LINUX.ORG.RU
ФорумAdmin

Минусы IPv6 NAT

 ,


1

2

Всю жизнь использовал IPv4 NAT но в принципе нынче вроде ничего не мешает использовать IPv6 NAT. Из плюсов - во-первых доступ к, собственно, IPv6 серверам, во-вторых большое адресное пространство позволяет делать всякие прикольные штуки вроде тривиального отображения onion-адресов. Ну главный минус очевиден - нельзя принимать соединения из интернета без проброса порта, это понятно. Есть какие-то ещё неочевидные минусы и проблемы? Использовать планируется современные ОС вроде Windows 10, iOS 12, Android 9 и тд, вроде у них уже IPv6 должен быть нормально реализован.

★★★★★
Ответ на: комментарий от AS

Я не понял.

в случае с NAT - это проблема доступа

далее

а без NAT - это просто велкам

Вы реально сейчас пошутили?

anc ★★★★★
()
Ответ на: комментарий от anonymous

Но его наличие не является строго обязательным. Более того, у операционной системы может вовсе не быть IP-стека.

Это будет уже какая-то очень узкоспециализированная вещь и под нее уже будет вестись соответствующая разработка. Программист заранее будет знать, что ему доступно. И вот в самом распространенном случае сеть будет. И выбрать ее - отличный вариант, позволяющий легко и прозрачно для программы выполнить разнесение компонентов между разными физическими машинами при необходимости.

rumgot ★★★★★
()
Ответ на: комментарий от ValdikSS

Для защиты доступа, например, в IPv6 следует применять stateful firewall, а не NAT.

Ты прочитал, что я написал?

AS ★★★★★
()
Ответ на: комментарий от anc

Вы реально сейчас пошутили?

Нет.

Вот на примере конкретно с Linux. NAT и файрвол - это всё netfilter. Теперь имеем две сети, одна на приватных IP, другая - на реальных. В какой-то момент что-то случается, и правила netfiler оказываются не назначены. Что будет в результате в обоих случаях?

Либо надо делать собственный файрвол на каждом устройстве в сети, чтобы каждый отвечал сам за себя. Это, конечно, здорово, но как-то фантастично.

AS ★★★★★
()
Ответ на: комментарий от AS

Я не понимаю, что вы пишете. Вроде и по-русски, но слова в предложения не складываются.

ValdikSS ★★★★★
()
Ответ на: комментарий от AS

В какой-то момент что-то случается, и правила netfiler оказываются не назначены.

Люлей и ещё раз люлей рукопопу.

Но вашу мысль я понял. Что же, вроде как и аргумент. Прям дежавю. Кажется уже обсуждали данный момент. Если «голой попой» оставить машинку имеющую доступ в сеть, то шансов факапа меньше чем если все машинки внезапно окажутся голой попой в инете. Только вот в чем проблема. Даже 1% возможного «факапа» уже нельзя считать безопасной системой.

anc ★★★★★
()
Ответ на: комментарий от anc

Прям дежавю. Кажется уже обсуждали данный момент.

Наверняка. :-)

Только вот в чем проблема. Даже 1% возможного «факапа» уже нельзя считать безопасной системой.

А теперь, условно, берём домохозяйку, её холодильник и её домашний роутер.

AS ★★★★★
()
Ответ на: комментарий от AS

А теперь, условно, берём домохозяйку, её холодильник и её домашний роутер.

Нет, все-таки дежавю «домашний роутер» у меня тут «под боком»(я не знаю где, но где-то не далеко видимо) есть один «домашний роутер» живет хз сколько лет с дэфолтным паролем. v4 все по честному заблокирован, однако благодаря ff02::1 он находиться и его вебморда открыта.

anc ★★★★★
()
Ответ на: комментарий от ValdikSS

Что за статья? По ссылке fingerprint считается верно даже для разных браузеров несмотря на

Detected OS = Linux 2.2.x-3.x [generic]
HTTP software = Firefox 10.x or newer (ID seems legit)

Или эти данные в отпечатке не используются?

Mike_RM
()
Ответ на: комментарий от Mike_RM

https://habr.com/ru/post/216295/

Эта страница использует фингерпринт TCP-стека ОС, фингерпринт и user-agent браузера. Если, например, подделать User-Agent, написав там «Windows», а TCP-стек будет не Windows, то id не будет seems legit. Если установить User-Agent от одного браузера в другой, подмена тоже обнаружится.

Аналогично можно определить прокси. Прокси обычно запущены на nix, и если пользователь зайдет с Windows через прокси, то стек определиться nix'овым, а user-agent — Windows.

ValdikSS ★★★★★
()
Последнее исправление: ValdikSS (всего исправлений: 1)
Ответ на: комментарий от mogwai

Кто бы с какого бы устройства не вышел в сеть, посторонний наблюдатель видит корпоративный шлюз до тех пор, пока пользователь не решит идентифицировать себя на ресурсе.

В IPv6 для этого давно придуман https://tools.ietf.org/html/rfc4941

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.