Защита ip6

https://www.youtube.com/watch?v=qn0XmoE-UNE

Что мешает фильтровать входящие там-же где NATишь?

Ну да или фиревалом того же раутера ... Просто с НАТ обычно наоборот нужно специально открывать что то, а тут нужно специально закрывать что то.

Ты для начала подробно почитай о ipv6. Там найдешь ответ на свой вопрос.

И вот интересно, раньше НАТ давал доп.защиту для локальных устройств. А чем достигается доп. защита теперь ?

А чем тебе NAT не угодил теперь?

Насколько я понял в ип6 нет никакого НАТа.

есть

Он не является необходимым, так как не нужно решать проблему нехватки адресов. Но сделать его можно. Говорят, что кто-то даже использует.

ip6tables

Я использовал чтобы контейнеры LXC законнектить, когда им реальные адреса давать заколебёшься (/64 делить).

Зависит от политики файрволла по-умолчанию. У OpenWRT из коробки порты для устройств в LAN закрыты снаружи.

И вот интересно, раньше НАТ давал доп.защиту для локальных устройств.

Всегда умиляло сравнение NAT==Защита. Нет никакой защиты, NAT не для того. Запомните это!

Только фиреваллами локальных устройств что ли ?

Нет, так же как и с v4, на роутере прописываете правила. ip6tables вам в помощь.

Да они НАТом в ип6 называют маскарад одного адреса в один. Какой же это нафиг НАТ ? Это только для домохозяек можно назвать НАТом и не больше.

Все кто пишет про ип6таблес прошу не писать здесь, я про это в курсе и тема не много не про это.

других файерволов в линуксе нет )

Пока ты пишешь коверкая слова и значения, только таких ответов и жди. Что за дополнительная защита, тем более с помощью nat. Это просто трансляция адресов. Путать такой костыль с обычным файрволом... И чем отличается защита ip6 от ip4?

Да они НАТом в ип6 называют маскарад одного адреса в один.

Ну блина расскажите как же у меня это работает? Вот сцуко врот работает же.

ip6tables -t nat -A POSTROUTING -o $IFNAME  -j MASQUERADE

других файерволов в линуксе нет )

Кто сказал nftables ?

Насколько я понял в ип6 нет никакого НАТа.

Это всё слухи. А не слухи - диапазон даже выделен под это дело приватный fc00::/7. То, что кто-то где-то v6 NAT не умеет, это вовсе не значит, что на данную технологию забили везде.

Всегда умиляло сравнение NAT==Защита. Нет никакой защиты, NAT не для того. Запомните это!

Нет. И для этого тоже. Тоже рекомендую запомнить. :-)

поддержу этого господина. НАТ - это однозначно не файрвол. просто у нас любят сваливать всё в кучу.

и ip6tables полностью решает все вопросы защиты. хоть локально, хоть глобально.

НАТ - это однозначно не файрвол.

Так его файрволом никто не называл.

Кто сказал nftables ?

Это всё одно и то же. Строго-то говоря, это всё юзерспейс утилиты для управления одной и той же подсистемой NetFilter.

«защита» - это и есть файрволл.

Ну если только так рассматривать. Так и ipfw и ipchains под эту категорию подходят.

Простите убогого, но объясните как трансляция адресов может выполнять функцию защиты? Только не надо про «до меня не доберутся из этого вашего интернета». Более того, dnat как раз может стать очень большой дырой в безопастности.

Простите убогого, но объясните как трансляция адресов может выполнять функцию защиты?
Только не надо про «до меня не доберутся из этого вашего интернета»

А вот именно так и может. Именно «не доберутся», так как правила NAT вовсе могут отсутствовать для домашних устройств, которым не положено в Интернет. А правила для файрвола могут сломаться и не примениться. Опять же, с маскарадингом доступа к устройству снаружи нет совсем, если это устройство само никогда не лезет в сеть.

В общем, файрвол плох тем, что его надо настраивать, а NAT именно этим и хорош.

Давайте предположим «соседей» без настроенного fw они что не смогут к вам попасть? Смогут.
А если говорить про v6, так напомню про ff02::1. Как пример, (я уже писал про это) у меня в ДС где-то у «соседей» есть открытые роутеры с дефолтными логин-пароль на v6. При этом v4 закрыт.
Возвращаемся к слову «защита» - NAT никак не защищает, не его это тема. Если хотя бы один соседский «Васян» сможет получить доступ к вашей локалке, то о защите можно забыть.
И вы поскипали мой комментарий про dnat, мало кто задумывается какую дырищу устраивают благодаря ему.

Давайте предположим «соседей» без настроенного fw они что не смогут к вам попасть? Смогут.

При чём тут соседи? Вот есть рабочая сеть. Если правил файрвола нет, а адреса реальные, то ходи - не хочу. А вот если устройства на приватных IP, на них не попадёшь без ряда дополнительных условий.

у меня в ДС где-то у «соседей» есть открытые роутеры с дефолтными логин-пароль на v6. При этом v4 закрыт.

И что? Как это относится к NAT?

Если хотя бы один соседский «Васян» сможет получить доступ к вашей локалке, то о защите можно забыть.

А файрвол от этого защитит что ли?

И вы поскипали мой комментарий про dnat.

Да, так как это к делу не относится.

При чём тут соседи? Вот есть рабочая сеть. Если правил файрвола нет, а адреса реальные, то ходи - не хочу. А вот если устройства на приватных IP, на них не попадёшь без ряда дополнительных условий.

Не поняли. Внешняя сеть ведь тоже существует. И можно прописать роутинг к внутренней сети через ваш внешний ip. Сеть подобрать не так уж и сложно.

И что? Как это относится к NAT?

Никак. Это только про то что fw должен быть.

А файрвол от этого защитит что ли?

Да, смотри выше.

Да, так как это к делу не относится.

Еще как относиться. Ведь речь про NAT вроде.
ЗЫ Походу вы отдыхаете :) Зная вас по другим темам, так бы не высказывались :)
Хорошего отдыха! (реально и без подколов)

nat это же в винде, а в лине masquerading

И можно прописать роутинг к внутренней сети через ваш внешний ip. Сеть подобрать не так уж и сложно.

Это надо уж совсем соседом быть, а это не у всех так. Многие операторы PPPoE используют, там /32 раздаётся. И где соседа искать (можно попробовать статическую ARP-таблицу замутить, но тут тоже только в пределах одного VLAN)? То есть, этот хак только оператору доступен. И даже с соседями - это не весь интернет с кучей ботов. И соседа отловить проще, в конце концов.

ЗЫ Походу вы отдыхаете :)

Не то, чтобы. Просто, к примеру, абонентские камеры за NAT хлопот не доставляют, а которые на реальных IP - только в путь. :-)

а в лине masquerading

В лине - икра. А в Linux - "-t nat".

Многие операторы PPPoE используют,

А многие и l2tp - «пчелы» маленькая контора? С сетью в 255.255.192.0 ? Вот теперь посчитаем «васянов» из этой сети.

И соседа отловить проще, в конце концов.

Когда поломали? Т.е. постфактум. Потрясающе! Ловите вора, когда он что-то уже украл
Мы вроде о защите говорили. А не преследовании «воров»

Ну, если совсем точно, то NAT — это определённая технология, а MASQUERADING — один из элементов её реализации.

ЗЫ Просто повторюсь. Я не случайно про ff02::1 написал. Долбодятлов хватает. А работы поймать их на пять минут. Ладно я такой добрый, никого ломать не собираюсь, только ради развлечения знать/проверить что такие есть, но ведь могут быть и другие люди... кому скучно...и привет ботнет....

Никогда не понимал эту манию закрывать порты фаерволами. Зачем на них вообще вешать то, что не хочется отдавать наружу? Защита того же уровня, что смена ssh-порта или запрет входа по паролю.

А многие и l2tp - «пчелы» маленькая контора?

Если Ростелеком + Эр-Телеком, да про провод? Да, «пчёлы» - маленькая контора. Их и не слышно, как проводных, даже против одного Эр-Телеком. Сотовые, да магистрал - это да.

А там по l2tp в каком виде всё раздаётся, кстати?

Вот теперь посчитаем «васянов» из этой сети.

Всё равно это частный случай.

Мы вроде о защите говорили. А не преследовании «воров»

Одно другое не исключает: одно дело если ты кому-то нужен, а совсем другое - это когда за тобой бот охотится, как за кем-то в массе. Боту шаманить с машрутизацией смысла нет. А охотиться за тобой из той же сети - это приключения искать. Тоже, как бы, ступень защиты.

Да, «пчёлы» - маленькая контора.

Нуу наверное они на вас могут и обидится, за такое сравнение :)

А там по l2tp в каком виде всё раздаётся, кстати?

Хм... как обычно... l2tp в чистом виде.

Одно другое не исключает: одно дело если ты кому-то нужен, а совсем другое - это когда за тобой бот охотится, как за кем-то в массе. Боту шаманить с машрутизацией смысла нет. А охотиться за тобой из той же сети - это приключения искать. Тоже, как бы, ступень защиты.

А если «васе» просто скучно? Ну вот реально. Посто скучно. И он вам «дарит» ботнет. Несложно же.

Если правил файрвола нет, а адреса реальные, то ходи - не хочу.

Что значит правил файервола нет?

Если это покупной роутер, то дефолтные правила файервола вполне имеют место быть (тот же NAT в IPv4 роутерах без этого тоже не работал бы из коробки). Я не знаю как обстоят дела сейчас, но адекватный производитель бы по дефолту запретил форвардинг входящих коннектов из внешней сети и оставил бы интерфейс вроде того как сейчас пробрасывают порты через NAT, чтобы разрешить коннекты к отдельным клиентам. Только в отличии от IPv4 также возможна опция «разрешить все коннекты», но она должна быть по умолчанию выключена и если кто-то её включил, то он ССЗБ - точно также можно оставить заводской пароль от админки и выставить её во внешнюю сеть.

Если это самодельный Linux-роутер, то опять же без настроек оно работать не будет. Нужно поставить DHCP (даже если state-less - кто-то должен намекнуть клиентам, в какой они подсети), нужно включить ip_forward через sysctl - из коробки Linux ничего во внутреннюю сеть пропускать не будет. А раз так, то можно и файервол настроить (и в нормальном туториале это будет следующим шагом после проверки того, что форвардинг в принципе работает). Linux-роутеры должны настраивать квалифицированные специалисты, для всех остальных есть изкоробочные решения в ближайшем компьютерном магазине. Что значит «забыл»? Так можно поставить root пароль qwerty и поднять демон SSH без отключенной авторизацией по паролю. В этом тоже IPv4/IPv6 виноват?

Правильно настроенный файерволл (через всякие там демоны systemd/sysvinit, а не через самописные скрипты в rc.local и аналогах) не отваливается (iptables имеет очень хорошую обратную совместимость) и гарантированно применяется до любой попытки инициализировать любое сетевое подключение. Если же что-нибудь сломают в systemd, то система в принципе не загрузится (ибо есть куча юнитов посложнее iptables.service и они тоже отвалятся). Если что-нибудь сломают в sysctl (уже было однажды, слава systemd), то активируются дефолтные значения ip_forward. А дефолтное значение таково, что ничего никуда форвардиться не будет.

Так что при любом сбое (из-за обновления) в худшем случае сеть вообще перестанет работать, чтобы включился неконтролируемый форвардинг входящих коннектов в локалку надо быть полным идиотом. А полные идиоты должны не умничать, а покупать изкоробочные решения. Они именно для того и созданы, чтобы не нужно было читать тонны манов и копаться в консоли.

NAT в контексте защиты реально рабочая вещь.
Но файервол, конечно, тоже нужен.

Когда у тебя дома компы с вендой, телевизоры, ip камеры и прочие дырявые вещи, то лучше из интернетов к ним никого не пускать.

Чтобы на Linux заработал NAT (изкоробочные решения с завода содержат в себе файервол любой сложности в зависимости от модели) нужно написать одну команду sysctl и одну команду iptables.

Чтобы на Linux заработала раздача IPv6 интернета нужно написать одну команду sysctl и одну другую команду iptables.

В чём проблема? Количество действий абсолютно одинаково. Отличие только в том, что при IPv6 теоретически можно забить на вторую команду и получить дыру в безопасности.

В то же время NAT даёт только половинчатую защиту (то есть по-хорошему одной командой iptables не обойдёшься в первом случае), поскольку уязвим к атакам из локалки провайдера.

Очевидно, что NAT позволяет исключить саму возможность адресации тазиков, находящихся за шлюзом.
Т.о. даже если по каким-то причинам будет полностью отключен файервол, то достучаться до дырявых тазиков, сидящих за шлюзом, не получится.

Очевидно, что NAT позволяет исключить саму возможность адресации тазиков, находящихся за шлюзом.

Совсем нет. Просто транслирует адрес шлюза и порты на нём в адреса компов за натом и порты на них. Т. о. благодаря нату из внешнего мира вся сеть видна как один комп, и это немного усложняет задачу взломщику. Но и только.

Вот херню мне всякую не рассказывай, Кэп.
На открытые порты тазика ты через NAT не попадёш, если сам тазик не приложит к этому определённых усилий.

На открытые порты тазика ты через NAT не попадёш, если сам тазик не приложит к этому определённых усилий.

Ну, если у тебя никакие серверы не смотрят в Интернет через НАТ и никакие клиенты не открывают соединения и не кидают никуда пакеты, то да. Но тогда проще отключить вай-фай, выдернуть витую пару или что там связывает тебя с внешним миром, и получишь абсолютную защиту от любых сетевых атак вообще безо всяких натов и файрволов. А если ещё и комп выключить, то и от уже установленных троянов тоже. Но мы же предполагаем, что компьютер подключён к Сети и активен в ней.

Чувак, попробуй сначала настроить SIP на приём за NAT-ом, без STUN-ов и ICE-ов, а потом будешь кукарекать.

А то развелись вас тут, мамкиных хацкеров.

Вот реально же нихрена не понимаешь, как это всё работает.
Вот полез тазик в интернет, на Google, например. С чем ты будешь устанавливать соединение?

Вот полез тазик в интернет, на Google, например. С чем ты будешь устанавливать соединение?

А потом перешёл на мой заражённый или кулхацкерский сайт. Тут-то я его и поймаю. Или ты на сайты не переходишь, а только кэш гугла просматриваешь?

Ну и в случае наличия сервера за натом проблема остаётся. Например, какой-нибудь sshd висит для удалённой работы. С помощью iptables ты можешь ограничить входящие соединения определённым диапазоном адресов, а с помощью ната — нет.

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

Я же не говорю, что НАТ вообще не помогает и нужен исключительно для экономии адресов. Но файрвол по-любому гибче и лучше защищает. А у ната перед ним только одно преимущество: сокрытие структуры твоей сети.

Тут-то я его и поймаю.

И что ты сделаешь с его браузером?

Ну и в случае наличия сервера за натом проблема остаётся.

А ты ещё хочешь выставить голый зад в интернет и чтоб тебе в него не въехали? Нет это фантастика.

С помощью iptables ты можешь ограничить входящие соединения определённым диапазоном адресов,

А ты там почитай, что дяди-аноны выше пишут. А они пишут, что файервол ТОЖЕ необходим.
Мало того, помимо шлюза он необходим и на том тазике, который принимает какие-либо соединения из интернета.

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

И файервол на шлюзе от этого тоже не спасёт. Трафик будут гонять просто по L2.

Я тебе повторяю, возьми и настрой SIP клиента, находящегося за NAT-ом, который может принимать звонки, без серверов, STUN-а, ICE-а или TURN-а. Тогда разговор будет предметным.