LINUX.ORG.RU
ФорумAdmin

Защита ip6

 


1

3

В связи последними событиями включили на раутере ип6, где родной, где 6то4 и т.д. И вот интересно, раньше НАТ давал доп.защиту для локальных устройств. А чем достигается доп. защита теперь ? Только фиреваллами локальных устройств что ли ?

★★★★★

Ответ на: комментарий от anonymous

Мало того, помимо шлюза он необходим и на том тазике, который принимает какие-либо соединения из интернета.

Разумеется.

aureliano15 ★★
()
Ответ на: комментарий от KivApple

Что значит правил файервола нет?

То и значит. Что-то поправил, накосячил, и оно не применилось.

Если это покупной роутер

На всякий случай, там и не Linux может быть.

через всякие там демоны systemd/sysvinit

Тут ржу.

AS ★★★★★
()
Ответ на: комментарий от aureliano15

Но тогда проще отключить вай-фай, выдернуть витую пару или что там связывает тебя с внешним миром

Ты забываешь, что внутри не одно устройство, и какие-то из них таки лазиют в сеть. Но с ними разговор отдельный.

AS ★★★★★
()
Ответ на: комментарий от aureliano15

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

Файрвол, что характерно, тоже.

AS ★★★★★
()
Ответ на: комментарий от AS

НАТ помогает скрыть топологию сети ...

P.S. Моя инфа по поводу НАТ и ип6 устарела, кто напомнит когда в нетфильтр ( версия ядра ) завезли НАТ ип6 ? Насколько я понял для ядер 3х облом.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от AS

То и значит. Что-то поправил, накосячил, и оно не применилось.

Наивные админы локалхостов думают, что такого никогда не бывает.

anonymous
()
Ответ на: комментарий от AS

То и значит. Что-то поправил, накосячил, и оно не применилось.

1. «вы конечно шутите мистер AS» Чаще это означает «хана котенку не будет больше пысаться». Сломали роутер читай сломали и сеть.
2. Но вынужден согласиться с вашими доводами. Одно дело двух ходовочка роутер->сеть с приватными адресами другое сразу и много на всю сеть с реальными адресами. Во втором случае будет больнее.

Тем не менее пункт 1 никто не отменял, хз что может произойти. Предположите что это не домашняя сеть, а корп с туевой хучей объектов. У меня было несколько примеров в жизни зараженных сетевыми вирями корп сетей. Это ад и израиль.

anc ★★★★★
()
Ответ на: комментарий от AS

В каждом NAT-треде умиляют меня вот такие пассажи.

как трансляция адресов может выполнять функцию защиты?

А правила для файрвола могут сломаться и не примениться.

Надо понимать, здесь подразумевается продолжение в духе «в то время как NAT железобетонно работает»? Я извиняюсь, а как это может случиться, особенно в Linux, в котором файрволл и NAT настраиваются в одном и том же месте?

Ну и off-the-record, людей, которые пропагандируют IPv6 NAT, нужно изолировать.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от intelfx

Ну и off-the-record, людей, которые пропагандируют IPv6 NAT, нужно изолировать.

А если это чисто внутренняя сеть? С исключениями выхода в инет? Или как выше написали, /64 не удобно делить?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от intelfx

Надо понимать, здесь подразумевается продолжение в духе «в то время как NAT железобетонно работает»?

А вот это не имеет значения.

Я извиняюсь, а как это может случиться, особенно в Linux, в котором файрволл и NAT настраиваются в одном и том же месте?

Как «нефиг делать» может случиться. Не трогаешь правила NAT-а, а файервольные меняешь.

Ну и off-the-record, людей, которые пропагандируют IPv6 NAT, нужно изолировать.

Только после полной стерилизации апологетов systemd.

anonymous
()
Ответ на: комментарий от intelfx

«в то время как NAT железобетонно работает»? Я извиняюсь, а как это может случиться, особенно в Linux, в котором файрволл и NAT настраиваются в одном и том же месте?

но подожди, тут же противоположенный эффект. Исходной состояние поломанного NAT - ничего не работает, соединения не устанавливаются. Исходное состояние поломанного фаервола - все соединения разрешены. iptables -F . Вроде должно быть ясно.

PS Лично я считаю, что было бы правильным дефолт iptables, который после сброса случается, делать таким, что бы запретить большенство соединений. Но это довольно сложно организовать в общем виде...

Deleted
()
Ответ на: комментарий от Deleted

Лично я считаю, что было бы правильным дефолт iptables, который после сброса случается, делать таким, что бы запретить большенство соединений.

К дальней поездке. Привет полиси DROP.

anc ★★★★★
()
Ответ на: комментарий от anc

К дальней поездке.

так это завсегда так, при отсутствии резервного средства удаленного доступа. Именно резервный канал должын быть максимально тупой и в него руками лезть не надо

безопасность всегда без вазелина, ничего не попишешь.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

раньше НАТ давал доп.защиту для локальных устройств

Это отвратительный миф. Защиту дает только фаерволл. И для ipv6, так же как и для ipv4, его надо настраивать.

tazhate ★★★★★
()
Последнее исправление: tazhate (всего исправлений: 1)
Ответ на: комментарий от tazhate

Это отвратительный миф. Защиту дает только фаерволл.

Но NAT здорово ограничивает задачу. В иных случаях даже достаточно. Тут уже всё обсудили.

AS ★★★★★
()
Ответ на: комментарий от tazhate

Это отвратительный миф. Защиту дает только фаерволл.

Защиты идут слоями. Чем больше слоёв, тем сложнее взлом.
NAT, вернее глобально нероутабельные адреса защищаемых устройств, это один из слоёв, который тоже работает.
При всём при этом, абсолютной защиты не существует.

anonymous
()
Ответ на: комментарий от AS

Но тогда проще отключить вай-фай, выдернуть витую пару или что там связывает тебя с внешним миром

Ты забываешь, что внутри не одно устройство, и какие-то из них таки лазиют в сеть. Но с ними разговор отдельный.

Если выдернуть кабель из wan-порта роутера, то никто лазить во внешнюю сеть не будет. :-)

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

Файрвол, что характерно, тоже.

Безусловно. Речь идёт о файрволе на каждом компе + на роутере супротив ната только на роутере (потому что нат нигде больше не поставишь по определению).

А вообще я согласен с высказанным в этом треде утверждением, что уровней защиты должно быть много, поэтому вообще для меня холивары типа nat vs firewall не имеют смысла, а смысл имеет nat + firewall. Но если бы передо мной поставили гипотетический выбор: или одно, или другое, но не вместе, то я бы выбрал firewall.

aureliano15 ★★
()
Ответ на: комментарий от Legioner

Никогда не понимал эту манию носить ватно-марлевые повязки. Зачем вообще открывать рот, если не хочется выпускать бациллы наружу? Защита того же уровня, что прикрывание рта рукой или отворачивание при чихе.

t184256 ★★★★★
()
Ответ на: комментарий от Legioner

закрывать можно выборочно, иметь белый список разрешённых адресов

Harald ★★★★★
()
Ответ на: комментарий от t184256

Вообще то повязку носят не для того чтобы на кого то не чихнуть а для того чтобы не глотнуть чей то чих. Как правило повязки надевают люди заходя в поликлинику ...

И потом не нужно думать что весь софт используемый вами идеален. Мой любимый пример когда нашли не слабую дыру в пхп и поимели многие веб сервера, кроме тех хостов кто юзал се-линукс. Он блокировал ошибку в пхп.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от anc

Или как выше написали, /64 не удобно делить?

Можно чуть подробнее описать что это за слова ?

mx__ ★★★★★
() автор топика
Ответ на: комментарий от aureliano15

супротив ната только на роутере (потому что нат нигде больше не поставишь по определению)

Да ладно? конейнеры, netns, виртуалки, не?

anc ★★★★★
()
Ответ на: комментарий от mx__

Защита ip6 (комментарий)
Сеть /64 делить на отдельные подсетки. Что не понятного? Не, реально можно поделить, но вот подводных камней все еще дофига. Так что с аноном соглашусь, nat с приватными сетями просто комфортнее настроить.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от Legioner

Никогда не понимал эту манию закрывать порты фаерволами. Зачем на них вообще вешать то, что не хочется отдавать наружу?

Никогда не понимал людей закрывающих двери на замок. Ведь у меня кроме раскладушки, двух алюминиевых плошек и алюминевой вилки и ложки больше ничего нет.

anc ★★★★★
()
Ответ на: комментарий от anc

Т.е. если я при правильной настроенной сети ип4 ( внутренней ) ставлю подсеть в подсеть ид а адрес компа просто в адрес ип6 я что то делаю не так ? Подсетей у меня порядка 30 и все прекрасно робит ...

mx__ ★★★★★
() автор топика
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от mx__

Эммм, вы про трансляцию 4to6 ? Или про что-то другое? Вроде речь шла про чистый v6 и зачем может быть для него nat? Поясните плиз.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Замок это пароль. Плохая аналогия. Закрытие портов фаерволом это строить вторую стену там, где прохода и так нет. Оставляя проходы там, где двери.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Уж простите, про ставни/решетки на окнах забыл написать. :)

anc ★★★★★
()
Ответ на: комментарий от Legioner

Замок это пароль. Плохая аналогия.

Не только пароль. Файрвол может запретить доступ с определённых адресов или разрешить его только с определённых адресов. А ещё можно тип трафика анализировать, запрещая что-то подозрительное. Если это не замок, то как минимум охранник у входа.

aureliano15 ★★
()
Ответ на: комментарий от aureliano15

Вы еще про контейнеры забыли.

anc ★★★★★
()
Ответ на: комментарий от aureliano15

Вот просто расскажу. У меня на подопытном, четыре сети: netns, контейнеры, qemu виртуальный, и qemu+kvm. Все занатные с отдельными сетями. Более того между некоторыми из них запрещено «общение». Это все на одном компе.

anc ★★★★★
()
Ответ на: комментарий от anc

У меня на подопытном, четыре сети

Это понятно, что разные случаи бывают. Но всё-таки типичному пользователю, не занимающемуся администрированием, программированием, разными экспериментами, связанными с сетями, не использующему виртуалки или какой-то специфический софт, заточенный на какую-то специфическую сетевую конфигурацию, держать на одном компе с одной физической сетевухой несколько виртуальных сетевых интерфейсов обычно не нужно. Можно, конечно, озадачиться ради безопасности, но, имхо, проще настроить файрвол. Хотя кому-то, возможно, ради безопасности одного файрвола не хватит, он каждое сетевое приложение в своё отдельное окружение завернёт. Но такой точно файрвол настроит. А такого, кто будет заморачиваться со всем этим только для того, чтоб не заморачиваться с файрволом, я себе не представляю. Ну разве только ради эксперимента, чтоб потом написать на ЛОРе: посмотрите, у меня только нат, и он ничем не хуже вашего файрвола. Но это, опять же, для экспериментатора, а не рядового юзера. Как-то так, имхо.

aureliano15 ★★
()
Ответ на: комментарий от anc

В последнем сообщение я написал что не совсем понимаю какую трудность можно получить при делении обычной ип6 сети.

Какие там ещё подводные камни ? Если можно конкретнее.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от mx__

В последнем сообщение я написал что не совсем понимаю какую трудность можно получить при делении обычной ип6 сети.

Сначала поделите /64 на несколько и поймете.

anc ★★★★★
()
Ответ на: комментарий от anc

Все занатные с отдельными сетями. Более того между некоторыми из них запрещено «общение». Это все на одном компе.

Молодец, ты настоящий админ локалхоста.
И вот именно поэтому ты написал здесь тонну разной пурги.

anonymous
()
Ответ на: комментарий от anonymous

Молодец, ты настоящий админ локалхоста.

Так разговор именно про локахост и шел. Может сначала почитаем на что ответ?

anc ★★★★★
()
Ответ на: комментарий от anc

Я уже писал выше что поделил на 30 сетей по аналогии с моими ип4 сетями и ни каких проблем. И совершенно не понимаю здесь каких либо трудностей.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от mx__

/64 поделили? Или у вас 30 сетей с префиксом /64? Во втором случае проблем нет. В первом есть, не на всех устройствах, но есть.

anc ★★★★★
()
Ответ на: комментарий от anc

Префикс 68, про устройства не совсем понял. Мы вообще то за нормальный линукс говорим а если брать теже устройства то даже на новых zyxel keentick ( прошивка 2.06 и выше ) ipv6 firewall нельзя настроить ;(

Короче проблема с делением /64 адресов надуманная.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от mx__

Проблема в том что не «все» «воспринимают» префикс больше 64. ЕМНИП вендроид все еще не научился. Пусть и старая тема, но все-таки Debian 7 - ipv6 - DHCP client - не правильный префикс сети (см. мой последний комментарий), а в большой корп среде разные версии ОС существуют. Сюда же добавим всякие ембедед на прошивку которых производители уже забили.

anc ★★★★★
()
Ответ на: комментарий от anc

А вообще не очень понятно, если уж даже 6to4 ( 2002 ) лепит сетку /48 что за изврат такой чтобы пров раздавал /64 адрес только ...

mx__ ★★★★★
() автор топика
Ответ на: комментарий от mx__

Наверное можно /48 попросить? К сожалению, у меня все еще нет провов с чистым v6 :( Пользую тунели и так же как и вы делю сетку (что собстно по моей ссылке и было написано на 112).

anc ★★★★★
()
Ответ на: комментарий от anc

Скажем так, у нас ип6 в качестве теста типа :) Есть около 30 сеток ип4, я прям по аналогии наставил там по одному-два ящика с нормальной осью для теста и ... пока только ручками прописал ип6 адреса ;)

P.S. Вроде увидел инфу что ТТК нам раздает в динамике /56 сетку, нужно будет попробывать при случае.

mx__ ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.