LINUX.ORG.RU
ФорумAdmin

Зачем нужен ip6?

 


2

1

Зачем его используют? Можно ли с помощью него решить задачу объединения локальных сетей в разных местах, которые имеют небелые адреса?

Deleted

количество адресов четвертой версии ограничено, а учитывая что сейчас даже вибраторы имеют веб-интерфейс, то в скором времени адреса закончатся, если уже не.

chenbr0
()

Можно ли с помощью него решить задачу объединения локальных сетей в разных местах, которые имеют небелые адреса?

через vpn конечно можно

Harald ★★★★★
()
Ответ на: комментарий от Deleted

Сейчас полтора крупных провайдера в РФ ipv6 подсети позволяют настроить. У меням ipv6 трафик в разы превышает ipv4. Динамические, но можно к DDNS подцепить. Хотя, я предпочитаю tor HS.

boowai ★★★★
()
Ответ на: комментарий от Deleted

На сколько я знаю нового функционала этот протокол не вносит.

Локалки без VPN объединять нельзя по соображениям безопасности.

Shulman
()

Если ip не белый, то он не белый, а если белый, то белый.

С серого адреса получить белый можно. Без разницы какой версии, но шестой должно быть дешевле.

Один из главных популяризаторов ipv6 свернул свой проект. S**X, вроде. Писал, что цель достигнута.

boowai ★★★★
()
Последнее исправление: boowai (всего исправлений: 1)
Ответ на: комментарий от Shulman

Локалки без VPN объединять нельзя по соображениям безопасности.

Еще один считающий NAT мерой безопасности, понятно.

У всех должны быть белые адреса, по задумке и потому что почему бы, блин, и нет.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Разве я употребил слово NAT?

Я сказал что сидеть опой на муравейнике опасно, можно испортить муравейник...

Shulman
()
Ответ на: комментарий от Shulman

Немного вносит. Что-то про юни/мультикасты, упрощение маршрутизации и структуры пакета, нормальная автоконфигурация. STCP под него делался, вроде, но не сильно привязан. Часть портировали обратно на ipv4.

boowai ★★★★
()
Ответ на: комментарий от Harald

Нет, если всем компам в локалках раздать ip6 адреса, они смогут общаться? Ведь уже есть ip6 маршрутизация в интернет? А на шифрование трафика можно наплевать.

Deleted
()
Ответ на: комментарий от Deleted

Если провайдеры для обоих локалок умеют в IPv6, то да

Ведь уже есть ip6 маршрутизация в интернет?

если есть

Harald ★★★★★
()
Ответ на: комментарий от Deleted

Аналогично с ipv4. Для ipv6 можно такие же межсетевые экраны и nat, vpn, маршрутизацию сделать. IPv6 решает не проблему связанности, а количества адресов.

boowai ★★★★
()
Последнее исправление: boowai (всего исправлений: 1)

Можно ли с помощью него решить задачу объединения локальных сетей в разных местах, которые имеют небелые адреса?

Можно.

Нет, если всем компам в локалках раздать ip6 адреса, они смогут общаться?

Если у обеих сторон есть IPv6 связанность, смогут, конечно.

ivlad ★★★★★
()
Последнее исправление: ivlad (всего исправлений: 1)

Можно, но не нужно, потому что есть более правильные способы, ipsec например.

ipv6 нужен чтобы каждой ссаной тряпки был свой адрес по которому её можно попинговать. Это сильно упрощает взаимодействие клиент-сервер, особенно по udp

Dark_SavanT ★★★★★
()
Последнее исправление: Dark_SavanT (всего исправлений: 1)
Ответ на: комментарий от Dark_SavanT

ipsec не решает проблемы, что хосты в локалках остаются с небелыми адресами и произвольно обратится к ним из интернета нельзя. И вроде там надо отдельные гейты делать для клиентов с поддержкой разных версий протокола.

Deleted
()
Ответ на: комментарий от Dark_SavanT

если все хосты вылезут в интернет, они автоматически окажутся связанными.

Deleted
()
Ответ на: комментарий от t184256

Еще один считающий NAT мерой безопасности, понятно.

А чем это не мера безопасности? Свою часть работы нат вполне себе делает. И в IPv6 и нат есть, и диапазон приватных адресов тоже.

AS ★★★★★
()
Ответ на: комментарий от AS

А чем это не мера безопасности?

Никакого отношения к безопасности он не имеет. Атаковать могут и из локальной сети, причем с гораздо большей вероятностью.

Deleted
()
Ответ на: комментарий от Deleted

Никакого отношения к безопасности он не имеет.

Имеет самое прямое. Это просто вам с t184256 лапши кто-то на уши навешал, а вы повторяете. Ну, не вы одни, на самом деле.

Атаковать могут и из локальной сети, причем с гораздо большей вероятностью.

В локальной сети на порядки меньше источников возможной атаки. И файрвол, ровно так же, от этого не защищает.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

В локальной сети на порядки меньше источников возможной атаки

Откуда это следует? Скажем nat делает провайдер, у которого тысячи клиентов. Предлагаешь всем доверять? Даже в твоей подконтрольной сети могут оказаться взломанные машины.

Deleted
()
Ответ на: комментарий от Deleted

Скажем nat делает провайдер

Во-первых, не скажем. Речь про то, что подконтрольно лично тебе.

у которого тысячи клиентов.

Во-вторых, даже если скажем, тысячи, даже сотни тысяч, это это не сотни миллионов. Интенсивность брутфорса, например, снижается на порядки, плюс оператор брутфорсерам в своей сети может лично сделать замечание с занесением.

Даже в твоей подконтрольной сети могут оказаться взломанные машины.

В-третьих, файрвол тут чем поможет? Или речь про каждую, отдельно взятую, машину? Ну так про персональный файрвол вообще никто речи не ведёт, это совсем отдельный момент.

AS ★★★★★
()
Ответ на: комментарий от AS

На занятиях про это говорили, что нат к безопасности отношения не имеет, она обеспечивается другим комплексом мер. Настройка пакетного фильтра туда входит.

Deleted
()
Ответ на: комментарий от Deleted

На занятиях про это говорили, что нат к безопасности отношения не имеет, она обеспечивается другим комплексом мер.

Ну такие занятия. А на деле одно другого не исключает и вполне себе имеет.

AS ★★★★★
()
Ответ на: комментарий от AS

Нас учили, что комплекс мер должен быть один и тот же, вне зависимости стоит сервер за нат, или смотрит прямо в интернет. Наверное это логично.

Deleted
()
Ответ на: комментарий от AS

Свою часть работы = затруднить, но не предотвратить, установление нового соединения в случае stateful NAT, отсуствия нужной записи в таблице и отсутствия IPv6?

Тогда да, технически SNAT все же защищает от узенького класса атак. То же можно сказать, например, и о блокировании одного рандомного порта. На практике SNAT больше предает ложной уверенности в защищенности, нежели от чего-то защищает. Хвала современным уеб-технологиям, достаточно заманить тебя на правильную страницу, чтобы узнать твой внутренний IP или просканировать твою локалку изнутри. Достаточно твоему провайдеру вспомнить, что на дворе 21 век и выдать тебе IPv6-префикс, чтобы твоя локалочка оказалась у всего мира как на ладони.

NAT идеологически преступен, а в IPv6 еще и не нужен. DHCPv6, например, тоже есть, а вот нужность его много меньше таковой у старого DHCP.

t184256 ★★★★★
()
Ответ на: комментарий от Deleted

вне зависимости стоит сервер за

Вот. Речь про индивидуальную защиту сервера/хоста. Но есть ещё общая для всех граница сети, и там тоже не плохо что-то ставить.

AS ★★★★★
()
Ответ на: комментарий от neon1ks

Роскомнадзор не умеет еще ip6 блокировать

Уже умеет. Несколько месяцев как. Странно было бы всё ещё не уметь, раз такой шум пошёл. А за язык никто никого не тянул.

AS ★★★★★
()
Ответ на: комментарий от t184256

достаточно заманить тебя на правильную страницу

Ну иди, замани холодильник.

AS ★★★★★
()
Ответ на: комментарий от Deleted

Когда холодильник будет торчать с голой жопой в интернете с прошивкой которая давно не обновляется и ещё какой-нибудь дырой в ней. То лучше тут будет хоть какой-то нат, чем ничего. Не думаю что кофеварка захочет хакнуть холодильник из-за того что заревнует хозяина.

anonymous
()
Ответ на: комментарий от anonymous

Не думаю что кофеварка захочет хакнуть холодильник из-за того что заревнует хозяина.

SoT? Sex of Things?

Deleted
()
Ответ на: комментарий от AS

Да откуда вы лезете! Заходишь в совершенно любой IPv6-тред и можно прямо ставки делать, сколько NAT-это-файрволл-людей туда прибежит.

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

Да откуда вы лезете!

Иди говsystemd занимайся и не суйся туда, где не понимаешь нихрена. А ещё читать научись на всякий случай.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Туда, где я нихрена не понимаю, я и не суюсь.

На внешний интерфейс твоего роутера никогда не прилетали пакеты с dst IP из RFC1918? Попробуй пологировать трафик, много нового узнаешь.

intelfx ★★★★★
()
Ответ на: комментарий от Deleted

Ничем не грозит. Но это не заслуга NAT. Просто в каждой консьюмерской железке рядом с NAT есть ещё и обычный stateful firewall, который делает всю работу.

К сожалению, многие этого не понимают и отождествляют оба понятия, а потом пытаются перенести свою вредительскую картину мира на IPv6.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

На внешний интерфейс твоего роутера никогда не прилетали пакеты с dst IP из RFC1918?

На внешний интерфейс моего нет конечно. Но я понял, что ты хотел сказать.

Чтобы на внешний интерфейс клиентского роутра прилетели пакеты с dst IP из RFC1918 (кстати, этот RFC сейчас не полон), они должны лететь на MAC внешнего интерфейса из этой же ethernet-сети. А это всё очень близко и не всегда возможно. Либо я сам должен на клиента приватную сетку зароутить, что я делать, конечно же, не буду.

AS ★★★★★
()
Ответ на: комментарий от intelfx

P. S. Хамить будешь в другом месте.

Так то ты первый начал, причём не зная, про что пишешь.

AS ★★★★★
()
Ответ на: комментарий от AS

На внешний интерфейс моего нет конечно.

Вряд ли ты живёшь на работе. Очевидно, у тебя дома тоже есть какая-то сеть и какой-то роутер, и речь о нём.

Чтобы на внешний интерфейс клиентского роутра прилетели пакеты с dst IP из RFC1918 (кстати, этот RFC сейчас не полон), они должны лететь на MAC внешнего интерфейса из этой же ethernet-сети. А это всё очень близко и не всегда возможно

Да, такую атаку устроить сложнее, чем атаку на незащищённую клиентскую IPv6-подсеть, и тем не менее это регулярно случается. Но такие атаки не работают по одной простой причине, и по этой же причине никакой NAT в IPv6 не нужен.

P. S.

не зная, про что пишешь

Прекрасно знаю, о чём пишу. Попробуй продемонстрировать обратное.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Да, такую атаку устроить сложнее, чем атаку на незащищённую клиентскую IPv6-подсеть, и тем не менее это регулярно случается.

Расскажи, как это сделать в случае PPPoE, либо в случае подключения клиента в индивидуальный VLAN.

Но такие атаки не работают по одной простой причине, и по этой же причине никакой NAT в IPv6 не нужен.

Ну расскажи мне, как это не работает, когда ты файрвол случайно отключил. А если ты случайно отключишь нат... Ну, ты понял.

AS ★★★★★
()
Ответ на: комментарий от Deleted

Нас учили

Где проходило обучение? Кто конкретно тебя учил? Фамилию, имя и отчество обучащего, пожалуйста, в студию.

anonymous
()

Зачем его используют? Можно ли с помощью него решить задачу объединения локальных сетей в разных местах, которые имеют небелые адреса?

С помощью него весь мир в одной сети

vertexua ★★★★★
()
Ответ на: комментарий от AS

Расскажи, как это сделать в случае PPPoE, либо в случае подключения клиента в индивидуальный VLAN.

Никак.

Ну расскажи мне, как это не работает, когда ты файрвол случайно отключил.

А ещё можно дверью яйца прищемить и всем рассказывать, что дверь неправильная.

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

А ещё можно дверью яйца прищемить и всем рассказывать, что дверь неправильная.

Ты представляешь количество пользователей в сети? Думаешь, все поголовно знают, что они делают?

AS ★★★★★
()
Ответ на: комментарий от intelfx

прилетали пакеты с dst IP из RFC1918

мне очень интересно, а как они попадают на внешний интерфейс? По моим представлениям они не маршрутизируются в интернете.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.