Защита ip6

Мало того, помимо шлюза он необходим и на том тазике, который принимает какие-либо соединения из интернета.

Разумеется.

Что значит правил файервола нет?

То и значит. Что-то поправил, накосячил, и оно не применилось.

Если это покупной роутер

На всякий случай, там и не Linux может быть.

через всякие там демоны systemd/sysvinit

Тут ржу.

Но тогда проще отключить вай-фай, выдернуть витую пару или что там связывает тебя с внешним миром

Ты забываешь, что внутри не одно устройство, и какие-то из них таки лазиют в сеть. Но с ними разговор отдельный.

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

Файрвол, что характерно, тоже.

НАТ помогает скрыть топологию сети ...

P.S. Моя инфа по поводу НАТ и ип6 устарела, кто напомнит когда в нетфильтр ( версия ядра ) завезли НАТ ип6 ? Насколько я понял для ядер 3х облом.

То и значит. Что-то поправил, накосячил, и оно не применилось.

Наивные админы локалхостов думают, что такого никогда не бывает.

То и значит. Что-то поправил, накосячил, и оно не применилось.

1. «вы конечно шутите мистер AS» Чаще это означает «хана котенку не будет больше пысаться». Сломали роутер читай сломали и сеть.
2. Но вынужден согласиться с вашими доводами. Одно дело двух ходовочка роутер->сеть с приватными адресами другое сразу и много на всю сеть с реальными адресами. Во втором случае будет больнее.

Тем не менее пункт 1 никто не отменял, хз что может произойти. Предположите что это не домашняя сеть, а корп с туевой хучей объектов. У меня было несколько примеров в жизни зараженных сетевыми вирями корп сетей. Это ад и израиль.

В каждом NAT-треде умиляют меня вот такие пассажи.

как трансляция адресов может выполнять функцию защиты?

А правила для файрвола могут сломаться и не примениться.

Надо понимать, здесь подразумевается продолжение в духе «в то время как NAT железобетонно работает»? Я извиняюсь, а как это может случиться, особенно в Linux, в котором файрволл и NAT настраиваются в одном и том же месте?

Ну и off-the-record, людей, которые пропагандируют IPv6 NAT, нужно изолировать.

Ну и off-the-record, людей, которые пропагандируют IPv6 NAT, нужно изолировать.

А если это чисто внутренняя сеть? С исключениями выхода в инет? Или как выше написали, /64 не удобно делить?

Надо понимать, здесь подразумевается продолжение в духе «в то время как NAT железобетонно работает»?

А вот это не имеет значения.

Я извиняюсь, а как это может случиться, особенно в Linux, в котором файрволл и NAT настраиваются в одном и том же месте?

Как «нефиг делать» может случиться. Не трогаешь правила NAT-а, а файервольные меняешь.

Ну и off-the-record, людей, которые пропагандируют IPv6 NAT, нужно изолировать.

Только после полной стерилизации апологетов systemd.

«в то время как NAT железобетонно работает»? Я извиняюсь, а как это может случиться, особенно в Linux, в котором файрволл и NAT настраиваются в одном и том же месте?

но подожди, тут же противоположенный эффект. Исходной состояние поломанного NAT - ничего не работает, соединения не устанавливаются. Исходное состояние поломанного фаервола - все соединения разрешены. iptables -F . Вроде должно быть ясно.

PS Лично я считаю, что было бы правильным дефолт iptables, который после сброса случается, делать таким, что бы запретить большенство соединений. Но это довольно сложно организовать в общем виде...

Лично я считаю, что было бы правильным дефолт iptables, который после сброса случается, делать таким, что бы запретить большенство соединений.

К дальней поездке. Привет полиси DROP.

К дальней поездке.

так это завсегда так, при отсутствии резервного средства удаленного доступа. Именно резервный канал должын быть максимально тупой и в него руками лезть не надо

безопасность всегда без вазелина, ничего не попишешь.

в то время как NAT железобетонно работает

Вот, PtiCa дальше пояснил: Защита ip6 (комментарий)
А я написал ещё в Защита ip6 (комментарий)

раньше НАТ давал доп.защиту для локальных устройств

Это отвратительный миф. Защиту дает только фаерволл. И для ipv6, так же как и для ipv4, его надо настраивать.

Это отвратительный миф. Защиту дает только фаерволл.

Но NAT здорово ограничивает задачу. В иных случаях даже достаточно. Тут уже всё обсудили.

Это отвратительный миф. Защиту дает только фаерволл.

Защиты идут слоями. Чем больше слоёв, тем сложнее взлом.
NAT, вернее глобально нероутабельные адреса защищаемых устройств, это один из слоёв, который тоже работает.
При всём при этом, абсолютной защиты не существует.

Но тогда проще отключить вай-фай, выдернуть витую пару или что там связывает тебя с внешним миром

Ты забываешь, что внутри не одно устройство, и какие-то из них таки лазиют в сеть. Но с ними разговор отдельный.

Если выдернуть кабель из wan-порта роутера, то никто лазить во внешнюю сеть не будет. :-)

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

Файрвол, что характерно, тоже.

Безусловно. Речь идёт о файрволе на каждом компе + на роутере супротив ната только на роутере (потому что нат нигде больше не поставишь по определению).

А вообще я согласен с высказанным в этом треде утверждением, что уровней защиты должно быть много, поэтому вообще для меня холивары типа nat vs firewall не имеют смысла, а смысл имеет nat + firewall. Но если бы передо мной поставили гипотетический выбор: или одно, или другое, но не вместе, то я бы выбрал firewall.

Никогда не понимал эту манию носить ватно-марлевые повязки. Зачем вообще открывать рот, если не хочется выпускать бациллы наружу? Защита того же уровня, что прикрывание рта рукой или отворачивание при чихе.

закрывать можно выборочно, иметь белый список разрешённых адресов

Вообще то повязку носят не для того чтобы на кого то не чихнуть а для того чтобы не глотнуть чей то чих. Как правило повязки надевают люди заходя в поликлинику ...

И потом не нужно думать что весь софт используемый вами идеален. Мой любимый пример когда нашли не слабую дыру в пхп и поимели многие веб сервера, кроме тех хостов кто юзал се-линукс. Он блокировал ошибку в пхп.

Интересное мнение, люблю почитать на ЛОРе про альтернативные реальности.

се-ля-ви.

Или как выше написали, /64 не удобно делить?

Можно чуть подробнее описать что это за слова ?

супротив ната только на роутере (потому что нат нигде больше не поставишь по определению)

Да ладно? конейнеры, netns, виртуалки, не?

Защита ip6 (комментарий)
Сеть /64 делить на отдельные подсетки. Что не понятного? Не, реально можно поделить, но вот подводных камней все еще дофига. Так что с аноном соглашусь, nat с приватными сетями просто комфортнее настроить.

Никогда не понимал эту манию закрывать порты фаерволами. Зачем на них вообще вешать то, что не хочется отдавать наружу?

Никогда не понимал людей закрывающих двери на замок. Ведь у меня кроме раскладушки, двух алюминиевых плошек и алюминевой вилки и ложки больше ничего нет.

Т.е. если я при правильной настроенной сети ип4 ( внутренней ) ставлю подсеть в подсеть ид а адрес компа просто в адрес ип6 я что то делаю не так ? Подсетей у меня порядка 30 и все прекрасно робит ...

Эммм, вы про трансляцию 4to6 ? Или про что-то другое? Вроде речь шла про чистый v6 и зачем может быть для него nat? Поясните плиз.

Замок это пароль. Плохая аналогия. Закрытие портов фаерволом это строить вторую стену там, где прохода и так нет. Оставляя проходы там, где двери.

Уж простите, про ставни/решетки на окнах забыл написать. :)

netns

Вот за это спасибо. Не знал.

виртуалки

Тоже можно, но, имхо, проще файрвол, чем виртуалку на каждом десктопе. :-)

Замок это пароль. Плохая аналогия.

Не только пароль. Файрвол может запретить доступ с определённых адресов или разрешить его только с определённых адресов. А ещё можно тип трафика анализировать, запрещая что-то подозрительное. Если это не замок, то как минимум охранник у входа.

Вы еще про контейнеры забыли.

Вот просто расскажу. У меня на подопытном, четыре сети: netns, контейнеры, qemu виртуальный, и qemu+kvm. Все занатные с отдельными сетями. Более того между некоторыми из них запрещено «общение». Это все на одном компе.

У меня на подопытном, четыре сети

Это понятно, что разные случаи бывают. Но всё-таки типичному пользователю, не занимающемуся администрированием, программированием, разными экспериментами, связанными с сетями, не использующему виртуалки или какой-то специфический софт, заточенный на какую-то специфическую сетевую конфигурацию, держать на одном компе с одной физической сетевухой несколько виртуальных сетевых интерфейсов обычно не нужно. Можно, конечно, озадачиться ради безопасности, но, имхо, проще настроить файрвол. Хотя кому-то, возможно, ради безопасности одного файрвола не хватит, он каждое сетевое приложение в своё отдельное окружение завернёт. Но такой точно файрвол настроит. А такого, кто будет заморачиваться со всем этим только для того, чтоб не заморачиваться с файрволом, я себе не представляю. Ну разве только ради эксперимента, чтоб потом написать на ЛОРе: посмотрите, у меня только нат, и он ничем не хуже вашего файрвола. Но это, опять же, для экспериментатора, а не рядового юзера. Как-то так, имхо.

В последнем сообщение я написал что не совсем понимаю какую трудность можно получить при делении обычной ип6 сети.

Какие там ещё подводные камни ? Если можно конкретнее.

В последнем сообщение я написал что не совсем понимаю какую трудность можно получить при делении обычной ип6 сети.

Сначала поделите /64 на несколько и поймете.

Все занатные с отдельными сетями. Более того между некоторыми из них запрещено «общение». Это все на одном компе.

Молодец, ты настоящий админ локалхоста.
И вот именно поэтому ты написал здесь тонну разной пурги.

Молодец, ты настоящий админ локалхоста.

Так разговор именно про локахост и шел. Может сначала почитаем на что ответ?

Я уже писал выше что поделил на 30 сетей по аналогии с моими ип4 сетями и ни каких проблем. И совершенно не понимаю здесь каких либо трудностей.

/64 поделили? Или у вас 30 сетей с префиксом /64? Во втором случае проблем нет. В первом есть, не на всех устройствах, но есть.

Префикс 68, про устройства не совсем понял. Мы вообще то за нормальный линукс говорим а если брать теже устройства то даже на новых zyxel keentick ( прошивка 2.06 и выше ) ipv6 firewall нельзя настроить ;(

Короче проблема с делением /64 адресов надуманная.

Проблема в том что не «все» «воспринимают» префикс больше 64. ЕМНИП вендроид все еще не научился. Пусть и старая тема, но все-таки Debian 7 - ipv6 - DHCP client - не правильный префикс сети (см. мой последний комментарий), а в большой корп среде разные версии ОС существуют. Сюда же добавим всякие ембедед на прошивку которых производители уже забили.

так в таких устройствах даже про ип6 могут и не знать ...

v6 знают давно. вопрос в раздаче префикса

А вообще не очень понятно, если уж даже 6to4 ( 2002 ) лепит сетку /48 что за изврат такой чтобы пров раздавал /64 адрес только ...

Наверное можно /48 попросить? К сожалению, у меня все еще нет провов с чистым v6 :( Пользую тунели и так же как и вы делю сетку (что собстно по моей ссылке и было написано на 112).

Кстати просто интересно, чем раздаете префиксы? И кто клиенты, при учете что у вас 30 сетей?

Скажем так, у нас ип6 в качестве теста типа :) Есть около 30 сеток ип4, я прям по аналогии наставил там по одному-два ящика с нормальной осью для теста и ... пока только ручками прописал ип6 адреса ;)

P.S. Вроде увидел инфу что ТТК нам раздает в динамике /56 сетку, нужно будет попробывать при случае.