Минусы IPv6 NAT

1

2

Всю жизнь использовал IPv4 NAT но в принципе нынче вроде ничего не мешает использовать IPv6 NAT. Из плюсов - во-первых доступ к, собственно, IPv6 серверам, во-вторых большое адресное пространство позволяет делать всякие прикольные штуки вроде тривиального отображения onion-адресов. Ну главный минус очевиден - нельзя принимать соединения из интернета без проброса порта, это понятно. Есть какие-то ещё неочевидные минусы и проблемы? Использовать планируется современные ОС вроде Windows 10, iOS 12, Android 9 и тд, вроде у них уже IPv6 должен быть нормально реализован.

Ссылка

←	Защита от SYN флуда в микротике

Вынос хоста из локалки

→

← 1 2 →

Ответ на: комментарий от AS 03.07.19 15:38:27 MSK

Я не понял.

в случае с NAT - это проблема доступа

а без NAT - это просто велкам

Вы реально сейчас пошутили?

anc ★★★★★
(03.07.19 15:46:07 MSK)

Ответ на: комментарий от anonymous 03.07.19 13:29:47 MSK

Но его наличие не является строго обязательным. Более того, у операционной системы может вовсе не быть IP-стека.

Это будет уже какая-то очень узкоспециализированная вещь и под нее уже будет вестись соответствующая разработка. Программист заранее будет знать, что ему доступно. И вот в самом распространенном случае сеть будет. И выбрать ее - отличный вариант, позволяющий легко и прозрачно для программы выполнить разнесение компонентов между разными физическими машинами при необходимости.

rumgot ★★★★★
(03.07.19 15:50:07 MSK)

Ссылка

Ответ на: комментарий от ValdikSS 03.07.19 15:43:36 MSK

Для защиты доступа, например, в IPv6 следует применять stateful firewall, а не NAT.

Ты прочитал, что я написал?

AS ★★★★★
(03.07.19 17:17:29 MSK)

Ответ на: комментарий от anc 03.07.19 15:46:07 MSK

Вы реально сейчас пошутили?

Нет.

Вот на примере конкретно с Linux. NAT и файрвол - это всё netfilter. Теперь имеем две сети, одна на приватных IP, другая - на реальных. В какой-то момент что-то случается, и правила netfiler оказываются не назначены. Что будет в результате в обоих случаях?

Либо надо делать собственный файрвол на каждом устройстве в сети, чтобы каждый отвечал сам за себя. Это, конечно, здорово, но как-то фантастично.

AS ★★★★★
(03.07.19 17:21:34 MSK)

Ответ на: комментарий от AS 03.07.19 17:17:29 MSK

Я не понимаю, что вы пишете. Вроде и по-русски, но слова в предложения не складываются.

ValdikSS ★★★★★
(03.07.19 17:27:35 MSK)

Ссылка

Ответ на: комментарий от AS 03.07.19 17:21:34 MSK

В какой-то момент что-то случается, и правила netfiler оказываются не назначены.

Люлей и ещё раз люлей рукопопу.

Но вашу мысль я понял. Что же, вроде как и аргумент. Прям дежавю. Кажется уже обсуждали данный момент. Если «голой попой» оставить машинку имеющую доступ в сеть, то шансов факапа меньше чем если все машинки внезапно окажутся голой попой в инете. Только вот в чем проблема. Даже 1% возможного «факапа» уже нельзя считать безопасной системой.

anc ★★★★★
(03.07.19 17:32:20 MSK)

Ответ на: комментарий от anc 03.07.19 17:32:20 MSK

Прям дежавю. Кажется уже обсуждали данный момент.

Наверняка. :-)

Только вот в чем проблема. Даже 1% возможного «факапа» уже нельзя считать безопасной системой.

А теперь, условно, берём домохозяйку, её холодильник и её домашний роутер.

AS ★★★★★
(03.07.19 18:00:05 MSK)

Ответ на: комментарий от AS 03.07.19 18:00:05 MSK

А теперь, условно, берём домохозяйку, её холодильник и её домашний роутер.

Нет, все-таки дежавю «домашний роутер» у меня тут «под боком»(я не знаю где, но где-то не далеко видимо) есть один «домашний роутер» живет хз сколько лет с дэфолтным паролем. v4 все по честному заблокирован, однако благодаря ff02::1 он находиться и его вебморда открыта.

anc ★★★★★
(03.07.19 18:09:28 MSK)

Ссылка

Ответ на: комментарий от ValdikSS 03.07.19 15:21:39 MSK

Что за статья? По ссылке fingerprint считается верно даже для разных браузеров несмотря на

Detected OS = Linux 2.2.x-3.x [generic]
HTTP software = Firefox 10.x or newer (ID seems legit)

Или эти данные в отпечатке не используются?

Mike_RM ★
(03.07.19 18:14:02 MSK)

Ответ на: комментарий от Mike_RM 03.07.19 18:14:02 MSK

https://habr.com/ru/post/216295/

Эта страница использует фингерпринт TCP-стека ОС, фингерпринт и user-agent браузера. Если, например, подделать User-Agent, написав там «Windows», а TCP-стек будет не Windows, то id не будет seems legit. Если установить User-Agent от одного браузера в другой, подмена тоже обнаружится.

Аналогично можно определить прокси. Прокси обычно запущены на nix, и если пользователь зайдет с Windows через прокси, то стек определиться nix'овым, а user-agent — Windows.

ValdikSS ★★★★★
(03.07.19 20:29:54 MSK)
Последнее исправление: ValdikSS 03.07.19 20:31:40 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от mogwai 02.07.19 18:18:15 MSK

Кто бы с какого бы устройства не вышел в сеть, посторонний наблюдатель видит корпоративный шлюз до тех пор, пока пользователь не решит идентифицировать себя на ресурсе.

В IPv6 для этого давно придуман https://tools.ietf.org/html/rfc4941

ivlad ★★★★★
(06.07.19 09:00:33 MSK)