Vlákno názorů k článku NAT -- brzda rozvoje Internetu? od Václav Kořánek - Návrh pro autora. :-) Souhlasím s tím, že...

Návrh pro autora. :-)

Souhlasím s tím, že by NAT být nemusel, ale pak máme problém s počtem IP. :-(

Chtělo by to informace jak daleko je to s jeho prosazením ve světě :-) .........

www.6bone.net ;) IPv6 se nastesti v posledni dobe zacina docela rozvijet. Pokud vim, tak 3G site maji pouzivani IPv6 primo ve specifikaci, proto prave 3G operatori docela tlaci na jeho rozsireni. U nas zatim moc lidi funkcni IPv6 konektivitu nema. A co se tyce sveta, tak mam spis pocit, ze zatim vetsinu provozu generuje IRC ;)
JV

Bohuzel s Vami nesouhlasim, pokud bychom nemeli NAT, IPv6 by tu davno bylo naprosto samozrejme a problem by byl vyresen (vcetne mobilnich IP!!!), takto porad musime hledat berlicky, musime porad pouzivat nejake maskarady, brany, port-forwarding apod. - toto stejne zadne bezpecnosti neprispiva a co vice, mnoho problemu pridava, ja bych podotkl, ze pomerne velkym problemem je prave NAT pri VPN - zalezi samozrejme v ktere casti, protoze konkretne u IP-Secu (AH) je sifrovana a zpetne kontrolovana i hlavicka...
Kdyby se misto omezenych berlicek s velmi kratkodobym dopadem radeji resily skutecne problemy a implementace staly za to, pak dneska by bylo IPv6 a IPsec naprosto normalni a nemusely by se veci, ktere maji byt na transportni urovni (zjednodusim-li vyrazne ISO/OSI) neustale dokola implementovat na urovni aplikacni - konkretni priklad - kdyby byla poradna podpora a vyuziti IPsecu, pak tu neni potreba PGP, SSL, SSH, APOP a jine proprietalni protokoly, protoze tyto veci nepatri na aplikacni, ale transportni uroven... - TCP take automaticky povazujete za protokol, ktery umi A-Z a vse ostatni je zalezitosti transportniho (IP) protokolu... a tim padem takove SSH muzeme degradovat na obycejny telnet, protoze rozhodne neni veci aplikace jaky transportni protokol bude vyuzit a zda-li to budu tunelovat pres SNA, IPX ci jine site... myslim, ze tyto otazky, byt nesouvisi primo s nadpisem clanku velice uzce souvisi s touto problematikou.

Problem s pocem adres se z velke casti povedlo poresit pres classless delegation :-)

Navic je proste pravda, ze zavedeni NATu uspalo na dlouhou dobu IPv6 a nebyt tedy techto nahrazkovych reseni, nemuseli si 3G operatori lamat hlavy, co s tim obsahem, co je na sitich v IPv4 ...

classless by nedostatek neresil.

Podle mne je dnes jiz obrovske mnozstvi stanic na privatnich adresach a kdyby nebyl NAT (neverim ze IPv6 by byl o tolik drive nasazovan, viz stale trvajici problemy s implementacich), meli bychom spoustu problemu.

Clanek je sice IMHO pomerne dobry, nicmene se zaverem nesouhlasim.

NAT je totiz zpravidla implementovan az na prostredcich koncoveho uzivatele (firmy) a ta ma tedy ve vlastnich rukou nastroje na jeho spravu (ISP kteri nedaji klientum zadnou IP verejnou adresu a sami delaji MASQ se snad moc nevyskytuji). Pokud opravdu potrebuje verejne IP adr., muze je ziskat (pokud ma neschopneho providera, musi holt zvolit jineho). Zakaznici maji tedy moznost volby.

NAT je bezesporu _velmi_ uzitecny z hlediska bezpecnosti. Je sice pravda, ze dobre nastaveny firewall muze plnit tutez funkci, jenze spousta firewallu neni nastavena zrovna dobre a pri pouziti NATu se alespon nikdo z vnejsku nedostane na stanice ve vnitrni siti (bez prolomeni firewallu) tj. nemuze zneuzit spatne zabezpeceni kterehokoliv pocitace z interni site.To vyznamne omezuje riziko utoku ze strany :script kiddies: a podobnych :uchylu: :-].

Co se tyka omezeni aplikacnich protokolu, vetsina problemy nema. Samozrejme je to horsi s peer-to-peer aplikacemi, nicmene tech neni moc a pokud je nekdo potrebuje, ma realnou sanci ziskat verejne IP adresy.

Globalne je tedy NAT velmi uzitecnym nastrojem a myslim, ze i v budocnosti (da-li BUH, vendori a dalsi :) IPv6 se budou podobne mechanismy pouzivat.

Sayonara !