The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Для ядра Linux представлена реализация IPv6 NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от opennews (ok) on 26-Ноя-11, 20:20 
Патрик МакХарди (Patrick McHardy) представил (http://marc.info/?l=linux-netdev&m=132185445023922) в списке рассылке linux-netdev первою тестовую реализацию IPv6 NAT для Netfilter (http://www.netfilter.org), подсистемы для фильтрации и преобразования пакетов в ядре Linux. На данном этапе разработки код еще не готов к повседневному применению и содержит проблемы с асинхронной передачей пакетов и их окончательной сборкой. Тем не менее, в скором времени IPv6 NAT планируется довести до полностью работоспособного состояния и направить запрос на включение в следующий релиз ядра Linux.


IPv6 NAT позволяет осуществить подмену адресной информации в пакетах IPv6 в соответствии с заданными правилами трансляции, примерно так как это делается в классическом трансляторе адресов для IPv4. Для реализации поддержки IPv6 NAT, существующий в ядре код netfilter был переработан с целью разделения модуля NAT на два независимых компонента, один из которых включает в себя ядро подсистемы NAT, а второй реали...

URL: http://marc.info/?l=linux-netdev&m=132185445023922
Новость: http://www.opennet.dev/opennews/art.shtml?num=32395

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Для ядра Linux представлена реализация IPv6 NAT"  +12 +/
Сообщение от Xasd (ok) on 26-Ноя-11, 20:24 
> Напомним, что сама идея NAT заключалась в том, чтобы обойти проблему нехватки IPv4-адресов и не соответствует концепции IPv6 как сети, в которой каждое устройство, подключенное к интернет, должно иметь свой собственный выделенный IPv6-адрес.

но если вдруг наши "замечательные" интернет-провайдера задумают при подключении абонента -- не выдывать более чем один IPv6-адрес -- то добро пожаловать опять в этот каменный век NAT-технологий :-/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Для ядра Linux представлена реализация IPv6 NAT"  –8 +/
Сообщение от Gra on 26-Ноя-11, 21:06 
NAT скорее понятие безопасности, причем тут каменный век.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Для ядра Linux представлена реализация IPv6 NAT"  +8 +/
Сообщение от ololo on 26-Ноя-11, 21:31 
какую безопасность подразумевает nat, если не секрет?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Для ядра Linux представлена реализация IPv6 NAT"  –4 +/
Сообщение от xoomer (ok) on 26-Ноя-11, 21:49 
Установка mission-critical-машины за NAT-ом, не?))
http://ru.wikipedia.org/wiki/DMZ_%28%D0%BA�...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Для ядра Linux представлена реализация IPv6 NAT"  +4 +/
Сообщение от Аноним (??) on 26-Ноя-11, 21:54 
не!
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

65. "Для ядра Linux представлена реализация IPv6 NAT"  +3 +/
Сообщение от gaga on 27-Ноя-11, 12:25 
нет
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

68. "Для ядра Linux представлена реализация IPv6 NAT"  +6 +/
Сообщение от Аноним (??) on 27-Ноя-11, 13:18 
Решать это NAT'ом - все равно что загораживать дорогу грузовиками вместо противотанковых ежей. Разница в том, что в ipv4 грузовики бесплатные.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

69. "Для ядра Linux представлена реализация IPv6 NAT"  +6 +/
Сообщение от Аноним (??) on 27-Ноя-11, 13:19 
Пардон, то есть не бесплатные, а уже "включены в стоимость".
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

208. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от Hety (??) on 05-Дек-11, 07:26 
В принципе иногда огородить хомяков натом проще. Способ так себе, но работает. Хоть машины голой жопой в инет не торчат.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

90. "Для ядра Linux представлена реализация IPv6 NAT"  –9 +/
Сообщение от XoRe (ok) on 27-Ноя-11, 19:28 
> какую безопасность подразумевает nat, если не секрет?

Ну смотрите.
Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.
В итоге список портов одной windows XP получился такой:
135-139:TCP - netbios
445:TCP - SYSTEM
1025:TCP - SVCHOST.EXE
1028:TCP - ALG.exe - Служба шлюза уровня приложения
5000:TCP - UPnP - UniversalPlugandPlay, безконфигурационное подключение сетевых девайсов.
135-139:UDP - netbios
445:UDP - SYSTEM
500:UDP - LSASS.EXE - Службы IPSEC
1027:UDP - SVCHOST.EXE - (фантом живет пару минут после старта)
1900:UDP - SVCHOST.EXE - Служба обнаружения SSDP
4500:UDP - LSASS.EXE - Службы IPSEC

Это порты одной только windows.
А теперь 3 утверждения насчет windows:
1. Фиг его знает, какие _ещё_ порты открывают службы windows XP.
2. Фиг его знает, как сильно поменялся набор портов windows Vista/7.
3. Фиг его знает, какие порты будут открыты в windows 8.

Плюс есть службы, которые запускаются на время.
И засечь какие порты они слушают - нужно посидеть постараться.

Плюс, могут быть службы на рандомных портах.
Ведь RPC-вызовы как раз и используют случайные номера портов.
А windows очень любит RPC.

Плюс, есть ещё просто программы, которые открывают порты.
Особенно "радуют" программы, предустановленные производителем компов/ноутбуков.
Помнится, порадовал набор sony vaio.
Точно не помню, но было что-то типа такого: сервер справки, сервер http для сервера справки, ещё один сервер для сервера справки и т.д.)

Плюс, есть не только windows, но и mac os и линуксы разные.
Если делать фаерволл не только для себя, а для всех, нужно учесть популярные *nix службы.
cups, avahi и т.д.
Плюс порты, которые открывает mac os.

А ещё...)
А ещё стоит упомянуть 100500 устройств типа телефонов, точек доступа, телевизоров, wifi клавиатур и любых других устройств, подключаемых по сети.
Какие там могут быть открыты порты - вообще никаких гарантий.
Что взбредет разработчикам прошивок, то и откроют.
Про качество прошивок и про дефолтные пароли тоже не забываем.

Но и это ещё не все:)
Ибо всегда может появиться какая-нибудь новая хрень, с открытыми портами и дырявыми паролями.
Какой-нибудь чудо девайс с открытым ssh портом и известным дефолтным паролем на root.

Поэтому список портов и служб, которые надо закрывать... это большой список)
И этот список постоянно меняется.
Его нужно поддерживать в актуальном состоянии.

А ещё надо - не закрыть нужные порты!
Например, у одного юзера открыта дырявая веб-камера без пароля - надо закрыть.
А у другого вполне себе не дырявая веб-камера, которой он пользуется через интернет - надо открыть.
Если вы - провайдер, который заикается о безопасности для своих пользователей, то у вас появляется очень много работы)

Поэтому, ну нах.
Лучше закрыть домашнюю сеть NAT'ом.
А нужные порты пробрасывать вручную или через upnp.
upnp, кстати, поддерживают даже роутеры 2-3 летней давности.

Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

92. "Для ядра Linux представлена реализация IPv6 NAT"  +9 +/
Сообщение от ptr (??) on 27-Ноя-11, 20:09 
> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)

А не приходила в голову мысль, что вместо того чтобы закрывать все ненужные порты можно открыть только нужные? И сразу жизнь наладится и упроститься...

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

104. "Для ядра Linux представлена реализация IPv6 NAT"  –6 +/
Сообщение от XoRe (ok) on 28-Ноя-11, 01:51 
>> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)
> А не приходила в голову мысль, что вместо того чтобы закрывать все
> ненужные порты можно открыть только нужные? И сразу жизнь наладится и
> упроститься...

Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.
Тот же skype - надо ему пробросить порт, посылает запрос на роутер.
uTorrent тоже это умеет.
Вместо NAT можно поставить фаерволл (настроить на компе или железку).
Но технологии, аналогичной upnp (когда устройство само просит разрешить доступ) - нету.
Можно, конечно, ручками открывать - но это уже другой уровень геммороя.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

107. "Для ядра Linux представлена реализация IPv6 NAT"  +4 +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:14 
IGD - довольно уродливый костыль, возникший как попытка решения кучи проблем, созданных натом. И попытки гордиться этим убожеством выглядят весьма нелепо.
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

110. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:18 
И skype, и utorrent, и  все программы которые умеют upnp, умеют (или очень быстро научатся) точно также и добавлять разрешающие правила в виндовый фаервол, что почти устраняет данную проблему
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

112. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:20 
(не договорил)

...почти устраняет данную проблему на винде. Почти - потому что есть куча сторонних фаерволов, которые никто не стандартизовывал. Но это полностью их проблемы. На никсах такой проблемы нет в принципе.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

114. "Для ядра Linux представлена реализация IPv6 NAT"  +3 +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:26 
> И skype, и utorrent, и  все программы которые умеют upnp,

1) У upnp своих проблем с безопасностью хватает
2) Совместимость не всегда 100%, особенно у китайских роутеров и индусского скайпа.
3) Это усложняет софт и требует таскать больше кода, больше багов, больше дыр.

Можно сперва создать себе проблема а потом героически их забороть. Но зачем?

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

162. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 16:37 
Перечитайте пост, я же с вами не спорю, наоборот хотел сказать, что отсутствие аналога upnp в по умолчанию закрытом ipv6-фаерволе - это не проблема, даже в массовых масштабах.
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

111. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:18 
> Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей  проброс порта.

А покажи-ка мне реализацию IGD для IPv6, дружок.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

115. "Для ядра Linux представлена реализация IPv6 NAT"  +3 +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:36 
> Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.

Ага, например, джаваскрипт из браузера просит пробросить ему снаружи порты самбы...

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

138. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от Аноним (??) on 28-Ноя-11, 13:40 
> Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.

Стоп, так вы об upnp или о безопасности? Они же взаимно исключают друг друга.
Если вы включили на своем роутере управляемый проброс портов средствами upnp - значит, вы фактически выставили всю свою локалку голой задницей в интернет.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

171. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 20:52 
> значит, вы фактически выставили всю свою локалку голой задницей в интернет.

А это называется декоративная безопасность. Вроде выглядит как безопасность а по факту - вот так вот. Некоторые настолько увлекаются ИБД что умудряются надуть даже самих себя.


Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

93. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от Аноним (??) on 27-Ноя-11, 20:32 
> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)

Есть. Называется "брандмауэр" (aka firewall).

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

102. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 01:33 
> Есть. Называется "брандмауэр" (aka firewall).

Админы локалхостов (а именно они здесь с умным видом рассуждают о безопасном nat) о такой штуке не знают.
Впрочем, особо умные таки знают, что она есть, но изучать боятся.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

105. "Для ядра Linux представлена реализация IPv6 NAT"  –5 +/
Сообщение от XoRe (ok) on 28-Ноя-11, 02:03 
>> Есть. Называется "брандмауэр" (aka firewall).
> Админы локалхостов (а именно они здесь с умным видом рассуждают о безопасном
> nat) о такой штуке не знают.
> Впрочем, особо умные таки знают, что она есть, но изучать боятся.

Извините, вы сети каких размеров админили?)

Вот придет к вам друг с ноутбуком.
Подключится к вашему wifi.
Получит ip по DHCP.
Выйдет в интернет.
Захочет пообщаться через skype или sip (особенно h.323, которому открытый порт подавай).
Если у вас роутер с NAT и upnp, то voip программа сама себе нужный порт пробросит.
А если у вас роутер без NAT, но с фаерволлом - как вы это будете делать?
Сначала посмотрите, какой ip получил ноут, потом посмотрите, какой порт нужно открыть?)

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

108. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:15 
>[оверквотинг удален]
> Вот придет к вам друг с ноутбуком.
> Подключится к вашему wifi.
> Получит ip по DHCP.
> Выйдет в интернет.
> Захочет пообщаться через skype или sip (особенно h.323, которому открытый порт подавай).
> Если у вас роутер с NAT и upnp, то voip программа сама
> себе нужный порт пробросит.
> А если у вас роутер без NAT, но с фаерволлом - как
> вы это будете делать?
> Сначала посмотрите, какой ip получил ноут, потом посмотрите, какой порт нужно открыть?)

У меня шлюз на линуксе, который, внезапно, поддерживает обратные соединения безо всяких костылей.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

128. "Для ядра Linux представлена реализация IPv6 NAT"  –2 +/
Сообщение от фклфт (ok) on 28-Ноя-11, 06:30 
> У меня шлюз на линуксе, который, внезапно, поддерживает обратные соединения безо всяких
> костылей.

Вот благодаря таким как вы самоуверенным в безопасности NAT и существует очень серьезная проблемма безопасности
Я понимаю если бы вы сказали IPNAT или NGNAT но та реализация как просто стандартный NAT ето самая что ни на есть дыра


Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

139. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 13:41 
> Вот благодаря таким как вы самоуверенным в безопасности NAT и существует очень
> серьезная проблемма безопасности
> Я понимаю если бы вы сказали IPNAT или NGNAT но та реализация
> как просто стандартный NAT ето самая что ни на есть дыра

Во-первых, я о безопасности NAT не говорил, во-вторых, ipnat в линуксе выкинули еще во времена 2.3 :)

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

178. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от www2 (??) on 29-Ноя-11, 08:10 
А что вам не нравится в стандартном NAT в Linux? И какие нестандартные NAT вы знаете? В Linux есть ровно 3 вида NAT - SNAT, DNAT и MASQUERADE (суть которого - всё тот же SNAT). И есть модули для него и для фаерволла, которые анализируют трафик сложных протоколов и пускают ответный трафик. У меня на шлюзе подгружены 4 таких модуля:

nf_conntrack_ftp
nf_nat_ftp
nf_conntrack_pptp
nf_nat_pptp

Дыр в этой реализации NAT, да ещё и прикрытой фаерволлом закрытым по умолчанию, я не знаю.

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

186. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от Аноним (??) on 29-Ноя-11, 13:14 
> А что вам не нравится в стандартном NAT в Linux?

Судя по тому, что он считает единственно верными ipnat и ng_nat (местечковые реализации NAT во фре, практически не поддерживают протоколы с обратными соединениями), мы имеем дело с очередным носителем света истины, не знакомым с матчастью.

Ответить | Правка | ^ к родителю #178 | Наверх | Cообщить модератору

113. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:22 
> Извините, вы сети каких размеров админили?)

Не вижу смысла отвечать на этот вопрос человеку, который путает IGD с UPnP.

> А если у вас роутер без NAT, но с фаерволлом - как
> вы это будете делать?
> Сначала посмотрите, какой ip получил ноут, потом посмотрите, какой порт нужно открыть?)

Не знаю, как у вас на виндах, а у нас в линуксе фаервол нормально отрабатывает такие протоколы.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

106. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от XoRe (ok) on 28-Ноя-11, 02:06 
>> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)
> Есть. Называется "брандмауэр" (aka firewall).

Может вы прочтете мое сообщение с начала и видите строчку "Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом." ?
А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

109. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 02:17 
> А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)

Закрыть на шлюзе доступ к хосту его подсети из внешних сетей - вполне тривиальная задача. Жаль, что вы этого не понимаете.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

214. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от XoRe (ok) on 09-Дек-11, 20:28 
>> А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)
> Закрыть на шлюзе доступ к хосту его подсети из внешних сетей -
> вполне тривиальная задача. Жаль, что вы этого не понимаете.

Я говорю про брандмауер на клиентской машине.
Жаль, что вы этого не поняли

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

116. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от йцукенг12 (ok) on 28-Ноя-11, 03:04 
>> какую безопасность подразумевает nat, если не секрет?
> Ну смотрите.

Смотрим.

> Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.

Делаем первые выводы:
1) Бсдельник как обычно равняет все по винде, потому что его ось на десктопе просто швах.
2) Файрволом вы тоже пользоваться не умеете. Иначе б знали что нормальный сценарий это "все убить а потом разрешить нужное".
3) То что в винде по дефолту - жалкое подобие файрвола, чисто для галочки. И даже в 2008 R2 их "advanced" файрвол снабжен рядом таких кретинизмов что нормальным фаерам и не снились. Это как блок питания в дешевом корпусе - вроде бы есть, но при попытке отожрать с него написанные на нем якобы 300 ваттов он просто умирает. Или как китайские вентиляторы для корпуса, которые вроде на настоящий вентиль и похожи, но в отличие от -  умудряются сдохнуть за 2 недели работы.
4) Некоторые протоколы в винде, например, RPC в винде крайне недружествены натам и фаерам. Виндозный файер содержит спецчит, но в остальных его может и не быть. Впрочем провы все-равно порезали все виндозное г-но у себя на железках. Их вирусы заканали и они в массе своей просто закрыли все опасные виндозные порты.

> В итоге список портов одной windows XP получился такой:
> 135-139:TCP - netbios

(обычно удавлено провами, ибо решето)

> 445:TCP - SYSTEM

(обычно удавлено провами, ибо решето)

> 1025:TCP - SVCHOST.EXE

Динамическое назначение исходящих портов или RPC.

> 1028:TCP - ALG.exe - Служба шлюза уровня приложения

По идее это кусок файрвола и есть. Зачем ему 1028 - ??

> 5000:TCP - UPnP - UniversalPlugandPlay, безконфигурационное подключение сетевых девайсов.

Ага. Забавный сервис, в плане абуза не по назначению. Позволяет редиректить порты без аутентификации :)

> 135-139:UDP - netbios

(обычно удавлено провами, ибо решето)

> 445:UDP - SYSTEM

(обычно удавлено провами, ибо решето)

> 500:UDP - LSASS.EXE - Службы IPSEC

???

> 1027:UDP - SVCHOST.EXE - (фантом живет пару минут после старта)

Динамически назначаемый порт для исходящих датаграм?

> 1900:UDP - SVCHOST.EXE - Служба обнаружения SSDP

Бюро Медвежьих Услуг :)

> 4500:UDP - LSASS.EXE - Службы IPSEC
> Это порты одной только windows.

Ну так скажите спасибо МС за то что они превратили систему в бюро медвежьих услуг. Настолко ядрено что нетбиос например удавлен всеми провами которых достали постоянные вирусы через маздайные шары.

> А теперь 3 утверждения насчет windows:
> 1. Фиг его знает, какие _ещё_ порты открывают службы windows XP.
> 2. Фиг его знает, как сильно поменялся набор портов windows Vista/7.
> 3. Фиг его знает, какие порты будут открыты в windows 8.

Сразу видно профессионального сисадмина, который понятия не имеет что творится у него в системе. С такими господами вы легко повторите участь LSE и DigiNotar. Вперед к новым достижениям, господа.

> Плюс есть службы, которые запускаются на время.
> И засечь какие порты они слушают - нужно посидеть постараться.

А ничего что вы настолько некомпетентны что вообще не понимаете как настраивать файрвол? Стандартная политика: DENY ALL, ALLOW (what really needed). При таком подходе вам будет наплевать сколько там служб. Если они вам не нужны - вреда от них не будет. Так на фаере осядет и нежелательная активность всех вирей/троянов и самой ОС, которая недалеко от них ушла с ее кучей медвежьих услуг и дыр.

> Плюс, могут быть службы на рандомных портах.
> Ведь RPC-вызовы как раз и используют случайные номера портов.
> А windows очень любит RPC.

А еще она очень любит троянов. Нормально настроеный фаер может в принципе зарубить и исходящий трафф большинства троянов, сохранив вам банковские реквизиты, пароли и что там у вас еще. Но недо-администраторы о такой фигне не знают. Зато аватар себе понавесили, угумс.

> Плюс, есть ещё просто программы, которые открывают порты.
> Особенно "радуют" программы, предустановленные производителем компов/ноутбуков.
> Помнится, порадовал набор sony vaio.

1) Вы не умеете пользоваться файрволом.
2) Вы не контролируете свою систему.

Чего удивляться то тому что это помойка, независимо от наличия ната? Вам достаточно подцепиться к открытой точке доступа таким ноутом и ... и от интранета в который вы попали, где водится неизвестно что вас никакой нат защищать ВНЕЗАПНО не будет. И все что там есть - обрушится на вашу гранд-помойку.

> Точно не помню, но было что-то типа такого: сервер справки, сервер http
> для сервера справки, ещё один сервер для сервера справки и т.д.)
> Плюс, есть не только windows, но и mac os и линуксы разные.

Какое красочное оправдание разведенной вами помойки и кривого администрирования.

> Если делать фаерволл не только для себя, а для всех, нужно учесть
> популярные *nix службы.
> cups, avahi и т.д. Плюс порты, которые открывает mac os.

Если делать файрвол то надо тупо перекрыть в WAN и из WAN все что не нужно. Зачем вам вывешивать CUPS и Avahi в WAN? Хотя конечно позволить всему миру печатать на своем принтере - достаточно оригинально :)

> А ещё...)
> А ещё стоит упомянуть 100500 устройств типа телефонов, точек доступа, телевизоров, wifi
> клавиатур и любых других устройств, подключаемых по сети.
> Какие там могут быть открыты порты - вообще никаких гарантий.

Так и скажите: вы не умеете пользоваться файрволами. Все с вами понятно.

> Что взбредет разработчикам прошивок, то и откроют.
> Про качество прошивок и про дефолтные пароли тоже не забываем.
> Но и это ещё не все:)
> Ибо всегда может появиться какая-нибудь новая хрень, с открытыми портами и дырявыми паролями.
> Какой-нибудь чудо девайс с открытым ssh портом и известным дефолтным паролем на root.

По этому поводу могу посоветовать:
1) Осознать уже наконец как надо настраивать файрволы.
2) Заменить прошивку на сетевом девайсе-роутере выступающем гейтвеем на что-то типа openwrt, авторы которого не такие адские лабухи как кетайцы из длинков, тплинков и прочих асусов, которые даже параметры CONNTRACK прописать нормально не могут. Так что после получаса работы торента девайс клинит, т.к. полностью кончилась память и девайс приходит в себя только после пинка вачдогом.

> Поэтому список портов и служб, которые надо закрывать... это большой список)
> И этот список постоянно меняется. Его нужно поддерживать в актуальном состоянии.

Поэтому надо научиться уже пользоваться файрволами на уровне человека, а не обезьяны. И проблема отпадет как класс.

> А ещё надо - не закрыть нужные порты!
> Например, у одного юзера открыта дырявая веб-камера без пароля - надо закрыть.

Ужас. Вы вообще системный админ? Сочувствую конторе где такой нерюх работает - безопасность сети оной наверняка на уровне плинтуса. На месте вашего шефа я бы уже начал срочно искать замену такому "админу".

> А у другого вполне себе не дырявая веб-камера, которой он пользуется через
> интернет - надо открыть.

И что? Если вы хотите контролировать траффик - да, вам придется разобраться в том как работают сетевые протоколы и что и кула льзя/нельзя. В обе стороны. Нат кстати перекрывает кислород лишь в 1 сторону.

> Если вы - провайдер, который заикается о безопасности для своих пользователей, то
> у вас появляется очень много работы)

Судя по описанию, вы какой-то баклан, который почему-то возомнил что он - сисадмин. Хотя не умеет файрволом пользоваться. И считает виндовое недоразуменее за фаер. Я практически уверен что в вашей сети безопасностью и не пахло, там пахнет лишь имитацией бурной деятельности, а знание предмета - не фонтан.

> Поэтому, ну нах. Лучше закрыть домашнюю сеть NAT'ом.

Половина программ потом работает откровенно через анус. Потому что в исходном дизайне протокола подразумевается нормальное 2-стороннее коннективити между участниками. А умственные инвалиды вместо участников - это что, олимпиада для даунов?

> А нужные порты пробрасывать вручную или через upnp.
> upnp, кстати, поддерживают даже роутеры 2-3 летней давности.

Осталось только добавить что он напрочь несекурный. Там никакой авторизации - нет. Поэтому если например вирус в интранете хочет зафорвардить на машину с собой порт для шелла чтобы не городить реверс - добро пожаловать!

> Если есть более эффективное, но такое же простое решение, как NAT, буду
> рад его узнать)

Научиться уже юзать фаер как человек, а не специально обученная обезьяна.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

160. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 28-Ноя-11, 15:30 
>>> какую безопасность подразумевает nat, если не секрет?
>> Ну смотрите.
> Смотрим.
>> Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.
> Делаем первые выводы:
> 1) Бсдельник как обычно равняет все по винде, потому что его ось
> на десктопе просто швах.

Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда". Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.

На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

172. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 21:02 
> Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда".

А я думал что к общеидиотскому подходу к управлению фаером. Элементарное непонимание как вообще оно рулится по нормальному если действительно секурность сети интересует.

> На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.

Не более бездарно и неумело чем расписаное выше "управление" фаером :P.

Ответить | Правка | ^ к родителю #160 | Наверх | Cообщить модератору

177. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 28-Ноя-11, 21:49 
>> Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда".
> А я думал что к общеидиотскому подходу к управлению фаером. Элементарное непонимание
> как вообще оно рулится по нормальному если действительно секурность сети интересует.

Лично я сейчас наблюдаю элементарное непонимание реального процесса обслуживания корпоративных сетей. То, о чём вы говорите - это практически недостижимый идеал, когда все используемые ИС изначально построены исходя из соображений безопасности и инженерной красоты. К сожалению, в подавляющем большинстве ситуаций это не так и надо работать с тем, что есть, а не с тем, что хочется. Перекроить всю инфраструктуру - это, конечно, красиво, но если от этого пострадают бизнес-процессы организации (а они пострадают), то конечная прибыль как-то не видна.

Да, если интересует именно секурность сети, то используются вообще другие методы: от заворачивания КАЖДОГО клиента в персональный VLAN до физического разделения сегментов (да-да, перенос данных на дискетах-флешках-etc).

>> На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.
> Не более бездарно и неумело чем расписаное выше "управление" фаером :P.

Оно было описано человеком, который явно занимается этим на практике. И его выводы более или менее совпадают с моими, а мне довелось со всех сторон поучаствовать в решении вопросов данной тематики.

Ответить | Правка | ^ к родителю #172 | Наверх | Cообщить модератору

179. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от www2 (??) on 29-Ноя-11, 08:23 
>Да, если интересует именно секурность сети, то используются вообще другие методы: от заворачивания КАЖДОГО клиента в персональный VLAN до физического разделения сегментов (да-да, перенос данных на дискетах-флешках-etc).

Если интересует именно секурность, то компьютер нужно отключить от розетки и взорвать. Дальше план такой: ставим заборы с колючей проволокой и пулемётчиками с прожекторами по углам, пускаем по территории патрули с автоматами и собаками, ставим круглосуточную охрану на вход. Перед входом в офис ставим две раздевалки и шлюз для личного досмотра сотрудников. В первой раздевалке люди раздеваются, оставляют свою одежду в шкафчике, в шлюзе их досматривают, дальше идёт вторая раздевалка, где сотрудники одеваются в свою рабочую одежду из шкафчика. Как вам план? Самая лучшая информационная безопасность. А ещё хорошо бы, чтобы сотрудники жили на охраняемой территории, а перед увольнением профилактически расстреливались, чтобы не допустить утечку информации.

Ответить | Правка | ^ к родителю #177 | Наверх | Cообщить модератору

190. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 29-Ноя-11, 13:52 
>[оверквотинг удален]
> Если интересует именно секурность, то компьютер нужно отключить от розетки и взорвать.
> Дальше план такой: ставим заборы с колючей проволокой и пулемётчиками с
> прожекторами по углам, пускаем по территории патрули с автоматами и собаками,
> ставим круглосуточную охрану на вход. Перед входом в офис ставим две
> раздевалки и шлюз для личного досмотра сотрудников. В первой раздевалке люди
> раздеваются, оставляют свою одежду в шкафчике, в шлюзе их досматривают, дальше
> идёт вторая раздевалка, где сотрудники одеваются в свою рабочую одежду из
> шкафчика. Как вам план? Самая лучшая информационная безопасность. А ещё хорошо
> бы, чтобы сотрудники жили на охраняемой территории, а перед увольнением профилактически
> расстреливались, чтобы не допустить утечку информации.

Помимо шарашек типа "туроператор Кызылым-Ога" бывают ещё и крупные корпорации, и предприятия оборонной промышленности, и министерства, и много чего ещё.

Я и не буду спорить: это идиотизм, когда, например, мобильники нельзя, а флешки пропускают (на одном известном мне предприятии оборонки именно так). Но это не отменяет того факта, что иногда нужны и жёсткие, а подчас и драконовские меры. Просто из-за того, что ценность информации во много раз превышает зарплату работающих с ней сотрудников (а подчас её вообще измерить адекватно нельзя).

Ответить | Правка | ^ к родителю #179 | Наверх | Cообщить модератору

185. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 29-Ноя-11, 13:12 
> Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.

Для самых умных фаервол работает на шлюзе. А туда обычно ставят серверную ОС.
Нет, кому-то и винда с бсдями - серверные оси, но зачем же свои личные проблемы другим навязывать?

Ответить | Правка | ^ к родителю #160 | Наверх | Cообщить модератору

191. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 29-Ноя-11, 13:54 
>> Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.
> Для самых умных фаервол работает на шлюзе. А туда обычно ставят серверную
> ОС.
> Нет, кому-то и винда с бсдями - серверные оси, но зачем же
> свои личные проблемы другим навязывать?

1. А что, машины внутри корпоративной сети прикрывать нельзя? Вы так изящно отрезали часть моего комментария, что смотрится, конечно, по-другому.

2. Если для вас *BSD несостоятельны как серверные ОСи, то медицина здесь, увы, бессильна.

3. Комментарии по делу будут?

Ответить | Правка | ^ к родителю #185 | Наверх | Cообщить модератору

201. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от XoRe (ok) on 01-Дек-11, 03:43 
В следующий раз отвечу на все ваши уколы.
Но сейчас давайте по существу.

Обзываться вы умеете, я уже понял.
А умеете ли вы думать?
Попробуйте посмотреть не с точки зрения своего, или моего компьютера.
А с точки зрения большого провайдера с большим количеством клиентов - домашних пользователей.

Проблему, которую я поднял, можно озвучить так:
Сейчас есть NAT, который хоть для того и не предназначался, но фактически защищает домашние локалки обычных пользователей.
Нормально фаера "из коробки" - нет.
Если убрать NAT - будет много дырявых устройств.
Если дать всем внешние ip, будет много дырявых устройств с внешним ip.
И не у меня, или у вас, а у миллионов обычных пользователей.
У тех, кто не знает про ipv4/ipv6.

Сразу, определимся с терминологией.

Домашняя локалка обычного пользоателя - я под этим подразумеваю:
- роутер
- 1 или более компов (стационарных, ноутбучных, планшетных)
- 0 или более устройств (телефоны, камеры, сетевые хранилища, принтеры и т.д.)

Обычный пользователь - это человек, который умеет пользоваться компом, но не настолько хорошо, чтобы нормально настроить фаерволл на компе, или на роутере.

Сейчас многочисленные попытки соединения из интернета обрубаются на роутере.
Это правильно.
Хотя рубятся они не за счет фаерволла - на многих железках его тупо нет.
Попытки соединения рубятся за счет NAT (если в NAT таблице тупо нет записи про такой порт, значит пакет отбрасываем)

С приходом ipv6 предлагают убрать NAT.
А для каждого устройства использовать внешний маршрутизируемый ip адрес.

Если сейчас в устройствах отключить NAT, в сети просто появится очень много уязвимых устройств.
Потому что:
а) у большинства простых пользователей нет нормальных фаерволлов
б) на рынке тоже не густо роутеров с функциями нормальных фаерволлов
в) даже если такие модели роутеров есть, люди массово за ними не побегут
г) массово прошивать свои роутеры люди так же не станут

В результате, от NAT отказываемся а его защитные функции никому не передаем.
5 баллов.

Знаете, откуда в свое время резко появилось _очень много_ спам-ботов?
Это пользователи подключались по ADSL, а их компы получали внешние ip адреса.
А в то время windows с внешним ip адресом - это уже через час затрояненная машина.
Слава богу, что стали ставить роутеры и прятать за ними компы с windows.
Но ...
Вот у пользователей появились мини-локалки со всякими девайсами.
И тут - "эй, а давайте всем устройстам дадим внешние ip адреса и отключим NAT?".
Действительно, почему бы не выставить побольше дырок в интернет?
Закрыть их все равно нечем.
Видать, история людей не научила.

И поэтому я считаю, что NAT - неплохая штука для защиты простых пользователей.
Только потому, она есть в каждом роутере.
А другой защиты в каждом роутере - нет.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

220. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от iZEN (ok) on 11-Дек-12, 14:25 
> Если сейчас в устройствах отключить NAT, в сети просто появится очень много уязвимых устройств.

И даже сквозная аутентификация IPSec, которая присутствует в спецификации IPv6 ОБЯЗАТЕЛЬНО и которая позволяет моментально обнаружить несущий угрозу узел, не поможет?

Ответить | Правка | ^ к родителю #201 | Наверх | Cообщить модератору

219. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 12-Июн-12, 11:20 
> А еще она очень любит троянов. Нормально настроеный фаер может в принципе
> зарубить и исходящий трафф большинства троянов, сохранив вам банковские реквизиты,
> пароли и что там у вас еще.

Позновато пишу, но может кто-то тогда просветит, каким образом вы исходящий трафф закроете? Разрешите порты назначения по списку? Так это не панацея, какой-нибудь скрипт может получать данные от вирусни или трояна через открытый вами порт (проверить открытые порты на файрволе находять в локалке не сложно), а файрволы не умеют интелектуально разбираться чего ваши компы в интернет посылают (ну может cisco-asa и умеет, не юзал, не знаю, и далеко не всем админам на нее денег дадут), и всякие прокси тоже не настолько интелектуальны чтобы тотально все контролировать. Или может вы еще будет список разрешенных хостов назначения вести? Да и проблема вирусни больше в том что она вам эпидемию в локалке устроит, а грамотный троян ваш файрвол обойдет если сможет попасть на хост вашей локалки стараниями нерадивого пользователя. В итоге не надо кричать о том что файрволы спасают банковские реквизиты и пароли, их спасает грамотная политика внутри компании, сеть с хорошей иерархией куда кому можно лазить, разграниченая VLAN'ами и пограничными файрволами между ними, а если оборудование VLAN'ы не поддерживает то помогает разграничить IPSec, правда его еще осилить надо.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

222. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Профессор on 13-Май-13, 07:10 
> какую безопасность подразумевает nat, если не секрет?

Заранее сори не смог до конца прочитать, скорее всего кто-то уже высказал со мной совпадающие мнение.
С моей точки зрения NAT не обеспечивает безопасность, как таковая она просто помнит кто,через нее что передал и возвращает обратный пакетик тому хосту,который сформировал пакетик в Интернет. ..
..Но эта технология позволяет сконцентрировать свое внимание по защите корпоративной(домашней) локальной сети, только на одном узле установив туда средства блокировки портов, перенаправления портов и другие средства программной защиты.
Вопрос всем, господам комментирующим...Что проще отследить в потоке больших объем информации 1 узел или n-ое количество узлов?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Для ядра Linux представлена реализация IPv6 NAT"  –4 +/
Сообщение от freename email(ok) on 26-Ноя-11, 22:08 
В ipv6 позаботились о безопасности и скрывать пользователей за nat не имеет смысла для этого там есть другой механизм
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 26-Ноя-11, 22:51 
>В ipv6 позаботились о безопасности и скрывать пользователей за nat не имеет смысла для этого там есть другой механизм

What?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

45. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от freename email(ok) on 27-Ноя-11, 01:22 
MT6D
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

67. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 13:11 
> MT6D

Первая ссылка в гугле? ;)

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

27. "Для ядра Linux представлена реализация IPv6 NAT"  +4 +/
Сообщение от Аноним (??) on 26-Ноя-11, 23:20 
> NAT скорее понятие безопасности, причем тут каменный век.

Скорее, некоторые дебилы упорно не понимают что это задача _файрвола_, а нат в его роли вообще оказался так, до кучи.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

40. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Вася (??) on 27-Ноя-11, 00:30 
имеется в виду анонимность
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

46. "Для ядра Linux представлена реализация IPv6 NAT"  +8 +/
Сообщение от Аноним (??) on 27-Ноя-11, 03:30 
> имеется в виду анонимность

Нат в общем случае не обеспечивает анонимность сколь-нибудь заслуживающую внимание.

Конечно, если вы перданете в автобусе где еще 20 человек, вас может и не вычислят, за незначительностью происшествия. А вот если вы бомбу повезете и у вычисляющих будет информация "в этом автобусе бомба" - вы уж извините, но поймают вас в 2 счета.

С NAT как-то примерно аналогично: неуловимый джо неуловим через NAT лишь когда он никому не нужeн.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

73. "Для ядра Linux представлена реализация IPv6 NAT"  –7 +/
Сообщение от СуперАноним on 27-Ноя-11, 13:57 
Такие как ты, и Tor критикуют, и прочие технологии анонимизации. Ну если настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом. А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз. И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

81. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 15:25 
> А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз. И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.

Какие вы смешные.
Пока ваше личное никому нафиг не интересно - вы можете прятаться, дрожать и верить в свою неуловимость.
Но как только вами заинтересуются - никакие детские методы отпугивания Буки вас не спасут.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

117. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:19 
> Такие как ты, и Tor критикуют, и прочие технологии анонимизации.

В плане именно анонимизации Tor на голову лучше. Только вот у него есть свои проблемы. Например, может так выйти что exit node'ой является машина ФСБшника (FBIшника, CIAшника) собирающая максимально возможное досье. Или машина хакера коллекционирующего пароли. Поэтому Tor хорошая штука, но пользоваться им надо с умом и очень осторожно. В свете взломов SSL кстати это вообще сплошной головняк, поскольку теоретически даже то что вы законектились к почтовому ящику или что там у вас по SSL еще не гарантирует что MITM не перехватит SSL сессию. Больно уж допуркуа по дефолту висит в списке доверяемых ауторити, каждая их которых может удостоверить что угодно, вплоть до того что дважды два - пять.

> Ну если настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом.

Просто если беретесь маскироваться всерьез, на нат надеяться - ну знаете, никто же не делает броню у танков из фанеры, да? Зачем советовать фанерную "броню" другим?

> А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз.

NAT идентифицирует вас с точностью до конкретной помойки с котами, как правило привязанной к довольно узкой географической локации. Так что если кот нашкодил, выделить его из еще десятка - не особая проблема. Видимость защиты - это круто, конечно...

> И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.

Да, только если вас протрейсили до NAT - найти вас становится уже не ахти какой проблемой.

Как побочный бонус - если какой-то удод поймал вирус и наспамил через эту помойку, вы будете забанены "до кучи" всеми блеклистами. Потому что живете в одной помойке с вредителем сельского хозяйства. А оно вам надо, когда все сайты/почта/... рассказывают вам что вы редиска и вообще пошли б вы вон, позорный спамер?!

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

180. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от www2 (??) on 29-Ноя-11, 08:26 
> Такие как ты, и Tor критикуют, и прочие технологии анонимизации. Ну если
> настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом. А
> другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз.
> И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.

Личное нужно передавать лично, а не через публичные информационные сети, тогда и гарантии будут сколь-нибудь серьёзные. А если вы связались с вконтактиком и асечкой, то добро пожаловать в социальный стриптиз-бар.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

98. "Для ядра Linux представлена реализация IPv6 NAT"  –2 +/
Сообщение от Pincher on 28-Ноя-11, 00:26 
NAT нужен , В ТОМ ЧИСЛЕ, для сокрытия внутренней организации сети класса от С и больше/выше. И давайте не будем галдеть о том, что можно определить другими косвенными путями.
Суть технологии именно в частности и в этом и дополняет другие защитные механизмы. Ну и например при испольовании проксирующих серверов, эта технология как нельзя кстати дополняет собой обеспечение безопасности внутреннего сегмента сети. Особенно когда речь идёт о юзерских хостах.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

118. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:20 
> Особенно когда речь идёт о юзерских хостах.

Еще одна обезьяна с микроскопом вместо молотка, путающая stateful фаер, прокси и прочая с натом.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

181. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от www2 (??) on 29-Ноя-11, 08:33 
> NAT нужен , В ТОМ ЧИСЛЕ, для сокрытия внутренней организации сети класса
> от С и больше/выше. И давайте не будем галдеть о том,
> что можно определить другими косвенными путями.
> Суть технологии именно в частности и в этом и дополняет другие защитные
> механизмы. Ну и например при испольовании проксирующих серверов, эта технология как
> нельзя кстати дополняет собой обеспечение безопасности внутреннего сегмента сети. Особенно
> когда речь идёт о юзерских хостах.

Если на шлюзе фаерволлом закрыть правильные типы ICMP, да настроить перезапись значения TTL в IP-пакете прямо на шлюзе, то фиг снаружи узнают что-то об организации сети. Будут знать только адреса хостов, а как они там организованы - не узнают.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

136. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Elhana (ok) on 28-Ноя-11, 12:55 
анонимность от "я вычислю твой ip"? ))
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

167. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 20:39 
Спасибо, посмеялся. :)
Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

86. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 15:48 
> NAT скорее понятие безопасности, причем тут каменный век.

NAT для безопасности - как микроскоп для колки орехов.
То есть, употребляется только альтернативно одаренными.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

96. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 22:35 
NAT к безопасности не имеет никакого отношения. Это иллюзия недоадминов.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

103. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 01:34 
Если ты не догадываешься резать попытки установки соединений извне в таблице FORWARDING в iptables, и вместо этого рекомендуешь использовать nat, то это твои личные проблемы.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Для ядра Linux представлена реализация IPv6 NAT"  +3 +/
Сообщение от stalker37 on 26-Ноя-11, 22:38 
подозреваю что акулы  таки будут выделять 1 адрес per user и пытаться дальше пробивать  что бы пользователи на каждое доп железку заключали отдельный договор.. как это пытаются делать сейчас за подключение ещё 1 телевизора на кабель через делитель
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору
Часть нити удалена модератором

34. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от stalker37 on 26-Ноя-11, 23:36 
>> 1 телевизора на кабель через делитель
> А что, где-то остались еще такие клоуны? Ничего, интернет их скоро окончательно
> закoпает.

А зачем? IPTV нужно далеко не всем и не все железки умеют. Кабельное телевидение пока ещё живёт и вполне себе

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

47. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 03:31 
> Кабельное телевидение пока ещё живёт и вполне себе

Ну так принимаешь на комп вместо телеящика и раздаешь на все нужные девайсы. Правда честно говоря это уже не нужно: в интернете все-равно ассортимент больше.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

70. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 13:28 
> заключали отдельный договор.. как это пытаются делать сейчас за подключение ещё 1 телевизора на кабель через делитель

Эээ... что? А кто вообще щас гонит нешифрованный платный IPTV поток? какой смысл решать это лишним договором? У всех вменяемых провов IPTV давно шифрован, и никаким "делителем" (это что вообще такое?) вы его оттуда не вытащите, если только прошивку или плеер для PC/xbox реверсить.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

71. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 13:29 
А, пардон. Я почему-то думал что вы про IPTV. Совсем зажрался, забыл как раньше было...
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

206. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Анонизмус on 03-Дек-11, 21:06 
Укртелеком
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

54. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 04:56 
> не выдывать более чем один IPv6-адрес

То им придется делать это руками, потому что хоть с IPoE хоть с вариантами PPP автоконфигурация не работает на блоках меньше /64. И единственное решение в таком случае — прописывать адрес и маршруты _руками_.

Так что я не завидую таким провайдерам, если вдруг они найдутся.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

57. "Для ядра Linux представлена реализация IPv6 NAT"  +6 +/
Сообщение от Аноним (??) on 27-Ноя-11, 05:10 
> единственное решение в таком случае — прописывать адрес и маршруты _руками_.

Да, разжую поподробнее.

IPv6 по Ethernet, 802.11 и т.д. — это SLAAC (RA). Которому надо префикс максимум в /64 (иначе он не сможет EUI-64 прицепить в конец и вся SLAAC не выйдет).
PPP это IP6CP (который устанавлвиает только link-local'ы) + RA.
DHCPv6 только дополняет RA, но не заменяет его.
SEND никак не меняет картину.
Можно сделать с OpenVPN, но это очень неудачное решение для домашнего провайдера.
Еще можно сделать очень суровый анальный цирк с DNS46 и NAT-PT (которые considered harmful, но draft'ы RFC живы), но это очень большая жопа. Хотя для провов, которые не могут осилить билингование IPv6 — единственны

Остается ручная вбивка адреса. Всего /128, хехе, и без опечаток. А потом еще адреса роутера (ну, там покороче можно обойтись, fe80::1%eth0 хватит). Клиент нынче пошел уже не торт — двух слов связать не может, техподдержка регулярно объясняется на уровне "внизу экрана слева у вас кнопочка круглая или прямоугольная". А платить за вызов саппорта каждый ращ, когда пришло время переустанавливать ШИНДОШS(tm) — денег не хватит.

Короче, /128 на клиента — самоубийство для провайдера.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

58. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 05:13 
Случайно нажал «Отправить».

> Хотя для провов, которые не могут осилить билингование IPv6 — единственны

… единственный путь, если не менять биллинг. Или путь как очень legacy клиентам с IPv4, никак не умеющим IPv6 (скажем, копрорациям, застрявшим во временях Windows 9x, хехе) дать доступ к IPv6-сети. Но это реально большая жопа, потому что реализаций — 0.25 штуки, и то, если и заработает — в бою не тестировалось. Не позавидую.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

61. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nikos (??) on 27-Ноя-11, 09:57 
Билинг то не сложен, сохранить и посчитать сколько бит  откуда  и куда - задача  пустяковая.
Да и количество информации, которую лопатить надо растет не  очень сильно - раза в полтора.
а вот сдать этот билинг -для работы  оказывается чрезвычайно сложно,и я совсем не уверен  что СОРМ тесты будут пройдены нормально ( Точнее, почти уверен в обратном).
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

89. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от XoRe (ok) on 27-Ноя-11, 18:40 
> Билинг то не сложен, сохранить и посчитать сколько бит  откуда  
> и куда - задача  пустяковая.
> Да и количество информации, которую лопатить надо растет не  очень сильно
> - раза в полтора.
> а вот сдать этот билинг -для работы  оказывается чрезвычайно сложно,и я
> совсем не уверен  что СОРМ тесты будут пройдены нормально (
> Точнее, почти уверен в обратном).

Ну если раньше биллинг сдавали, то и сейчас сдадут)
Врядли выйдет закон об обязательной пересертификации биллингов на предмет поддержки ipv6.
Есть сертификат ещё на 3 года?
Ну и отлично.
Веселье начнется через год-два-три.
Если повезет, к новой сертификации поддержку ipv6 уже допишут и протестируют.
На пользователях.
К сдаче в СОРМ она придет уже обезбаженная.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

119. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:22 
> К сдаче в СОРМ она придет уже обезбаженная.

А сам СОРМ как обычно реализуют, да? Т.е. отдачей на лапу? :)

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

192. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nikos (??) on 29-Ноя-11, 16:02 
>> К сдаче в СОРМ она придет уже обезбаженная.
> А сам СОРМ как обычно реализуют, да? Т.е. отдачей на лапу? :)

Злые  Вы - СОРМ  честно сдан, причем это оказалось  в том  случае, довольно просто. ( Не надо бояться и думать что это невозможно), но вот пройдут ли  тесты  на Ipv6 клиента ( да и есть ли  они вообще такие  тесты... скоро узна.) .  Билинг - сертификат пора  проделвать  опять же -  не такая сложная  процедура была ( что будет при IPv6 - ой не ясно).  Сейчас  адреса IPv6  есть  только на серверах и компах сотрудников. (:

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

203. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от XoRe (ok) on 01-Дек-11, 03:53 
> но вот пройдут ли  тесты  
> на Ipv6 клиента

В современных виндах есть поддержка ipv6 сразу после установки.
По DHCP новые адреса выдать и все.
Если грамотно сделать, юзеры даже не почувствуют.
А если неграмотно... мне жаль юзеров и саппортов)
да и вообще, при неграмотном внедрении ipv6, можно эта... как Digi-Notar в общем)

Ответить | Правка | ^ к родителю #192 | Наверх | Cообщить модератору

202. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от XoRe (ok) on 01-Дек-11, 03:47 
>> К сдаче в СОРМ она придет уже обезбаженная.
> А сам СОРМ как обычно реализуют, да? Т.е. отдачей на лапу? :)

Это уже другое дело.
Как договорятся, так и реализуют)

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

127. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 04:02 
> Билинг то не сложен, сохранить и посчитать сколько бит  откуда  и куда - задача  пустяковая.

Это-то да, простейший (но полноценный) биллинг в 100SLOC впишется, и ему будет плевать на версию IP. Хотя его сертифицировать — полная жопа, угу.

Я думал о тех провайдерах, которые не пошли через административные терни, сделав свое, удобное решение, а купили сертифицированную систему.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

142. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 13:57 
> Это-то да, простейший (но полноценный) биллинг в 100SLOC впишется

А почему Вы счётчик биллингом называете?

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

163. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 16:45 
А с чего Вы это взяли? На нормальных языках в 100SLOC можно много засунуть. Да, размер тест-юнитов, документации и использованных готовых библиотек я не учитываю.

У меня первый прототип (но вполне работавший, хотя и не в продакшене) самодельного prepaid-биллинга умел принимать деньги, делать покупки на один из возможных тарифных планов, принимать аккаунтинг от RADIUS и сигналить об изменении подписки. Python, Riak, RabbitMQ. И как раз где-то 100, ну, может, 150SLOC был, пока не разросся.

Хотя, в общем-то, можно сказать что и счетчик (точнее, несколько), оно недалеко от истины, вопрос, наполовину, в семантике.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

99. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Anonymous123 on 28-Ноя-11, 00:43 
Зная наших провайдеров, они лучше посадят больше девочек-блондинок в саппорт. И не такая уж сложная задача - вбить вручную адрес с бумажки.

Хоть у меня и есть /64, автоконфигурированием я не пользуюсь. Мне проще запоминать адреса типа xxxx:xxxx:xxxx:xxxx:192:168:0:1

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

126. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:54 
Плохо их знаете. Саппорт просто завалят, будут писать русскую «а» вместо латинской «a», вписывать все что угодно, кроме того, что написано, и вообще — чего только не делать. Я изредка подменяю провайдерский саппорт, когда вдруг все на выезде, знаком не по наслышке.

В регионах где один пров и все, и новичкам на рынок не пролезть — ну, там что угодно взлетит, даже стояние на голове, как условие работы интернета. Но таких мест, как мне кажется, немного, по крайней мере, в европейской части страны. Конкуренты придут незамедлительно и скажут спасибо.

У меня тоже /64 и адреса я не запоминаю кроме одного, мой_префикс::2, где находится DNS. Чего и Вам советую.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

62. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Zenitur (ok) on 27-Ноя-11, 11:30 
всего лишь поменяй провайдера или в крайнем случае тарифный план. IP-адресов IPv6 столько, что можно покупать пачками, и хватит на несколько поколений людей.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

168. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 20:42 
> всего лишь поменяй провайдера или в крайнем случае тарифный план. IP-адресов IPv6
> столько, что можно покупать пачками, и хватит на несколько поколений людей.

Ага, про IPv4 то же самое говорили. Слышали, доооооо.

Во времена Винта Сёрфа никому в голову не приходило, что счет хостов в Арпанете будет когда-нибудь исчисляться сотнями миллионов и что сетки класса А будут выкупать пачками.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

173. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 21:09 
> Ага, про IPv4 то же самое говорили. Слышали, доооооо.

2^32 это меньше чем человеков на планете. Уже тогда. Как бы можно было догадаться. А вот выюзать 2^128 и даже 2^64 адресов... эээ удачи, да. Можно каждому микробу по адрксу дать и еще останется :)

Ответить | Правка | ^ к родителю #168 | Наверх | Cообщить модератору

196. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nikos (??) on 29-Ноя-11, 17:09 
>> Ага, про IPv4 то же самое говорили. Слышали, доооооо.
> 2^32 это меньше чем человеков на планете. Уже тогда. Как бы можно
> было догадаться. А вот выюзать 2^128 и даже 2^64 адресов... эээ
> удачи, да. Можно каждому микробу по адрксу дать и еще останется
> :)

Вот интересно, люди  говорят:
2^ 128 -  это очень много адресов,  хватит каждому  микробу, потому  поднимают громкий вой,  а  почему  мне  не хотят выделять /64, чтобы  удобно конфигурить, да, еще  потребуется  вычесть неиспользованные  куски у провайдеров ( я не пробовал, но думаю что сетку меньше  чем  /48   по анонсам  порубят) ., да еще  мультикаст и иные  служебные. Спаммеров, убивателей  досок и прочее. -  и опять дефицит будет.  

Ответить | Правка | ^ к родителю #173 | Наверх | Cообщить модератору

140. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 13:56 
> но если вдруг наши "замечательные" интернет-провайдера задумают при подключении абонента -- не выдывать более чем один IPv6-адрес -- то добро пожаловать опять в этот каменный век NAT-технологий :-/

А как через DHCP выдать сеть на какой-нибудь ASUS WL-520 пользователя?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от Аноним (??) on 26-Ноя-11, 20:29 
> в скором времени IPv6 NAT планируется довести до полностью работоспособного состояния и направить запрос на включение в следующий релиз ядра Linux.

А кто там говорил "only over my dead body"? Не сам ли Патрик? Или все-таки Вельте?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

131. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Andrey Mitrofanov on 28-Ноя-11, 09:46 
>> в скором времени
>> довести до полностью работоспособного состояния и направить запрос на включение в
> А кто там говорил "only over my dead body"?
>Или все-таки Вельте?

Да. http://lwn.net/Articles/452853/rss

Ну, "направят они запрос", а там тело Гарольда. Вот там и посмотрим, кто живее - запрос, тело, или [его заявление] "only over".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от koblin (ok) on 26-Ноя-11, 20:31 
Т.е. пришли к тому от чего уходили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Для ядра Linux представлена реализация IPv6 NAT"  –2 +/
Сообщение от Аноним (??) on 26-Ноя-11, 23:13 
Уже нет, в IPv6 адресов всем хватает. NAT делается для совместимости софта и протоколов которые еще не могут работать с IPv6.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 26-Ноя-11, 20:33 
> Напомним, что сама идея NAT заключалась в том, чтобы обойти проблему нехватки IPv4-адресов

Я бы не сказал, что REDIRECT или NETMAP всегда используются для решения именно этой проблемы. Иногда админу просто удобнее сделать доступ к разным хостам/службам через один виртуальный адрес/порт, в зависимости от различных параметров пакета (в частности, от исходного адреса).

Кстати, надеюсь, допиливание поддержки IPv6 в IPVS теперь стронется с мертвой точки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от Аноним (??) on 26-Ноя-11, 20:36 
Ну и достаточно часто есть также задача скрыть топологию своей сети от внешнего мира.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от AdVv email(ok) on 26-Ноя-11, 21:08 
И да, именно для этих целей существуют файрволы ...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Был в Китае и знаю on 26-Ноя-11, 21:59 
Их настраивать надо. Для этого надо голову иметь.
А тут NAT поставил и массу проблем вообще закрыл. Большинство на этом и останавливается и довольно долго этого им оказывается достаточно.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

23. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от demon (??) on 26-Ноя-11, 22:50 
Чтобы реализовать такой уровень "защиты" для реальных IPv4 адресов, которую "обеспечивает" NAT, в Iptаbles достаточно одной строки конфига. Т.е. ровно столько же сколько требуется для включения NAT-а.
Если говорить о "сокрытии внутренней топологии", то это конечно полезно, но не соответствует  идеологии IP. Если у вас закрытая корпоративная сеть, то почему ваши пользователи не пользуются прокси-сервером (socks, и т.п.), который обеспечивает кроме сокрытия еще и контроль?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 26-Ноя-11, 23:30 
> Чтобы реализовать такой уровень "защиты" для реальных IPv4 адресов, которую "обеспечивает"
> NAT, в Iptаbles достаточно одной строки конфига.

Строку в студию ! Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

35. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 00:08 
> Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.

Открою вам страшную тайну: основное предназначение conntrack - как раз обеспечение логики фильтрации. Логика nat там уже сверху накручена.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 00:13 
> Строку в студию ! Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.

iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED -j DROP

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от demon (??) on 27-Ноя-11, 00:15 
Присоединяюсь как автор коммента про одну строку.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

76. "Для ядра Linux представлена реализация IPv6 NAT"  –2 +/
Сообщение от Аноним (??) on 27-Ноя-11, 14:01 
> Присоединяюсь как автор коммента про одну строку.

После такой строки вас завалят звонками клиенты с жалобами о неработе FTP и прочих нетривиальных протоколов.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

83. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 15:27 
> После такой строки вас завалят звонками клиенты с жалобами о неработе FTP и прочих нетривиальных протоколов.

Подучите матчасть. В частности, о том, как работает conntrack, и что такое RELATED.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

120. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:24 
> Подучите матчасть. В частности, о том, как работает conntrack, и что такое RELATED.

Подучите матчасть сколько там и чего вгружается из модулей чтобы работали всякие FTP, VoIP и прочая. Там еще с дюжину модулей трекающих свои протоколы индивидуально, бл. Гемор и костыли.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

143. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:02 
> Подучите матчасть сколько там и чего вгружается из модулей чтобы работали всякие FTP, VoIP и прочая. Там еще с дюжину модулей трекающих свои протоколы индивидуально

И что? Строчка всё равно одна.

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

149. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:22 
> Подучите матчасть сколько там и чего вгружается из модулей чтобы работали всякие FTP, VoIP и прочая. Там еще с дюжину модулей трекающих свои протоколы индивидуально, бл. Гемор и костыли.

Подучите матчасть. Для работы этих протоколов через нат, модулей должно быть в два раза больше (все те же, что и для фаервола + соответствующие для ната).

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

48. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 03:32 
> -j DROP

И половина программ начинает работать через жо...

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

63. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 11:43 
Поясните.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

75. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 14:00 
> Поясните.

Новые входящие соединения к клиенту будут рубиться. Многие протоколы требуют создание ответного соединения.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

144. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:02 
>> Поясните.
> Новые входящие соединения к клиенту будут рубиться. Многие протоколы требуют создание ответного
> соединения.

Мля, для этого там написано слово RELATED.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

174. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 21:10 
> Мля, для этого там написано слово RELATED.

Оно не обеспечивает пропуск _нового_ входящего соединения. Поэтому клиент получается неполноценным инвалидом.

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

187. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 29-Ноя-11, 13:16 
> Оно не обеспечивает пропуск _нового_ входящего соединения. Поэтому клиент получается неполноценным
> инвалидом.

К кому и куда?

Ответить | Правка | ^ к родителю #174 | Наверх | Cообщить модератору

188. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 29-Ноя-11, 13:17 
> Новые входящие соединения к клиенту будут рубиться. Многие протоколы требуют создание ответного
> соединения.

Учите матчасть. Механизм conntrack прекрасно поддерживает большинство таких протоколов, и пропускает ответные соединения как RELATED.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

74. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 13:58 
> iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED
> -j DROP

Это правило пропустит уже установленные соединения, но дропнет все запросы на новые входящие соединения к клиенту. FTP, SIP и подобные протоколы используют установку нового ответного соединения на машину клиента, предсказать порт на которое будет соединение можно только проанализировав протокол приложения, чем и занимается  conntrack.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

78. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 14:14 
>> iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED
>> -j DROP

Sorry, "RELATED" не заметил. Забираю свои слова обратно, FTP и подобное работать будет.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

84. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Харитон on 27-Ноя-11, 15:38 
>>> iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED
>>> -j DROP
> Sorry, "RELATED" не заметил. Забираю свои слова обратно, FTP и подобное работать
> будет.

А входящие торрент запросы?

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

85. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 15:45 
> А входящие торрент запросы?

Входящие торрент-запросы не работают ни через фаервол, ни через нат. Для них в любом случае нужно отдельные костыли сооружать.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

121. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:24 
> Входящие торрент-запросы не работают ни через фаервол, ни через нат. Для них
> в любом случае нужно отдельные костыли сооружать.

Уточним, они прекрасно работают если не пользоваться угробищами типа натов.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

146. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:05 
>> Входящие торрент-запросы не работают ни через фаервол, ни через нат. Для них
>> в любом случае нужно отдельные костыли сооружать.
> Уточним, они прекрасно работают если не пользоваться угробищами типа натов.

Они прекрасно работают через NAT, это зависит от его типа. И они вообще не работают через файрвол, так как специально запрещено и нужно открывать дырку.

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

151. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:25 
> Они прекрасно работают через NAT, это зависит от его типа. И они
> вообще не работают через файрвол, так как специально запрещено и нужно
> открывать дырку.

Все, что работает через NAT, будет работать и через фаервол, т.к. принцип один и тот же.
Ну, если не считать IGD/UPnP, включение которого эквивалентно выставлению своего айпишника в инет безо всякой защиты.

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

157. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:45 
>> Они прекрасно работают через NAT, это зависит от его типа. И они
>> вообще не работают через файрвол, так как специально запрещено и нужно
>> открывать дырку.
> Все, что работает через NAT, будет работать и через фаервол, т.к. принцип
> один и тот же.

Что O_O? Принцип вообще другой, автоматический проброс например при NAT 1 в 1 и полная блокировка в файрволе типа iptables -P FORWARD DROP

Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

175. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 21:16 
>> Уточним, они прекрасно работают если не пользоваться угробищами типа натов.
> Они прекрасно работают через NAT, это зависит от его типа. И они
> вообще не работают через файрвол, так как специально запрещено и нужно
> открывать дырку.

Через нат входящие соединения инициированные независимо от вас обычно не работают совсем. Потому что когда ремотный пир ломится на айпишник и порт, который вроде как ваш, у ната возникает резонная дилемма: я этого блохастого в первый раз вижу! Кому из вон той толпы машин за мной форвардить его пакеты?! Это же нигде и никак не указано. Юзер должен или явно захинтить портфорвард определенного порта эксклюзивно себе (костылем типа upnp или nat-pmp) или сделать соединение в нужную сторону сам. В результате два инвалидика за натом не могут приконектиться к друг другу вообще. Точнее, на некоторых типах натов все-таки могут путем выполнения хитрого танца с бубном "nat traversal" через третьего-лишнего, но если честно - это уже измымательство над идеей протокола IP и используется только потому что му...ков с натами на IPv4 порасплодилось :). Ну а с фаерами как несложно догадаться разрешено только то что разрешено. Насколько и что будет работать - определяется правилами фаера.

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

150. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:23 
> Уточним, они прекрасно работают если не пользоваться угробищами типа натов.

Они прекрасно работают только там, где все открыто нараспашку.

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

130. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nuclight email(ok) on 28-Ноя-11, 09:37 
> И да, именно для этих целей существуют файрволы ...

Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

147. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:06 
>> И да, именно для этих целей существуют файрволы ...
> Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.

Те, которые в traceroute TTL рубят :)

Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

199. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 30-Ноя-11, 22:26 
> Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.

Те которые удавливают все исходящие пакеты вообще. А клиенты пропускаются через прокси с авторизацией и только так. До кучи хорошо спасает от вирусов и прочей пакости, которые на раз обламываются послать пароли хозяевам в такой конфигурации. Совершенно стандартная практика у корпоративщиков.

Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

210. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nuclight email(ok) on 05-Дек-11, 23:20 
>> Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.
> Те которые удавливают все исходящие пакеты вообще. А клиенты пропускаются через прокси
> с авторизацией и только так. До кучи хорошо спасает от вирусов
> и прочей пакости, которые на раз обламываются послать пароли хозяевам в
> такой конфигурации. Совершенно стандартная практика у корпоративщиков.

294, ты опять пёрнул в лужу. Полную изоляцию (отсуствие прямой связности) файрволом не не называют, ибо он по определению фильтрует, т.е. пропускает то, что нужно.

Ответить | Правка | ^ к родителю #199 | Наверх | Cообщить модератору

30. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 26-Ноя-11, 23:26 
> Ну и достаточно часто есть также задача скрыть топологию своей сети от
> внешнего мира.

И конечно же поэтому надо использовать нат. А не всякие там файрволы, прокси, редиректы и так далее, созданные как раз для всего этого, угумс. Вот ведь стадо макак с микроскопами - вот дай им микроскопом гвоздить и все тут! А молоток не, это фи. Мы вот микроскопом уже привыкли, а молоток - его осваивать же надо!


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

97. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 23:18 
Насколько мне помнится, NAT в IPVS уже вполне себе запилен. Есть некоторые неудобства, как то отсутствие возможности натить в link-local. Но в целом вполне себе.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 26-Ноя-11, 20:37 
Кому не надо, то не используйте. А кому понадобится, хорошо, что лёд тронулся в данном вопросе.
Всегда проще не пользоваться ,тем что не нужно, чем когда нужно заниматся извратом или ещё хуже  ,когда мозгов на решение проблемы не хватило, говорить что невозможно что-то сделать. Спасибо разработчикам данной функции, для крупных корп. сетей самое оно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от demon (??) on 27-Ноя-11, 00:21 
Можно предположить, что найдутся достойные задачи для IPv6 NAT, но к сожалению, админы локалхоста будут пользоваться этим микроскопом для забивания гвоздей, а программерам сетевых приложений придется опять строить костыли типа STUN-а.
Поэтому уж лучше не надо.

Админам крупных корпоративных сетей надо _ТЩАТЕЛЬНО_ читать документацию по IPv6, т.к. в протоколе очень много заложено именно для них.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

49. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 03:34 
> Кому не надо, то не используйте. А кому понадобится, хорошо,

Нет, дружок, сети - они взаимодействие подразумевают. И если какой му...к не хочет соблюдать сетевой протокол - так может пусть он вообще не подключается к сети тогда? А то все эти полузомби-инвалиды, у которых вроде бы есть интернет но вроде как и нет уже порядком достали и в IPv4. Создателей геморроя на ровном месте - мало кто любит.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 26-Ноя-11, 20:39 
Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя, я думаю, обычные домовые сети даже не подозревают о существовании IPv6.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Для ядра Linux представлена реализация IPv6 NAT"  +4 +/
Сообщение от AdVv email(ok) on 26-Ноя-11, 21:15 
> Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя,
> я думаю, обычные домовые сети даже не подозревают о существовании IPv6.

Торговать песком поштучно весьма спорное мероприятие

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 26-Ноя-11, 21:25 
>> Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя,
>> я думаю, обычные домовые сети даже не подозревают о существовании IPv6.
> Торговать песком поштучно весьма спорное мероприятие

А вдруг наши эникеи так и будут делать, глядя на v4?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Был в Китае и знаю on 26-Ноя-11, 22:01 
> А вдруг наши эникеи так и будут делать, глядя на v4?

А почему им так не делать? Ведь принцип распределения адресов в IPV6 остался прежним.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

50. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 03:36 
> А почему им так не делать? Ведь принцип распределения адресов в IPV6
> остался прежним.

Только вот адресов шибко больше. Допустим я плачу бакс в месяц за IPv4. А теперь вспомним что IPv6 в 2^96 раз больше.

Внимание, вопрос на засыпку: а я не затрахаюсь пилить доллар на 2^96 частей? :))

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

94. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 22:26 
Будете платить бакс за один адрес IPv6. Если можно продавать воздух с себестоимостью в 2**96 раз меньше, но по старой цене, почему нет? Из-за лишнего бакса никуда не денетесь и к новому прову не убежите
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

122. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:29 
> Будете платить бакс за один адрес IPv6.

Сразу после того как вы начнете у меня покупать железо по цене золота.

> Если можно продавать воздух с себестоимостью в 2**96 раз меньше,

Если железа в природе больше чем золота и его легче произвести - оно стоит дешевле. Удачи вам в том чтобы продать железную кочергу по цене золотой. Скорее я найду тех кто даст мне /64 совершенно даром, не прямо так через туннель ;). Платить вам за то что вы считаете меня лохом и пытаетесь впарить мне железную кочергу по цене золотой? Нашли дурака!

> но по старой цене, почему нет?

Давайте я вам дам кило железа а вы его загоните по цене золота? Профит делим пополам. Вроде бы вполне выгодное предложение, да? :)))

> Из-за лишнего бакса никуда не денетесь и к новому прову не убежите

Прокину туннель нахаляву и получу /64 задаром. Чего ради я буду вам за полкило железа платить как за полкило золота? Только потому что вы совсем уж обуели?

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

148. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:12 
> Прокину туннель нахаляву и получу /64 задаром. Чего ради я буду вам
> за полкило железа платить как за полкило золота? Только потому что
> вы совсем уж обуели?

И как через туннель будут работать торренты? На какой скорости, если пользователей у провайдера этих туннелей будет много? Или Вы верите что оборудование у него безразмерное? Вы своими туннелями создаёте централизованные точки отказа, никакое это не спасение от бакса за адрес :(

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

176. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 21:21 
> это не спасение от бакса за адрес :(

Знаете, а если вы начнете настаивать повсеместно что железо теперь стоит как золото, как максимум вы получите широчайшую контрабанду железа и офигенного размера черный рынок, где железо торгуется по ценам куда более близким к реальным рыночным. Ну и смерть практически в ноль "белого" оборота, потому что дураков платить за железяки как за золото - мало. Вот платить за адрес при том что их 2^64 на одно рыло выдается и таких рыл может быть 2^64 - довольно не умно.

// кстати если у какогонить микрософта помрет их тередо я наверное не очень сильно расстроюсь.

Ответить | Правка | ^ к родителю #148 | Наверх | Cообщить модератору

20. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от Аноним (??) on 26-Ноя-11, 22:01 
> А вдруг наши эникеи так и будут делать, глядя на v4?

Лично мне почему-то кажется, что они именно так и будут делать.
На этой планете, торговля песком, водой, воздухом - весьма прибыльное занятие.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

95. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 22:29 
А также различными эфемерными вещами вроде наборов байтиков, территорий на Луне или IPv6-адресов. Количество воздуха все-таки ограничено, хоть и велико, а нематериальные вещи можно продавать вечно
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

169. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 20:47 
> А также различными эфемерными вещами вроде наборов байтиков, территорий на Луне или
> IPv6-адресов. Количество воздуха все-таки ограничено, хоть и велико, а нематериальные
> вещи можно продавать вечно

МТС очень некисло торгует золотыми и платиновыми номерами мобил со времен своего основания. ОЧЕНЬ некисло. Платиновый номер по цене Майбаха. Так что это - работает.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

200. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 30-Ноя-11, 22:29 
> основания. ОЧЕНЬ некисло. Платиновый номер по цене Майбаха. Так что это
> - работает.

Пока живут на свете дураки,
Обманом жить нам, стало быть, с руки.

(Песенка лисы-алисы и кота базилио)

Ответить | Правка | ^ к родителю #169 | Наверх | Cообщить модератору

59. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 05:18 
> А вдруг наши эникеи так и будут делать, глядя на v4?

У них не получится. Раздача /128 связана с очень суровыми техническими заморочками, причем первично именно для провайдера (куче клиентов /128 хватило бы).

См. ветку выше, я там все описал.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от Аноним (??) on 26-Ноя-11, 23:33 
> Главное, чтобы провы не пошли по пути "/128 на всю локалку".

А какая цель этого? Создать клиентам геморрой? На месте клиентов я бы засудил такого прова за заведомый обман покупателя, потому что то что предоставляет этот пров нарушает RFC стандарта и интернетом не является. О чем конечно же покупателя уведомить забудут.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

41. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 00:34 
> На месте клиентов я бы засудил такого прова за заведомый обман покупателя, потому что то что предоставляет этот пров нарушает RFC стандарта и интернетом не является.

RFC не является законом или подзаконным актом.
А понятие интернета в законодательстве большинства стран если и определено, то очень и очень расплывчато.
В России, например, это называется "предоставлением телематических услуг". И ни слова про RFC.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

52. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 03:45 
> В России, например, это называется "предоставлением телематических услуг".
> И ни слова про RFC.

Ну вы рекламируете интернет а продаете какие-то обрезки, не являющиеся оным. Обман покупателя налицо. Некоторым вроде уже выдали за их "до 100500 килобитов" так что как минимум серьезные игроки рынка теперь хотя-бы честно и внятно указывают все моменты. Да, с кучей звездочек и оговорок, но по крайней мере можно найти описание того что по факту получишь.

А так - по этому свинарнику с жульем давно уже ФАС и общество защиты потребителей плачут.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

60. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Клыкастый (ok) on 27-Ноя-11, 09:38 
ФАС, даааа.... Это наше всё. правда предустановленную венду он, покочевряжившись,  внезапно одобрил, но это же случайность, да?
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

123. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:31 
> одобрил, но это же случайность, да?

Насколько я помню они покочевряжились да и потребовали принимать ее назад. И все более-менее серьезные производители вроде как стали это делать более-менее.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

212. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Клыкастый (ok) on 08-Дек-11, 20:59 
>> одобрил, но это же случайность, да?
> Насколько я помню они покочевряжились да и потребовали принимать ее назад.

...и в этом же, 2010 году сказали, что предустановленная венда - это исключительно для блага пользователей. Dell, напримерЮ свернула свою программу возврата денег за венду.

> все более-менее серьезные производители вроде как стали это делать более-менее.

менее и менее...

Вот скажи, друг, ты вернул деньги за венду в 2011? Пробовал? Я - пробовал. А ты - "слышал".

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

213. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nikos (??) on 09-Дек-11, 09:33 
>>> одобрил, но это же случайность, да?
>> Насколько я помню они покочевряжились да и потребовали принимать ее назад.
> ...и в этом же, 2010 году сказали, что предустановленная венда - это
> исключительно для блага пользователей. Dell, напримерЮ свернула свою программу возврата
> денег за венду.
>> все более-менее серьезные производители вроде как стали это делать более-менее.
> менее и менее...
> Вот скажи, друг, ты вернул деньги за венду в 2011? Пробовал? Я
> - пробовал. А ты - "слышал".

Ноут HP - нужного мне  конфига без винды  не было,  купил с Win7, вернул деньги ( правда   сумма  и усилия  несоповставими, но).

Ответить | Правка | ^ к родителю #212 | Наверх | Cообщить модератору

215. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Клыкастый (ok) on 12-Дек-11, 20:35 
> Ноут HP - нужного мне  конфига без винды  не было, купил с Win7, вернул деньги (правда   сумма и усилия  несоповставими, но).

поделись подробностями. когда, сколько, что делал. у меня не вышло.


Ответить | Правка | ^ к родителю #213 | Наверх | Cообщить модератору

218. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nikos (??) on 16-Дек-11, 13:32 
>> Ноут HP - нужного мне  конфига без винды  не было, купил с Win7, вернул деньги (правда   сумма и усилия  несоповставими, но).
> поделись подробностями. когда, сколько, что делал. у меня не вышло.

Собственно  было не так  сложно:
Ноут Купил (  само собой не активировал винду),  далее  написал письмо ( текст увы  издох, но примерно следующего содержания).
Мною было куплено ... ,  при попытке  использовать обнаружил что, для  полноценного использования требуется  принять соглашение  с третьей  стороной,   текст соглашения  меня  не устраивает, процедура  изменения соглашения  не предусмотрена.
На основании (N решение  ФАС) и ( статья  ГК  о принуждении к сделке), прошу Вас принять меры или технические  действия, позволяющие мне  полноценно использовать продукт без заключения  соглашения с третьими  лицами.
Поскольку ( ссылка на  их магазин )указаны разные  цены на   машины  с системой от MS  и без оной, прошу Вас компенсировать составляющую.

C Письмо в СЦ,  у меня без скрипа  приняли  и подписали  что приняли, через  два  дня  договолись что  я  подъеду  и  оставлю ноут на  сутки.  
P.S.  выдали  ничтожно мало ( ~1000 руб) за  Win7Pro, но у меня было подходящее  настроение чтобы  хулиганить (   пусть  следят за  наличием у продавцов  модели без Win)

Ответить | Правка | ^ к родителю #215 | Наверх | Cообщить модератору

44. "Для ядра Linux представлена реализация IPv6 NAT"  –2 +/
Сообщение от Dmitry email(??) on 27-Ноя-11, 01:05 
Не получится. Даже не пытайтесь дергаться в этом направлении. Это только громкие слова.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

51. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 27-Ноя-11, 03:42 
> Не получится. Даже не пытайтесь дергаться в этом направлении.

Если не дергаться - ну так всякие му... будут и дальше продавать всякие недоделки, брак и колбасу с картоном под видом нормального товара. Вообще, даже в России уже был ряд интересных прецедентов когда телекомы получали по шапке за методы ведения бизнеса.

Ну а консультироваться по вопросу имеет ли смысл дергаться имеет смысл с юристом, компетентным в предметной области. Вы являетесь таковым?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

25. "Для ядра Linux представлена реализация IPv6 NAT"  –3 +/
Сообщение от Andrew Kolchoogin on 26-Ноя-11, 22:57 
Да не дёргайтесь вы так. Драфт IETF почитайте.

Во-первых, ТАКОЙ NAT топологию сети не скроет: он СТРОГО 1:1. И вообще, не NAT, а NPT -- Network Prefix Translation. Про сохранение полной связности -- в первом абзаце драфта.

Правда, линуксячьи хомячки могут опять своей дорогой пойти... Ну тады ой. :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от demon (??) on 27-Ноя-11, 00:36 
> Во-первых, ТАКОЙ NAT топологию сети не скроет: он СТРОГО 1:1. И вообще,
> не NAT, а NPT -- Network Prefix Translation. Про сохранение полной
> связности -- в первом абзаце драфта.

Я бы сказал "упомянуто о полной связности", и далее сказано, что IPv4 NAT нарушает этот принцип, и хорошо бы чтобы IPv6 NAT не нарушал. Но не более того.

Я вот честно говоря не могу найти достойного применения IPv6 NAT, и более того, в упомянутом драфте рассмотрены случаи применения NAT-а и все они признаны нецелесообразными для IPv6


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

55. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 04:58 
> Я вот честно говоря не могу найти достойного применения IPv6 NAT

Наколенная альтернатива Mobile IPv6 (который зело мутен в настройке, стоит признаться) с трансляцией префикса домашней сети в гостевую.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

56. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 04:59 
> Наколенная альтернатива Mobile IPv6

Да, про отсутствие в этом случае самой возможности нормального прямого роутинга я в курсе. Это чисто на коленке для относительно редких случаев "ноут уехал на неделю на дачу, а править везде ACL'и дико неудобно".

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

36. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 00:11 
вообще-то в xtables всё это давно есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 00:36 
> вообще-то в xtables всё это давно есть.

RAWNAT очень неудобен, т.к. не поддерживает conntrack.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

124. "Для ядра Linux представлена реализация IPv6 NAT"  –2 +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:33 
> RAWNAT очень неудобен, т.к. не поддерживает conntrack.

Любите тратить память на отслеживание кучи соединений? :)

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

189. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 29-Ноя-11, 13:20 
> Любите тратить память на отслеживание кучи соединений? :)

Примерно как тратить личное время на употребление пищи - не люблю, но надо.

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

64. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nagual email(ok) on 27-Ноя-11, 12:23 
Ппц. Такое впечатление что склероз косит ряды коментаторов. У многих юзеров дома стоят роутеры типа dir 300 615 tp941d  и что эти железки умеют ip6 ? Пока не закончится жизненный цикл этих железок ip6 нафиг не уперся ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от gaga on 27-Ноя-11, 13:04 
> Ппц. Такое впечатление что склероз косит ряды коментаторов. У многих юзеров дома
> стоят роутеры типа dir 300 615 tp941d  и что эти
> железки умеют ip6 ? Пока не закончится жизненный цикл этих железок
> ip6 нафиг не уперся ...

Ты не поверишь, но сейчас большая часть домашних железок поддерживает ip6. В магазине купить роутер без ip6 это надо очень хорошо постараться, поскольку на них на всех стоит ядро 2.6. Ну и плюс нехилая часть юзеров сидит напрямую, вообще без роутера.
Да и стоит роутер копейки и часто выдается провайдером вообще бесплатно.

А если ип6 будет внедрен как стандарт, то проблема решится через пару месяцев. Короче, это не проблема. Куда большую проблему создают сраные закрытые за натом порты.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

80. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от DFX (ok) on 27-Ноя-11, 14:50 
да ядро и свежесть всего этого - даже не причины возможного отсуствия поддержки IPv6. стандарту IPv6, без всяких дополнений, расширений и подпорок для мотивации перехода, сколько уже лет ? больше десятка, небось. просто прошивки для всего этого собирают с выпиливанием этой самой поддержки, а железячную его поддержку создавать не спешат.

настоящая проблема тут - это проблема "курицы и яйца". нет поддержки со стороны ISP конечных пользователей - Content Provider'ы не чешутся, а раз CP не чешутся, то и ISP не чешутся. в итоге - все давят по-старинке, а болванчики читают письмена об устаревших, не актуальных подходах, как мантры.
вон уже сколько тут повылазило апологетов NAT'а и во имя "безопасносте!11", и как инструмента в организации топологии сети, и чуть ли не как чудо-юдо протокола маршрутизации. особенно корпораты, со своим "вот с этого сегмента связности с Интернетом быть не должно, в целях безопасности и тп., но если очень хочется - то можно, так что -  будем NAT'ить, тоже в целях безопасносте!11". нельзя, знаете ли, сношать бабу в дырявом презервативе, а потом думать, что она после этого точно не забеременеет.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

77. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Xasd (ok) on 27-Ноя-11, 14:13 
в руководствах от OpenWRT и DD-WRT -- написанно что с IPv6 всё в порядке :-)
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

79. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от DFX (ok) on 27-Ноя-11, 14:28 
а вы таки не думали, что все эти "домашние роутеры" - есть костыли для поддержки систем, построеных на базе виртуальных тоннелей (не столько VPN, сколько имитации на VLAN'ах и/или PPP) и NAT'а, а в IPv6 сетях они на Х не сдались и, более того, в концепцию связности в Интернете эти поделия никак не входят ?

жизненный цикл этих желехок, как и сами эти железки, "решающие" выдуманные проблемы, нафиг не сдались в IPv6-сетях. в крайнем случае, их временно можно заменить на DualStack-Lite клиенты (например, так называемые, B4-элементы на тех же самых CPE, "роутерах", для работы с AFTR и Carrier Grade NAT) либо использовать "как есть" для реализации полного DualStack (IPv6 - напрямую, IPv4 - так же, через костыль).

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

82. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от terr0rist (ok) on 27-Ноя-11, 15:25 
а вы таки не думали, что помимо костылей, есть ещё и куча других полезных функций?
1. банальный хаб (вход 1 кабель, раздача на несколько девайсов) + банальная точка доступа вифи
2. сервисы типа нтп, скачки торентов и пр, ради которых держать целый комп включённым далеко не всегда охота, да и тот же фаервол "из коробки"
3. Проблемы, может, и выдуманные, но в ближайшие лет 5 они будут актуальны. Я уверен, что для 80% юзеров задача "перехода на ИПв6" свершится только с переходом на девайсы, заведомо работающие только по ИПв6, так как сами перенастроить эти девайсы они не в состоянии. Поэтому ещё лет 10 существовать ИПв4 будет.
4. С массовым переходом на ИПв6 придётся массово устанавливать и ДНС, и файерволы там, где до этого в них необходимости не было, потому что если сейчас я ставлю локальный веб-сервак на 10.1.5.25, и это все могут запомнить, то потом запоминать /128 будет некому, значит, должен быть ДНС. Даже для локальной сети из 3-х компов. А чтобы при этом друзья не ломились на мой смарт, придётся ставить на него файрвол :)
А всякую "концепцию связности в Интернете" и прочие страшные слова оставьте для микрософта. И вообще, если вы о чём-то таки не думали, это ещё не значит, что такого таки нету.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

88. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от DFX (ok) on 27-Ноя-11, 17:15 
это вам следовало сначала подумать, что хоть "роутеры" - это CPE (Customer premises equipment), всё CPE не обязано быть "роутером". более того, это самое CPE - есть штука обязательная к наличию у пользователя для оказания ему услуг связи, в принципе, и, не у наглых жлобов, ещё и выдаётся ему оператором бесплатно.

разговор здесь именно о "роутерах" и приплетать что-то другое не стоит.

>> 1. банальный хаб (вход 1 кабель, раздача на несколько девайсов) + банальная точка доступа вифи

вот давайте только hub'ы выкапывать не будем в 21вом веке, а ? если уж на то пошло, пусть это будут коммутаторы, и будут они не "раздавать" как попало, а быстро-быстро коммутировать, причём железом, а не дрищ-процем.
а эта "банальная точка доступа вифи" будет ethernet/wifi-мостом. отдельным, с коммутирующей платой или ввиде, вами любимого, "нецелого компа".

ради стабильного уровня качества вашей же связи.
но как это относится к CPE, оборудованию _необходимому_ для оказания услуг связи, в принципе ?

>> 2. сервисы типа нтп, скачки торентов и пр, ради которых держать целый комп включённым далеко не всегда охота, да и тот же фаервол "из коробки"

если ваш "нецелый комп" может потянуть такие изыски, то и прошивочка в нём поди будет не из 90х, а то и, вообще, без проблем заменяемая.
но опять же, как это относится к CPE, оборудованию _необходимому_ для оказания услуг связи, в принципе ?

>> 3. Проблемы, может, и выдуманные, но в ближайшие лет 5 они будут актуальны. Я уверен, что для 80% юзеров задача "перехода на ИПв6" свершится только с переходом на девайсы, заведомо работающие только по ИПв6, так как сами перенастроить эти девайсы они не в состоянии. Поэтому ещё лет 10 существовать ИПв4 будет.

сказать-то чего хотели ?
я тут вообще пытался сказать, что высер автора выше: "Пока не закончится жизненный цикл этих железок ip6 нафиг не уперся"© - есть чушь собачья. а вы чего, за/против/посередине ?

да и что за "Проблемы, может, и выдуманные, но в ближайшие лет 5 они будут актуальны" ?
я слишком непонятно пытался донести, что при переходе на IPv6 и новый, грамотный, дизайн сетей, отпадёт необходимость в жерезжопных решениях, а значит и дополнительном клиентском оборудовании, за исключением временной необходимости в B4-элементах, CPE в DualStack-Lite конфигурациях ?

>> 4. С массовым переходом на ИПв6 придётся массово устанавливать и ДНС, и файерволы там, где до этого в них необходимости не было, потому что если сейчас я ставлю локальный веб-сервак на 10.1.5.25, и это все могут запомнить, то потом запоминать /128 будет некому, значит, должен быть ДНС. Даже для локальной сети из 3-х компов.

необходимость была, но ложить Хер было слишком легко и удобно. с IPv6 - уже нет. опять же, вы тут вменяете, что NAT - есть аналог firewall'а и, вообще, каким-то боком относится к безопасности... про это уже всё было сказано, а запоминать случайные циферки - не людское дело в любом случае.
что, дальше будем сидеть, усугублять проблемы, которых не должно было быть изначально ?

от CPE надо избавляться, не мешая при этом собственному клиентскому сетевому оборудованию.

>> А чтобы при этом друзья не ломились на мой смарт, придётся ставить на него файрвол :)

предположу, что "смарт" - это так называемый "smartphone". он у вас такой дырявый, что всё напоказ выставляет и даёт полный удалённым доступ по-умолчанию ? может лучше стоит не костыль под него такой подкладывать, а сменить его нафиг ?
и даже если конфигурация на нём грамотная, и известных программных щелей нет, но firewall всё равно хочется, уж не лучше ли поставить фильтрационную программулину именно на него, без таких костылей ? аппаратной фильтрации вам в вашем "нецелом компе" всё равно никто не даст, а так даже лучше будет.

опять же, ради стабильного уровня качества вашей же связи.

>> А всякую "концепцию связности в Интернете" и прочие страшные слова оставьте для микрософта.

ога-ога, использование менее двухсмысленной номенклатуры, и вообще, попытки создать грамотное восприятие сути вопроса с обеих сторон, себя и собеседника - это всё от лешег^Wсотон^WMicrosoft'а, ага. как и знание, в принципе. давайте и дальше херню бездумно делать, по заветам бывалых технологических кретинов.

>> И вообще, если вы о чём-то таки не думали, это ещё не значит, что такого таки нету.

и если я о чём-то не говорил, это не значит, что я не знаю о существовании такого, или что оно каким-то боком относится к теме. может ещё о жизни слоников поговорим ?

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

101. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Кгы on 28-Ноя-11, 01:27 

>>> 2. сервисы типа нтп, скачки торентов и пр, ради которых держать целый комп включённым далеко не всегда охота, да и тот же фаервол "из коробки"
> если ваш "нецелый комп" может потянуть такие изыски, то и прошивочка в
> нём поди будет не из 90х, а то и, вообще, без
> проблем заменяемая.
> но опять же, как это относится к CPE, оборудованию _необходимому_ для оказания
> услуг связи, в принципе ?

Ага, а если производитель железки прошивку с IPV6 не выпустит, то ее на свалку немедленно - как хрень задерживающую наступление светлого будущего. У меня, например, спутниковый рес только IPV4 поддерживает - его в мусорку теперь? 18 килорублей между прочим.

>[оверквотинг удален]
> предположу, что "смарт" - это так называемый "smartphone". он у вас такой
> дырявый, что всё напоказ выставляет и даёт полный удалённым доступ по-умолчанию
> ? может лучше стоит не костыль под него такой подкладывать, а
> сменить его нафиг ?
> и даже если конфигурация на нём грамотная, и известных программных щелей нет,
> но firewall всё равно хочется, уж не лучше ли поставить фильтрационную
> программулину именно на него, без таких костылей ? аппаратной фильтрации вам
> в вашем "нецелом компе" всё равно никто не даст, а так
> даже лучше будет.
> опять же, ради стабильного уровня качества вашей же связи.

Да упаси господи! Конечно-же все смартфоны на 100% защищены и все китайские разработчики дают 100% гарантию отсутствия дырок в прошивках, равно как и авторы программ в маркетах :-)))

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

145. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от DFX (ok) on 28-Ноя-11, 14:05 
>> Ага, а если производитель железки прошивку с IPV6 не выпустит, то ее на свалку немедленно - как хрень задерживающую наступление светлого будущего. У меня, например, спутниковый рес только IPV4 поддерживает - его в мусорку теперь? 18 килорублей между прочим.

ну ктож виноват, что вы выкинули свои деньги на поделия товарищей, не гнушающихся методами искусвенного застаревания для вынуждения покупки новых железок, либо просто слишком криворуких и бесстыжих, чтобы не позволять себе ляпать abandonware. да ещё и потратили свои собственные деньги на оборудование, нужное оператору для предоставления вам услуг.
могу только посочувствовать вашим жизненным тяжестям. но что, весь остальной мир теперь должен ждать, пока вы разгребёте свои технологические недоделки ?

>> Да упаси господи! Конечно-же все смартфоны на 100% защищены и все китайские разработчики дают 100% гарантию отсутствия дырок в прошивках, равно как и авторы программ в маркетах :-)))

конечно же, раз мы не верим в разумную безопасность одного устройства - давайте напялим к нему второе. да вот же беда, не слыхали про botnet'ы на необновляемых "роутерах" ? особенно, тех что по-умолчанию выставляют всякие службы на wan-интерфейс ? тысячи их, а то и миллионы.
а что, вы небось верите, что вы-то сможете если уж не обновить софт, то хоть исправить конфигурацию, и вам такого не светит ? а что вам мешает и обновить софт и исправить конфигурацию на вашем "смарте" (+ вы тут ещё и грязно передёргиваете и игнорируете весь смысл цитируемой вами же моей фразы. который сводится к совету таки поставить и настроить firewall на "смарте". чем он вам не угодил ? вы можете доказать, что он, на том же Android'е, дырявый ?) ?
таки не верите в свои способности ? тогда почему с вашим NAT'ящим "роутером" должна получиться другая история ? так давайте тогда и к нему ещё одну железку прилепим, и ещё, и ещё. где остановимся ?

я всё таки предлагаю купить нормальный "смарт" от ответственного производителя, грамотно его настроить и использовать в сети отвественного ISP, не плодя лишних сущностей.

и нечего тут сначала сесть в лужу, а потом оправдываться, мол так - нормально, потому что много других так же делают и живут дальше.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

132. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Anonshimuz on 28-Ноя-11, 10:34 
>>предположу, что "смарт" - это так называемый "smartphone". он у вас такой дырявый, что всё напоказ выставляет и даёт полный удалённым доступ по-умолчанию ? может лучше стоит не костыль под него такой подкладывать, а сменить его нафиг ?

и даже если конфигурация на нём грамотная, и известных программных щелей нет, но firewall всё равно хочется, уж не лучше ли поставить фильтрационную программулину именно на него, без таких костылей ? аппаратной фильтрации вам в вашем "нецелом компе" всё равно никто не даст, а так даже лучше будет.

>>опять же, ради стабильного уровня качества вашей же связи.

Имеется распределённая сеть из кучи сегментов (подсетей)(естесственно за натом с проксями шахматами и поэтессами) находящихся в разных зданиях, даже на разных этажах, добеса пользователей с таким-же зоопарком устройств от компов на 98-х, до iPad - ов, а так-же хитрыми железками для видеоконференцсвязи и по Вашему получается я должен пойти ко всем и и каждому и настроить им на их устройствах фаерволл???

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

156. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от DFX (ok) on 28-Ноя-11, 14:44 
>> Имеется распределённая сеть из кучи сегментов (подсетей)(естесственно за натом с проксями шахматами и поэтессами) находящихся в разных зданиях, даже на разных этажах, добеса пользователей с таким-же зоопарком устройств от компов на 98-х, до iPad - ов, а так-же хитрыми железками для видеоконференцсвязи и по Вашему получается я должен пойти ко всем и и каждому и настроить им на их устройствах фаерволл???

во-первых - как CPE и способ предоставления связи провайдером связан с корпоративной сетью ?

во-вторых - нет, вы обязаны "пойти" по всем и каждому ввереному вам устройству, составляющему вашу сетевую инфраструктуру (сервера, маршрутизаторы, коммутаторы, "хитрые железки для видеоконференцсвязи" и тп.), и настроить firewall'ы на них, а заодно и сконфигурировать их исходя из стандартизационных рекомендаций, корпоративной политики и здравого смысла.
то есть, выполнить свои профессиональные обязанности.

в-третьих - не помешало бы перестать использовать логическую фальшь, ввиде приравнивания NAT'а к firewall'у ("естесственно за натом с проксями шахматами и поэтессами"© в этом нет ничего "естественного").

вообще к чему это всё было ? выглядит так, как-будто вы используете NAT не просто между своей сетью и uplink'ом, но и на всех межсегментных соединениях внутри всей своей сети, а теперь шокировано узнаёте отсюда, что мол, оказывается, NAT - не есть функция фильтрации трафика.
вас, наверное, разорвёт, когда к вам придёт озарение, что NAT - есть, по-сути своей, красивое название для руинов уничтоженных понятий "локальный адрес" и "изолированный сегмент", уничтоженных путём игнорирования правила, по-которому маршрутизация пакетов в/вовне такой/го сегмент/а или такие/их адреса/ов запрещается, без исключений. но не велика потеря.


в свете чего предлагаю новую мантру для повторения местным апологетам NAT'а, гуру DoubleThink'а:
"NAT - не firewall, а технологический ублюдок, рождённый из ситуации 'когда маршрутизировать нельзя, но если очень хочется - то можно'"

Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

152. "Для ядра Linux представлена реализация IPv6 NAT"  –1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:26 
> это вам следовало сначала подумать, что хоть "роутеры" - это CPE (Customer
> premises equipment), всё CPE не обязано быть "роутером". более того, это
> самое CPE - есть штука обязательная к наличию у пользователя для
> оказания ему услуг связи, в принципе, и, не у наглых жлобов,
> ещё и выдаётся ему оператором бесплатно.
> разговор здесь именно о "роутерах" и приплетать что-то другое не стоит.

Успокойтесь, все их "роутерами" называют. Это устоявшееся неточность, как называть счётчики - биллингом или преступников - хакерами.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

184. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от DFX (ok) on 29-Ноя-11, 11:58 
ну давайте ещё член "палкой" назовём на медосмотре...

все виды CPE к этому разговору не имеют отношения, а то, что предыдущий оратор приплёл, не имеет прямого отношения к CPE. вот поделка с NAT'ом и/или туннелем до шлюза оператора уже будет CPE, которое может иметь, а может и не иметь, более широкий функционал.

использования NAT'а, лишнего туннелирования и невыдачи полноценной конфигурации для всех сетевых устройств абонента это никак не оправдывает.

PS: ишь чего придумали - "устоявшаяся неточность" 0_o
и правда: каким бы ни был status quo, всегда сполна найдётся тех, кто будет кровью биться за него, лишь бы не сдвинуло его, в любую сторону.

Ответить | Правка | ^ к родителю #152 | Наверх | Cообщить модератору

72. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от ricox email on 27-Ноя-11, 13:50 
Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход от ната. Шиза косит ряды разработчиков.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 27-Ноя-11, 19:39 
> Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход
> от ната. Шиза косит ряды разработчиков.

Кто-то точно тут поспорил, что обязательно напишет :-)

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

100. "Для ядра Linux представлена реализация IPv6 NAT"  –2 +/
Сообщение от The Shaman on 28-Ноя-11, 00:52 
>> Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход
>> от ната. Шиза косит ряды разработчиков.
> Кто-то точно тут поспорил, что обязательно напишет :-)

Видать тут с провадингом народ знаком только со стороны потребителя ... представте провайдер авторизует вас как порт или того хуже PPPx .... у вас за Вашей пасОчкой МЕГА СЕТЬ настроенная с Вашем Мего пониманием и амбициозным пониманием сети, с претензией к RFC и т.д. ... если NAT-а на ваше пасОчке не будет - вас ждет череда разочарований и шанс подавиться ядовитой слюной спадающей водопадом с вершины Вашего самолюбия :)

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

135. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Александр (??) on 28-Ноя-11, 12:22 
Что правда, то правда, на линуксовом роутере можно сделать костыль с переносом префикса полученного от PPP на сеть ЛАН и это решает проблему. Хотя в стандартах PPPv6 и предусмотрен Network Prefix Delegation, не тех устройствах, которые я тестировал это пока не работает.
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

164. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 17:11 
Все верно, кроме одного «но.» Терминологического.

> Хотя в стандартах PPPv6 и предусмотрен Network Prefix Delegation

1. Нет никакого PPPv6, это безграмотный термин. Есть PPP и есть один из возможных NCP — IP6CP (вариант написания — IPv6CP). Мы же не говорим PPPv4 или PPPIPX.

2. В IP6CP нет никакого Network Prefix Delegation. Все, что творится в PPP/IP6CP с IPv6 — это возможность установить link-local адреса. Дальше PPP не при делах.

3. Network Prefix Delegation — это в DHCPv6, которому плевать в PPP-туннель он завернут или нет.

4. DHCPv6, в общем-то, не совсем нужен — все, вроде бы, решается костылем из 3.5 скриптов, которые выполняют SLAAC, меняют конфиг анонсящего на локалку radvd и HUP'ают демона. И коротким временем анонса. Ну, последствия перенумерации понятны. Хотя не уверен что выйдет, могу врать, может быть и не взлетит.

И, да. По-хорошему, если есть развитая домашняя сеть, то нужно получить себе PI-адрес и запириться с провайдерами по BGP. Все через тот же PPP-туннель, например, по хорошо известным link-local адресам (fe80::1%ppp0 — чем не адрес пира?) Но это в стране эльфов, где единороги какают бабочками, а в этом мире будет сплошное «шо? не…»

Ответить | Правка | ^ к родителю #135 | Наверх | Cообщить модератору

159. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от DFX (ok) on 28-Ноя-11, 15:19 
можно поподробнее про эти былинные катаклизмы, от которых NAT якобы спасает ?

уж не на отсутствие ли всякой фильтрации (то есть ACL и функциональности firewall'а) на устройствах Доступа провайдерской сети, которую смягчает тунеллирование, выдача одного адреса, вместо подсети, и, в-итоге, обязательный NAT, при попытке со стороны пользователя подключить более одного устройства/контролировать подключение на CPE (проще говоря, допуск только данных проходящих через ppp-клиент) намекает автор ?

если так, то автор конечно понимает, что IPv6, решая проблему нехватки адресов, не только избавляет от необходимости в NAT'е, но и от необходимости засовывать IP в connection-oriented прослойку, то есть ppp, вообще, а значит и потвортствует установке правильного железа на Доступ ISP ?
то есть опять - решаем проблемы, которых не должно быть, и не будет, если не продолжать их игнорировать.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

161. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Александр (??) on 28-Ноя-11, 15:57 
Два случая из практики, где NAT бы пригодился:

1) Подключение к двум провайдерам
2) Подключение через PPPv6, не видел, чтобы где-то реально работало prefix delegation.

Ответить | Правка | ^ к родителю #159 | Наверх | Cообщить модератору

166. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от DFX (ok) on 28-Ноя-11, 19:52 
я только что сказал ведь, что от необходимости в ppp, и попыток превратить IP в connection-oriented протокол вообще, где эти имитации соединений могут сподвигатся на сотни километров, аки телефонные circuit-switched соединения, IPv6 отталкивает.

это ещё две вещи, которые _задумывались_ быть невыполнимыми (multihoming без BGP, ppp в современных, цифровых, connectionless сетях с достатком адресов). потому что так не надо делать, а точнее - надо делать по-другому. как, например, не надо пытаться разрешать соединения там, где их не должно быть в целях безопасности. а если они должны быть, то делать их полноценно. но кого волнует, что там стандартизаторы и дизайнеры протоколов напридумывали, да ? у всех свои методы, хочешь глобальной connectivity - работать придётся со всеми, даже с технологическими извращенцами.
для избирательности есть firewall'ы, для глобальной маршрутизации и работы с uplink'ами - BGP, а ppp...

ppp в современных IP сетях ещё не сдох не от хорошей жизни и мира во всём мире. помереть бы ему вместе с пёр-пёр-аналоговой телефонией, да вот только
1) на "тупом" провайдерском железе, коего большинство, учёт и контроль голого IP-трафика  не сделать без больших проблем
2) регистраторы, как почуяли растущую проблему нехватки адресов (а почуяли они это очень давно), так и перестали давать адреса "на вырост", а значит и от красивых дизайнов своих новых сетей, с грамотной иерархией назначения адресов, эффективной маршрутизацией и расчётом на масштабируемость пришлось отказаться. вот вам географическая зона, вот вам пачка адресов - всё одним сегментом, для бОльшей утилизации, потом ещё дадим - из другого pool'а.

в голодранца играть нынешнему оператору связи уже как-то стыдно в наше время (а тем более - не оператору, а какому-нибудь корпоративному IT'шнику), а проблему с адресами IPv6 решает.
так что, эти две вещи, что вы указали, эти надуманые проблемы, существуют только от попыток обращаться с новым по-старинке (городить multihoming без BGP - тоже от жлобства купить нормальные маршрутизаторы и/или от недоверия к себе и персоналу собрать аппарат под это дело самостоятельно).

вместе с железом, надо и подходы менять. и менталитет.

Ответить | Правка | ^ к родителю #161 | Наверх | Cообщить модератору

204. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 01-Дек-11, 12:23 
Не могу похоронить PPPoE.

Схема:
1. Два Интернет-провайдера, друг с другом не взаимодействующие. Т.е. договориться нельзя.
2. Один кабельный оператор («последняя миля» между провайдером и клиентом), который этих двух провайдеров сводит в одну розетку у клиентов дома.
3. Клиент, пользующийся двумя провайдерами (по одному кабелю, да). Причем с одного компьютера.

Решение только одно — L2-сеть и PPPoE (у каждого провайдера свой Service-Name). IPoE хочется, но не можется по одной простой причине — нет другого доступного метода инкапсуляции кроме PPPoE.

Формально, правда, да, 802.1Q спас бы картину, если бы клиенты его массово умели. Но даже SOHO-роутеры далеко не все хотят, а десктопы с ноутами — вообще без шансов.

Ответить | Правка | ^ к родителю #166 | Наверх | Cообщить модератору

125. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от Аноним (??) on 28-Ноя-11, 03:34 
> Кто-то точно тут поспорил, что обязательно напишет :-)

Я даже знаю как его звали. Это был Капитан Очевидность. Выше по треду кстати тоже его рук дело.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

129. "Для ядра Linux представлена реализация IPv6 NAT"  +2 +/
Сообщение от ram_scan on 28-Ноя-11, 07:39 
Для тех товарищей которые свято верят в то что NAT их отчаянно защищает, просветитесь что такое Symmetric NAT, Full cone NAT, Address restricted NAT и Port restricted NAT. Ужаснитесь.

Практически через все наты кроме симметричного можно просто входить как в открытые двери. Для обратного прохождения симметричного ната нужно чуть поднапрячься. Сложно, но не невозможно.

Нат на IPV6 это чисто фо лулз. Код у пацанов был рабочий, не пропадать же добру, вот и впилили. Нахрена оно нужно - непонятно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

141. "Для ядра Linux представлена реализация IPv6 NAT"  +/
Сообщение от nikos (??) on 28-Ноя-11, 13:57 
Те кто верит, то есть те кого он как- то защищает,  в  99%  используют PAT. Вы  уверены  что оно нормально проходимо для  входящих соединений?
> Для тех товарищей которые свято верят в то что NAT их отчаянно
> защищает, просветитесь что такое Symmetric NAT, Full cone NAT, Address restricted
> NAT и Port restricted NAT. Ужаснитесь.
> Практически через все наты кроме симметричного можно просто входить как в открытые
> двери. Для обратного прохождения симметричного ната нужно чуть поднапрячься. Сложно, но
> не невозможно.
> Нат на IPV6 это чисто фо лулз. Код у пацанов был рабочий,
> не пропадать же добру, вот и впилили. Нахрена оно нужно -
> непонятно.
Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

158. "Для ядра Linux представлена реализация IPv6 NAT"  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:47 
> Те кто верит, то есть те кого он как- то защищает,  в  99%  используют PAT. Вы  уверены  что оно нормально проходимо для  входящих соединений?

С использованием IGD/UPnP и при наличии засланцев в сети - прекрасно проходимо. В отличие от фаервола.

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

133. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +2 +/
Сообщение от PnD (??) on 28-Ноя-11, 11:00 
  Заладили, млин, "защита-защита" :( А ничего, что при помощи SNAT|DNAT в сети можно малой кровью выполнить кучу приятных "фокусов"? Например, отправить соединения на некий конкретный порт обрабатываться неким конкретным сервисом. Что может при случае подстраховать локал-админов от мисконфигурейшена, а техподдержку - избавить от части дурных звонков.
  Ну, короче, есть масса вариантов кроме как SNAT-ить всю сеть в 1 несчастный ip. И очень хорошо, что у сис-прогеров наконец дошли до этого руки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

137. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от ram_scan on 28-Ноя-11, 13:22 
А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за гаражами ? Обычно выкручиваться приходится от бедности.
Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

153. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:29 
> А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за
> гаражами ? Обычно выкручиваться приходится от бедности.

Обычно выкручиваться приходится от СЛОЖНОСТИ.

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

170. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  –1 +/
Сообщение от Аноним (??) on 28-Ноя-11, 20:50 
>> А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за
>> гаражами ? Обычно выкручиваться приходится от бедности.
> Обычно выкручиваться приходится от СЛОЖНОСТИ.

Ты с админом локалхоста разговариваешь. Для него сложностей не существует. Ваш К.О.


Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

195. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +1 +/
Сообщение от Кирилл (??) on 29-Ноя-11, 17:05 
> Обычно выкручиваться приходится от СЛОЖНОСТИ.

Обычно от ГЛУПОСТИ. Но это синоним сложности.

Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

134. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от Александр (??) on 28-Ноя-11, 12:15 
NAT в IPv6 нужен для двух вещей

1) Multihoming без BGP. Как вы это сделаете без ната?
2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных мануалах по безопасности, и ее по моему никто не отменял.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

154. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +3 +/
Сообщение от Аноним (??) on 28-Ноя-11, 14:32 
> 2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных
> мануалах по безопасности, и ее по моему никто не отменял.

В IPv6 эту рекомендацию считают устаревшей.

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

182. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от Andrew Kolchoogin on 29-Ноя-11, 11:05 
> 1) Multihoming без BGP. Как вы это сделаете без ната?

X8-O

А NAT-то зачем?! Сервер слушает на всех адресах, а пакеты роутятся FBR'ом...

> 2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных мануалах по безопасности, и ее по моему никто не отменял.

Почитайте draft IETF. Та реализация NAT'а, которая там описана, реальную адресацию внутри сети не скрывает, ибо она строго 1:1.

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

209. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от Александр (??) on 05-Дек-11, 12:59 
С приходящим трафиком нет проблем вообще, а как быть с трафиком исходящим. В IPv4 хост обычно имеет один адрес IP, и роутер решает, через какого провайдера выходить. А в IPv6 хост сам должен разобраться, какой линк выбрать, как вы предлагаете это сделать?

Ответить | Правка | ^ к родителю #182 | Наверх | Cообщить модератору

194. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +2 +/
Сообщение от Кирилл (??) on 29-Ноя-11, 17:03 
В обоих случая NAT это ненужный больше костыль. Его держат скорее из-за того, что народ к нему привык и прикипел душой.
Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

165. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от d0 email on 28-Ноя-11, 19:02 
Мне слабо верится, что будущие isp будут выдавать мне сетку, а не адрес, требуя деньги за каждый девайс.
Как-то по работе нужые был для проверки кое-чего. Так для тестов сам нарисовал на nfqueue+python. Работал, натил.
И вообще, откуда столько воплей? Не нравится - отключи. Хочется - включи. Полная свобода.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

183. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от Andrew Kolchoogin on 29-Ноя-11, 11:07 
> Мне слабо верится, что будущие isp будут выдавать мне сетку, а не
> адрес, требуя деньги за каждый девайс.

Придётся. IP v6 не умеет роутить адреса. Он меньше /64 роутить не умеет.

Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

211. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от nikos (??) on 07-Дек-11, 12:29 
>> Мне слабо верится, что будущие isp будут выдавать мне сетку, а не
>> адрес, требуя деньги за каждый девайс.
> Придётся. IP v6 не умеет роутить адреса. Он меньше /64 роутить не
> умеет.

Ооой, мы  тут по незнанию запустили в клиента  12  адресов  /128  (: -   мы  все  умрем - да ?

Ответить | Правка | ^ к родителю #183 | Наверх | Cообщить модератору

207. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от demon (??) on 05-Дек-11, 00:15 
У NAT в IPv4 тоже была благородная цель - расширить адресное пространоство. Но админы локалхоста решили, что это такой хитрый файрвол.
Если и в IPv6 будет такая же фигня - то лучше вообще не делать реализацию  NAT для IPv6
Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

221. "Для ядра Linux представлена первая тестовая реализация IPv6 ..."  +/
Сообщение от iZEN (ok) on 11-Дек-12, 14:28 
> У NAT в IPv4 тоже была благородная цель - расширить адресное пространоство.
> Но админы локалхоста решили, что это такой хитрый файрвол.
> Если и в IPv6 будет такая же фигня - то лучше вообще не делать реализацию  NAT для IPv6

А раз она уже сделана, значит IPv6 — такая же фигня, как IPv4. ;)

Ответить | Правка | ^ к родителю #207 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру