LINUX.ORG.RU
ФорумAdmin

IPv6 никак не поковырять?

 


1

6

чтоб нативно, без ipv6-тоннелей. если провайдер ipv6 не выдает, значит всё, не будет ipv6 ахахахах?

/etc/dhcpd6.conf имеет простую конфигурацию

subnet6 fd00::/64 {
        range6 fd00::5 fd00::9;
}

и раздает адреса на интерфейсе wlan0

# dhcpd -6 -f -d -cf /etc/dhcpd6.conf wlan0

теперь на любом клиенте я могу получить адрес

# dhclient -6 wlan0

но всё это не имеет никакого смысла, потому что провайдер до сих пор не умеет в ipv6 и дальше домашней локальной сети пакеты не уходят.

ipv6 нужен, но как скоро его внедрят повсеместно?

ещё у меня родилась идея такого костыля. чтобы я выходил в сеть через ipv4 провайдера как обычно, но, внутри локальной сети wlan0 все адреса чтобы преобразовывались в ipv6.

например ЛОР имея ipv4 адрес 178.248.233.6, но внутри ipv6 сети будет доступен только по адресу 0:0:0:0:0:ffff:b2f8:e906

можно ли таким образом уже сегодня полностью отказаться от использования ipv4 хотя бы внутри домашней сети?

но это я так понимаю надо и bind собственный настраивать, чтобы выдавал конвертированные адреса, и iptables тоже должен «на лету» преобразовывать адреса делая forward трафика.

такое возможно вообще? или сидеть на попе ровно и ждать появления ipv6 у шаражкиных провайдеров.

★★★★★

Ответ на: комментарий от AS

Если бы ты осилил дочитать дальше заголовка, ты бы увидел проблемы, например, с добавлением MAC-адресов в глобальный адрес.

Если бы ты осилил дочитать про «privacy extension», то знал бы, что это уже не проблема. :)

zink ★★
()
Ответ на: комментарий от zink

К потере сети вообще ?

Это лучше, чем дать доступ в локальную сеть. И, что немаловажно, сразу заметно. В отличие от.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от zink

Какие у НАТа преимущества перед IPv6 + Firewall?

При отключённом NAT ничего не будет работать. При отключённом файрволле никто ничего не заметит до факапа, а то и после него. Поэтому с т.з. безопасности NAT надёжнее чем просто файрволл, по аналогии с белым и чёрным списком.

UPnP висит вывернутый наружу у половины роутеров, драйвбаями меняются настройки админки роутеров и это уже не говоря о комплектных бэкдорах, которые так не любит затыкать линксис

Далеко не у всех роутеры линксис и даже длинк, здесь нужен индивидуальный подход. С отключённым фаерволом же можно будет автоматически косить целые сети вместе со всеми их устройствами пачками, и тогда вполне возможно что времена, когда можно было перезагрузить машину пингом, покажутся раем.

h578b1bde ★☆
()
Ответ на: комментарий от AS

Это лучше, чем дать доступ в локальную сеть.

Что за бред? С чего это вдруг стало лучше? а) То что у тебя включен НАТ ещё не значит что устройства за ним не видны, при кривом UPnP злоумышленник может легко «простучаться» внутрь и видеть всю твою сетку. б) если у тебя действительно ситуация когда «без файерволла сети не должно быть, точка, то это решается совсем другими методами, вплоть до хардварного ФВ.

Если у тебя есть устройства которые не должны роутиться во внешнюю сеть - дай им link-local address и всё.

Ну и не выключай файерволл что-ли. А то так можно ещё и пластидом роутер обмотать чтобы подрывать если что не так.

zink ★★
()
Ответ на: комментарий от zink

а) То что у тебя включен НАТ ещё не значит что устройства за ним не видны

Но это значит, что угадать, что там видно, достаточно сложно.

при кривом UPnP

А кто его использует в нормальной сети ? :-)

AS ★★★★★
()
Ответ на: комментарий от h578b1bde

При отключённом NAT ничего не будет работать. При отключённом файрволле никто ничего не заметит до факапа, а то и после него. Поэтому с т.з. безопасности NAT надёжнее чем просто файрволл, по аналогии с белым и чёрным списком.

NAT - не метод обеспечения безопасности, я уже сказал. С тем же успехом в NAT будет висеть UPnP наружу и все будут думать что они в безопасности.

Далеко не у всех роутеры линксис и даже длинк, здесь нужен индивидуальный подход. С отключённым фаерволом же можно будет автоматически косить целые сети вместе со всеми их устройствами пачками, и тогда вполне возможно что времена, когда можно было перезагрузить машину пингом, покажутся раем.

Что изменилось с тех диких времён? А, да, в винде теперь по умолчанию идёт файерволл чтобы как раз не допустить таких факапов. «можно будет автоматически косить целые сети вместе со всеми их устройствами пачками» - как же интернет ещё работает-то, где так много машин не сидит за NATом?

zink ★★
()
Ответ на: комментарий от AS

Но это значит, что угадать, что там видно, достаточно сложно.

а) там никто не угадывает, там сканируют б) в IPv6 тоже, внезапно, надо или угадывать или сканировать, ND работает только на link-local

А кто его использует в нормальной сети ? :-)

Тот же кто в нормальной сети «случайно» выключает файерволл.

zink ★★
()
Ответ на: комментарий от zink

NAT - не метод обеспечения безопасности

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

А, да, в винде теперь по умолчанию идёт файерволл чтобы как раз не допустить таких факапов.

А во многих мобильнопланшетных устройствах он не идёт либо настроен некорректно.

как же интернет ещё работает-то, где так много машин не сидит за NATом?

А с чего ты взял что они не сидят за NAT? Сейчас у каждого второго хомяка кабель из интернетов воткнут в вайфай роутер.

h578b1bde ★☆
()
Ответ на: комментарий от zink

Тот же кто в нормальной сети «случайно» выключает файерволл.

Если что-то включено, оно может быть выключено. А если чего-то просто нет, оно не появится. :-)

AS ★★★★★
()
Ответ на: комментарий от AS

Если что-то включено, оно может быть выключено. А если чего-то просто нет, оно не появится. :-)

Когда обсуждение уходит в сферу кривых рук, то может быть возможно что угодно. З.Ы. ничто не мешает ставить ФВ который будет отрубать сетку при своём выключении. И выключить ФВ ничуть не проще, чем врубить UPnP для «мне надо срочно-пыщь-пыщь-пыщь, начальник сейчас тебе будет свечку вкручивать».

zink ★★
()
Ответ на: комментарий от zink

А, да, в винде теперь по умолчанию идёт файерволл

Ага. И верх безопасности - это icmp echo отключить. Рукожопые обезьяны...

AS ★★★★★
()
Ответ на: комментарий от h578b1bde

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

Да можно что угодно использовать для чего угодно. Тут разговор о том, что этот метод тянет за собой кривость и костыли.

А во многих мобильнопланшетных устройствах он не идёт либо настроен некорректно.

На них как правило и сервисов не висит, которые можно проэксплуатировать.

А с чего ты взял что они не сидят за NAT? Сейчас у каждого второго хомяка кабель из интернетов воткнут в вайфай роутер.

А у каждого первого - прямо в комп и мобильник ещё подрублен прямо в сеть интернет через мобильного провайдера.

zink ★★
()
Ответ на: комментарий от h578b1bde

А с чего ты взял что они не сидят за NAT? Сейчас у каждого второго хомяка кабель из интернетов воткнут в вайфай роутер.

При этом что на роутере сидит бот через бэкдор или админку с дефолтным паролем наружу, что у хомяка на компе через drive-by. Но самое главное что за NAT - так безопаснее.

zink ★★
()
Ответ на: комментарий от AS

Ага. И верх безопасности - это icmp echo отключить. Рукожопые обезьяны...

Ну, это уже совсем другая песня. В принципе, если машину можно поиметь просто зная её IPшник это значит что что-то совсем не так в консерватории и это надо исправлять, а не сидеть в лыбой «а я за НАТом», а потом размазывать сопли и заикаясь спрашивать «как так деньги со счёта увели?».

zink ★★
()
Ответ на: комментарий от zink

При этом что на роутере сидит бот через бэкдор или админку с дефолтным паролем наружу, что у хомяка на компе через drive-by. Но самое главное что за NAT - так безопаснее.

Админка во всех более-менее адекватных роутерах по умолчанию не висит на WAN, поэтому чтобы её поиметь, нужно таки прорваться через NAT.

h578b1bde ★☆
()
Ответ на: комментарий от zink

На них как правило и сервисов не висит, которые можно проэксплуатировать.

Не факт. Просто сейчас такой тренд что мобилки, особенно на ведроиде из-за массовости, выгоднее взламывать с помощью таджикских вирусов через мозг пользователя чем удалённо из сети.

А у каждого первого - прямо в комп и мобильник ещё подрублен прямо в сеть интернет через мобильного провайдера.

Вот, кстати, навскидку даже не скажу у кого из моих знакомых нет роутера, все используют несколько устройств для интернетов. У мобильников же обычно все служебные порты закрыты, поэтому там и IPv6 особо не попользуешься.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

во всех более-менее адекватных роутерах по умолчанию не висит на WAN

Что не мешает там оставлять бэкдоры от производителя вывешенные на всех интерфейсах. *смотрит на Линксис* Да и по поводу вывешенных на внешний интерфейс админок было много возмущений на всяких домашних коробках.

zink ★★
()
Ответ на: комментарий от h578b1bde

Просто сейчас такой тренд что мобилки, особенно на ведроиде из-за массовости, выгоднее взламывать с помощью таджикских вирусов через мозг пользователя чем удалённо из сети.

У мобилок не висит ничего наружу куда стучишься. Кроме какого-нибудь листенера пуш-мессаджей.

Вот, кстати, навскидку даже не скажу у кого из моих знакомых нет роутера, все используют несколько устройств для интернетов.

Я про то что есть куча девайсов которые имеют нормальные адреса и тем не менее это не мешает им жить. Собственно это основа и залог нормальной работы интернета. Ты же пытаешься изобразить «у машины есть IP доступный из интернета == машину поимеют».

У мобильников же обычно все служебные порты закрыты, поэтому там и IPv6 особо не попользуешься.

И чем же это мешает пользоваться IPv6? Мобильник точно так же может открыть порт и начать слушать, допустим, SIP поток от другого такого же мобильника и потом закрыть его как только закончит или сможет прокинуть файло напрямую или сможет соединиться со стоящим дома серваком с IPv6.

zink ★★
()
Ответ на: комментарий от zink

Ты же пытаешься изобразить «у машины есть IP доступный из интернета == машину поимеют».

Не обязательно, но если у машины нет доступного из интернета IP — вероятность что машину поимеют сильно меньше чем с доступным IP.

или сможет соединиться со стоящим дома серваком с IPv6.

Если у этого сервака есть белый IPv4, то наличие IPv6 или белого IPv4 у клиента совсем не обязательно.

h578b1bde ★☆
()
Ответ на: комментарий от zink

Что не мешает там оставлять бэкдоры от производителя вывешенные на всех интерфейсах. *смотрит на Линксис*

Не покупай линксис, всего делов-то.

Да и по поводу вывешенных на внешний интерфейс админок было много возмущений на всяких домашних коробках.

Мне такие пока не попадались. Возможно это была инициатива какого-то провайдера, раздающего эти коробки нахаляву.

h578b1bde ★☆
()
Ответ на: комментарий от zink

Ну, это уже совсем другая песня. В принципе, если машину можно поиметь просто зная её IPшник это значит что что-то совсем не так в консерватории и это надо исправлять

Ну так поисправляли где-то ближе к концу 90-х. Забавно что оно поражало не только винды, но и эти ваши линуксы с маками, просто все запомнили винду как наиболее массовый объект для атак.

а не сидеть в лыбой «а я за НАТом», а потом размазывать сопли и заикаясь спрашивать «как так деньги со счёта увели?»

Очевидно что NAT защищает лишь от внешних атак, а не от уязвимостей прокладки между монитором и креслом, запускающей всё подряд. Но ведь от них и фаервол не поможет, верно?

h578b1bde ★☆
()
Ответ на: комментарий от zink

А у каждого первого - прямо в комп и мобильник ещё подрублен прямо в сеть интернет через мобильного провайдера

Кстати, ты забыл ещё про сетевые принтера, телевизоры, кофеварки и прочий интернет дырявых вещей, который сейчас вынесен за NAT.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Очевидно что NAT защищает лишь от внешних атак, а не от уязвимостей прокладки между монитором и креслом, запускающей всё подряд. Но ведь от них и фаервол не поможет, верно?

NAT не защищает ни от чего, для защиты есть файервол, хватит полагаться до «побочные эффекты» продукта, которые ещё и ведут себя непредсказуемо и варьируются от вендора к вендору. NAT не файерволл и оправдывать его существование тем что его побочные эффекты чем-то схожи (иногда) с файерволлом - глупо. Нужен файервол - надо ставить файервол и не сношать мозг ломая к чертям адресацию.

Не покупай линксис, всего делов-то.

Вопрос не во мне. Вопрос в том что этих линксисов и длинков - как навоза у каждого второго.

Мне такие пока не попадались. Возможно это была инициатива какого-то провайдера, раздающего эти коробки нахаляву.

И тем не менее они есть и на них успешно пилят ботнеты.

zink ★★
()
Ответ на: комментарий от h578b1bde

не только винды, но и эти ваши линуксы с маками, просто все запомнили винду как наиболее массовый объект для атак.

Подозреваю что если были бы подверженны серваки, то все бы это запомнили. Но складывались именно вендомашины.

zink ★★
()
Ответ на: комментарий от h578b1bde

Кстати, ты забыл ещё про сетевые принтера, телевизоры, кофеварки и прочий интернет дырявых вещей, который сейчас вынесен за NAT.

Которые точно так же можно достать через NAT, дырок в нём достаточно. Проблему решит только а) нормальная обновляемая ось с исправлениями безопасности б) нормально настроенный файерволл. Сейчас «интернет вещей» спасает только то, что им пользуется полтора гика. Как станет массово, то будут нагибать и сквозь НАТ в том числе.

zink ★★
()
Ответ на: комментарий от zink

Подозреваю что если были бы подверженны серваки, то все бы это запомнили. Но складывались именно вендомашины.

Да, если бы тогда были подвержены серваки, то это запомнили. Но так как тогда линукс был игрушкой полторы красноглазиков, в то время как на серваках господствовали всякие Netware, этого не случилось. Там же есть ссылка на insecure.org, где можно ознакомиться со всеми уязвимыми системами и их версиями.

h578b1bde ★☆
()
Ответ на: комментарий от zink

NAT не защищает ни от чего, для защиты есть файервол, хватит полагаться до «побочные эффекты» продукта, которые ещё и ведут себя непредсказуемо и варьируются от вендора к вендору.

Как будто у фаерволов нет побочных эффектов, которые ведут себя непредсказуемо и варьируются от реализации к реализации.

Вопрос не во мне. Вопрос в том что этих линксисов и длинков - как навоза у каждого второго.

Мои собственные наблюдения показывают что у большинства тп-линк. Хотя они, конечно, могут не совпадать с твоими.

И тем не менее они есть и на них успешно пилят ботнеты.

Бесплатный сыр в мышеловке. Фишка в том что дырявый роутер можно в любой момент один раз перепрошить на более новую официальную или стороннюю прошивку или поменять на другой. В случае же с кучей дырявых говноустройств с белыми адресами нужно следить за каждым устройством, всё время обновлять прошивку на каждом и молиться на каждого вендора дабы чего не вышло.

h578b1bde ★☆
()
Ответ на: комментарий от zink

Проблему решит только а) нормальная обновляемая ось с исправлениями безопасности

Ага, в теории. По факту мы уже имеем кучу дырявых ведроидов с версиями старше говна мамонта, на которые вендор давно забил.

Сейчас «интернет вещей» спасает только то, что им пользуется полтора гика

Сетевые принтера, например, в конторах довольно распространены.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

То, что гланды можно удалять, не означает что их нельзя попробовать удалить через жопу

Аналогия примерно такая же.

Pinkbyte ★★★★★
()
Ответ на: комментарий от anonymous

Оставлю это здесь

Слишком много звёзд на небе должно совпасть для успешности такой атаки. Кроме того, не все фаерволы адекватно реагируют на подмену адреса источника, поэтому они также могут быть подвержены такой атаке. Разумеется, фаервол нужен, но это лишь одна из ступеней безопасности, как и NAT.

http://samy.pl/natpin/

Connection to XXX.XXX.XXX.XXX:21 - fail
Error #110 (Connection timed out)

:(

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

То, что он изначально создавался не ради безопасности, вовсе не означает, что от него будет хоть какой-то плюс в этой самой безопасности.

anonymous
()
Ответ на: комментарий от Pinkbyte

То, что гланды можно удалять, не означает что их нельзя попробовать удалить через жопу
Аналогия примерно такая же.

Если уж пошли аналогии, то Intel вообще изначально создавала процессоры для управления светофорами, но это же не значит что теперь нужно выбрасывать ПК на свалку.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Ага, в теории. По факту мы уже имеем кучу дырявых ведроидов с версиями старше говна мамонта, на которые вендор давно забил.

Что, опять же, не мешает совершенно их иметь внутри сети если администратор не настроил нормальный роутинг и так же не мешает администратору врубить stateful firewall по умолчанию для всех девайсов включить и отключать в личном кабинете.

Сетевые принтера, например, в конторах довольно распространены.

И к ним точно так же цеплялись. Вопрос не в IPv4/IPv6 а в настройках сети пряморуким админов. Тебе уже выше целую кучу примеров накидали как обходится NAT. Причём как цисках, так и на домашних фекалороутерах. Ну не средство это обеспечение безопасности. От слова вообще.

В сухом остатке - NAT ломает к чертям нормальную архитектуру point-to-point в сети интернет ради экономии адресов и иногда, при удачном стечении обстоятельств может* выполнять функции stateful firewall, но при этом не выполняет их чаще чем выполняет.

zink ★★
()
Ответ на: комментарий от h578b1bde

Если уж пошли аналогии, то Intel вообще изначально создавала процессоры для управления светофорами, но это же не значит что теперь нужно выбрасывать ПК на свалку.

а) Твоя аналогия вообще не к селу ни к городу, потому что сейчас Intel выпускает именно процессоры общего назначения, а NAT как не имел безопасности в своих целях, так и не имеет.

б) Ну сколько можно мусолить мочалку? NAT - не секрьюрити. Точка. То что некоторые _имплементации NAT'а_ по случайному стечению обстоятельств могут выполнять функции statefull firewall'а (а могут не выполнять) - это именно что хреновый бонус, на который нельзя полагаться.

Разумеется, фаервол нужен, но это лишь одна из ступеней безопасности, как и NAT.

NAT безопасности не добавляет. По такой логике - поставь 2 файерволла, будет ещё надёжнее.

zink ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.