v současnosti neexistovaly spousty veřejných 6to4 nebo Teredo relayí, kdo Vám brání rozjet si vlastní? -
anonymní 2001:470:9e70:----:----:----:----:----A jaky je rozdil v tom, kdyz reknu ze 192.168.1 je cr a .2 us, nebo ze 123:123:456:: je cr a 123:123:789:: us ??? Navic neni problem si nechat pridelit vlastni (=nikoli od ISP) rozsah, coz bude u IPv6 daleko mensi problem nez u IPv4 a providerum pouze oznamit, ze nas prefix je XYZ, nech jej naroutuji ?
-
davro (neregistrovaný) 2001:718:801:----:----:----:----:----Drobný problém je v tom, že tím směšujete dvě věci dohromady. NAT začínal jako technologie výrazně starší, když pouze překládal adresy 1:1, např. z důvodů přechodu uživatele k jinému poskytovateli (a uživatel současně neměl PI adresy) a nechtělo se mu přečíslovávat všechny počítače v síti.
PAT se objevilo později a jedná se imho o úplně jinou technologii. Při klasickém NAT není potřeba udržovat žádné tabulky s přemapovanými porty, protože NAT byl staticky určený (plus případně connection tracking).
Myslím že z tohoto důvodu není vhodné tyto dva termity slučovat do jednoho. -
anonymní 2001:470:9e70:----:----:----:----:----Nezkoumal sem to nijak detailne, ale pokud sem to dobre pochopil, tak staci aby to podporoval vas domaci router a bude vam to fungovat. Nic vic netreba. Zarizeni se jednoduse pripoji do libovolne dostupne site a ohlasi svemu domacimu routeru kde zrovna je a jakou ma lokalni IP.
Tudiz si to muze(nechat) nakonfigurovat kazdy.
Dovedu si to predstavit napr pro mobilni VoIP - jednoduse se pripojite do libovolne site a aniz by bylo treba nejakeho poskytovatele VoIP, tak se vam kdokoli dovola - napr s pomoci DNS jmena pristroje. On ten poskytovatel VoIP stejne nedela nic jineho, nez ze praskne vasi aktualni IP, pripadne vam pomuze projit pres ten podelanej NAT => platite za "sluzby", ktere nanic nepotrebujete (pomijim premosteni do stavajicich siti, ktere ale IMO celkem v dohledne dobe zaniknou na ukor IP siti).
-
- Backend Engineer (Java) pro FinTech Scale-up
- Správce počítačové sítě a informačního systému
- C ++ System Software Engineer
- Application Support Specialist for ATMS (Prague/Vienna)
- INTEGRAČNÍ VÝVOJÁŘ JUNIOR – DLOUHODOBÁ BRIGÁDA
- Frontend developer
-
- NLP koučink III. - Dosahování cílů, které baví
- Co potřebuje HR specialista vědět o projektovém řízení?
- Jak si vytvořit a udržet produktivní návyky
- Úvod do webové analytiky
- Google Kalendář - organizace času a plánování
- Todoist - zorganizujte si život
-
- Future Chief Marketing Officer
- Backend Engineer (Java) pro FinTech Scale-up
- JAVA DEVOPS
- INTEGRAČNÍ VÝVOJÁŘ JUNIOR – DLOUHODOBÁ BRIGÁDA
- Backend developer
- Web developer
-
- Úprava moderního dopisu
- Matematické funkce v Excel
- Jak si vytvořit a udržet produktivní návyky
- Úvod do webové analytiky
- Google Kalendář - organizace času a plánování
- Todoist - zorganizujte si život
