Я %username% из России с IPv6

как TCP способен справится с этой задачей?

man фрагментация пакетов

выяснили же уже — что IPv6 не умеет (умышленно не умеет) фрагментировать

только причем тут ipv6, если я без такого флага и в ipv4 не мог жить буквально несколько лет назад (с тех пор я сменил провайдера, и все стало гораздо лучше)?

только причем тут ipv6, если я без такого флага и в ipv4 не мог жить буквально несколько лет назад (с тех пор я сменил провайдера, и все стало гораздо лучше)?

чувствую я что в словах твоих смысл есть какой-то.. но не могу распарсить его. :)

то есть ты хочешь сказать — что в IPv4 есть никий флаг фрагментации? но как ты не мог жить без него, ведь не мог ты его вручную где-то включать\выключать?

(и вообще — кажется что зря мы в эту тему приплетаем ещё и IPv4.. если даже с IPv6 до самого-конца не разобрались :))

я кстати пользовал ipv6 от tunnelbroker и gogo6 на разных провайдеров, ниразу не сталкивался с такой дырой. Было время конечно когда они падали, но только насовсем, полностью.

вот сейчас я на клиенском компьютере установил wireshark и запустил tshark -i wlp1s0

и паралельно я запустил в другом терминале wget -6 -O- 'https://vk.com'

(2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d это я .. 2a00:bdc0:3:103:1:0:403:901 это Вконтакт)

в итоге — вот листинг:

# tshark -i wlp1s0
tshark: Lua: Error during loading:
 [string "/usr/share/wireshark/init.lua"]:46: dofile has been disabled due to running Wireshark as superuser. See http://wiki.wireshark.org/CaptureSetup/CapturePrivileges for help in running Wireshark as an unprivileged user.
Running as user "root" and group "root". This could be dangerous.
Capturing on 'wlp1s0'
  1   0.000000 IntelCor_39:1b:f4 -> Broadcast    ARP 42 Who has 192.168.0.164?  Tell 192.168.0.2
1   2   1.003270 IntelCor_39:1b:f4 -> Broadcast    ARP 42 Who has 192.168.0.164?  Tell 192.168.0.2
2   3   2.611738 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2001:4860:4860::8888 DNS 86 Standard query 0xd2dc  AAAA vk.com
  4   2.657369 2001:4860:4860::8888 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d DNS 170 Standard query response 0xd2dc  AAAA 2a00:bdc0:3:103:1:0:403:901 AAAA 2a00:bdc0:3:103:1:0:403:902 AAAA 2a00:bdc0:3:103:1:0:403:903
  5   2.657912 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 94 42597 > https [SYN] Seq=0 Win=28800 Len=0 MSS=1440 SACK_PERM=1 TSval=12957789 TSecr=0 WS=128
  6   2.696552 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 94 https > 42597 [SYN, ACK] Seq=0 Ack=1 Win=9996 Len=0 MSS=1440 SACK_PERM=1 TSval=3002486217 TSecr=12957789 WS=4
  7   2.696616 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=1 Ack=1 Win=28800 Len=0 TSval=12957800 TSecr=3002486217
  8   2.696884 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 SSL 421 Client Hello
  9   2.735285 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 86 https > 42597 [ACK] Seq=1 Ack=336 Win=9996 Len=0 TSval=3002486227 TSecr=12957800
 10   2.742654 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TLSv1 1506 Server Hello
 11   2.742759 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=336 Ack=1421 Win=31744 Len=0 TSval=12957814 TSecr=3002486228
 12   2.742871 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 13   2.742904 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=336 Ack=2841 Win=34560 Len=0 TSval=12957814 TSecr=3002486228
 14   2.743623 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TLSv1 1342 Certificate
 15   2.743668 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=336 Ack=4097 Win=37376 Len=0 TSval=12957814 TSecr=3002486228
 16   2.810296 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TLSv1 243 Server Key Exchange
 17   2.810365 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=336 Ack=4254 Win=40192 Len=0 TSval=12957834 TSecr=3002486245
 18   2.813551 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TLSv1 284 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
 19   2.855159 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TLSv1 336 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
 20   2.855467 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TLSv1 256 Application Data, Application Data
 21   2.904433 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 22   2.904664 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 23   2.904742 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=704 Ack=7344 Win=48768 Len=0 TSval=12957863 TSecr=3002486269
 24   2.905246 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 25   2.906120 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 26   2.906162 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 27   2.906181 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 28   2.906189 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=704 Ack=10184 Win=54400 Len=0 TSval=12957863 TSecr=3002486269
 29   2.906196 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 30   2.906250 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=704 Ack=13024 Win=60160 Len=0 TSval=12957863 TSecr=3002486269
 31   2.906971 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 32   2.906996 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 33   2.907021 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 34   2.907023 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=704 Ack=15864 Win=65792 Len=0 TSval=12957863 TSecr=3002486269
 35   2.907049 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=704 Ack=18704 Win=71424 Len=0 TSval=12957863 TSecr=3002486269
 36   2.946544 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 1506 [TCP segment of a reassembled PDU]
 37   2.946894 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TLSv1 1004 Application Data
 38   2.946931 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=704 Ack=21042 Win=77184 Len=0 TSval=12957875 TSecr=3002486279
 39   2.948864 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [FIN, ACK] Seq=704 Ack=21042 Win=77184 Len=0 TSval=12957876 TSecr=3002486279
 40   2.987452 2a00:bdc0:3:103:1:0:403:901 -> 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d TCP 86 https > 42597 [FIN, ACK] Seq=21042 Ack=705 Win=9996 Len=0 TSval=3002486290 TSecr=12957876
40  41   2.987499 2a02:2698:5c22:6c34:dea9:71ff:fe38:9c0d -> 2a00:bdc0:3:103:1:0:403:901 TCP 86 42597 > https [ACK] Seq=705 Ack=21043 Win=77184 Len=0 TSval=12957887 TSecr=3002486290
41  42   4.673353 fe80::21b:21ff:fe39:1bf4 -> ff02::1      ICMPv6 150 Router Advertisement from 00:1b:21:39:1b:f4
42 ^C

как видим здесь рукопожатие MSS=1440 (а не 1460) ..

то есть каким-то образом клиентский компьютер *заранее* знал что канал более узкий..

..хотя Вконтактом я не пользуюсь и сегодя ещё ни разу не пробовал туда подключаться..

хм.. блин.. как же всё это работает :-)

+1
Есть такой с двумя IPv6 адресами. Поигрался, понял что не нужно и даже к сайтам, которые крутятся на VDS не стал AAA записи прописывать.

а может быть такое что последние версии radvd-демона — автоматически вещает клиентам нужную величину MTU-параметра , даже в случае когда опция «AdvLinkMTU» отсутствует в radvd.conf

?

Все правильно, вроде. В IPv6 TCP MSS = MTU-60, а в IPv4 MTU-40.

вобщем — думаю что wireshark просто не всю инфу показывает.. :)

наверное, где-то было урезание MSS, но wireshark не показал это. [излишние подробности и всё-такое:)]

быть может быть свежия ядра Linux — теперь по умолчанию всегда делают «clamp to PMTU» при роутинге.

и сейчас я явно включил это («clamp to PMTU») в ip6tables-маршрутизатора. а wireshark на клиентском-компьютере всё равно тоже самое показывает MSS=1440, MSS=1440

Он все правильно показывает. У вас MTU 1500, а MSS 1440. Больше MSS для MTU 1500 быть не может (для IPv6).

флаг --clamp-mss-to-pmtu в iptables, без него то что ты называешь «черной дырой» вполне реально проявляется в ipv4.

Он все правильно показывает. У вас MTU 1500, а MSS 1440. Больше MSS для MTU 1500 быть не может (для IPv6).

1500 это такой MTU на клиентском компьютере.

а на шлюзе (PPPoE) MTU == 1490 ..

то есть MSS дожен быть 1430 .. ну или как сказать — он должен быть где-то (в каком-то месте трафика) укоротиться до этого 1430 :)

вот я и пытаюсь понять каким образом он стал бы укорачиваться (при тех или иных настройках роутера)

а, понял.. да, да.. на IPv4 это есть тоже :)

но на IPv4 — все знают (и производители роутеров в том числе) и это уже не интересно..

ну, так это не «баг маршрутизатора, который якобы знает о ipv6», а криворукость администраторов, которые запрещаеют icmp и icmpv6, а производители маршрутизаторов просто не успевают за непредсказуемостью тупизны.

Самый простой способ проверки — использовать ping6.

~ ping6 -s 1432 -M do ya.ru
PING ya.ru(www.yandex.ru) 1432 data bytes
1440 bytes from www.yandex.ru: icmp_seq=1 ttl=59 time=35.9 ms
1440 bytes from www.yandex.ru: icmp_seq=2 ttl=59 time=36.2 ms
^C
--- ya.ru ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 35.981/36.113/36.246/0.231 ms
~ ping6 -s 1433 -M do ya.ru
PING ya.ru(www.yandex.ru) 1433 data bytes
ping: local error: Message too long, mtu=1480
ping: local error: Message too long, mtu=1480
^C
--- ya.ru ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 999ms

более того, данный флаг - отнюдь не панацея. Легко смоделировать ситуацию, когда он не помогает (он помогает только в случае, если mtu на роутере - минимальный на всем пути следования пакета, а если где-то он окажется ещё меньше, то эта опция уже не работает)

а если где-то он окажется ещё меньше, то эта опция уже не работает

да, можно только надеяться что в том месте где он ещё меньше — что именно там не забыли сделать --clamp-mss-to-pmtu

Э? Никто в интернете никогда не делает клампинг. Это костыль сугубо для поломанного ICMP.

спасибо за подсказку!

вот это сообщение «Packet too big: mtu=1492» — оно есть не зависимо от наличия\отсутствия --clamp-mss-to-pmtu

похоже что на нём («Packet too big») всё и держится. да. я понял :)

$ ping6 -n -s 1444 -M do vk.com
PING vk.com(2a00:bdc0:3:103:1:0:403:907) 1444 data bytes
1452 bytes from 2a00:bdc0:3:103:1:0:403:907: icmp_seq=1 ttl=56 time=42.3 ms
1452 bytes from 2a00:bdc0:3:103:1:0:403:907: icmp_seq=2 ttl=56 time=40.3 ms
1452 bytes from 2a00:bdc0:3:103:1:0:403:907: icmp_seq=3 ttl=56 time=40.4 ms
1452 bytes from 2a00:bdc0:3:103:1:0:403:907: icmp_seq=4 ttl=56 time=40.3 ms
^C
--- vk.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 40.333/40.872/42.368/0.864 ms


$ ping6 -n -s 1445 -M do vk.com
PING vk.com(2a00:bdc0:3:103:1:0:403:903) 1445 data bytes
From 2a02:2698:5c24:1ac3::1 icmp_seq=1 Packet too big: mtu=1492
ping: local error: Message too long, mtu=1492
ping: local error: Message too long, mtu=1492
ping: local error: Message too long, mtu=1492
ping: local error: Message too long, mtu=1492
^C
--- vk.com ping statistics ---
5 packets transmitted, 0 received, +5 errors, 100% packet loss, time 4008ms

(2a02:2698:5c24:1ac3::1 — это роутер.. он и посылает ошибки клиентскому компу :))

И вам спасибо за подсказку, я и забыл, что в RA передается правильный link mtu.

Посмотреть его можно так:

sysctl -a | grep mtu

только причем тут ipv6, если я без такого флага и в ipv4 не мог жить буквально несколько лет назад (с тех пор я сменил провайдера, и все стало гораздо лучше)?

только сейчас я окончательно понял что имеется ввиду под фразой «сменил провайдера»!

то есть

есть я и web-сервер . и между нами — провайдер с узким тунелем.

но до этого (до этого сообщения) — я забывал учесть что у провайдерского тунеля ДВА «отверстия». (ну или как сказать — «вход» и «выход»)

то есть я опасался что пакеты не смогут зайти во «вход».

но забыл про «выход» . :-)

 +-----+           +-------+                                             +-----+
 |     |   lan     |       |       +----------------------------+        |     |
 |  я  | ------->  |router | ----> |   узкий тунель провайдера  | -----> | web |
 |     |           |       |     / +----------------------------+ \      | сайт|
 +-----+           +-------+    /                                  \     +-----+
                               |                                    |
                               |                                    |
                               |                                    |
                               |                                    |
                               |                                    |
                               |                                    |
                            вот тут                             выход из тунеля
                          вход в тунель                       (но лишь с точки
                                                                зрения меня)

клиентский-«выход» является «входом» — когда речь идёт об ответных пакетах со стороны web-сайта.

 +-----+           +-------+                                             +-----+
 |     |   lan     |       |       +----------------------------+        |     |
 |  я  | <-------- |router | <---- |   узкий тунель провайдера  | <----- | web |
 |     |           |       |       +----------------------------+ \      | сайт|
 +-----+           +-------+                                       \     +-----+
                                                                    |
                                                                    |
                                                                    |
                                                                    |
                                                                    |
                                                                    |
                                                               здесь вход      
                                                                 в тунель      
                                                           (с точки зрения
                                                              web сайта)
                                                               

и вот тут — если интернет-провайдер накосячил — то применяются clamp-to-pmtu.

а если интернет-провайдер не косячил — то clamp-to-pmtu не является необходимым.

правильно?

если бы я был бы более внимательным, то читая man iptables-extensions — я смог бы заметить в абзаце про TCPMSS — фразу:

...This target is used to overcome criminally braindead ISPs or servers which block «ICMP Fragmentation Needed» or «ICMPv6 Packet Too Big» packets...

:-)

Почитайте, пожалуйста, для чего нужен NAT

Возвращаю Вам предложение почитать.

Я прекрасно знаю, для чего нужен NAT. Он не дает никакой защиты.

Я прекрасно знаю, для чего нужен NAT

Ну-ну.

Он не дает никакой защиты.

Как минимум, сокрытие внутренней структуры сети - уже защита.

Как минимум, сокрытие внутренней структуры сети - уже защита.

от школьников?

от школьников ?

Обрисуй атаку на внутренний ресурс сети за NAT. Для простоты тот вариант, который в Linux задаётся правилом MASQUERADE. Допустим, ты даже угадал, что там используется сеть 192.168.1.0/24, а твоя цель имеет IP 192.168.1.10.

http://blog.webernetz.net/2013/05/21/why-nat-has-nothing-to-do-with-security/

Ещё раз. Не надо давать ссылки на всякие замысловатые статьи с надписями вида «However, an attacker is only able to do harmful activities if he has access to a device in the internal network». Если бы у бабушки были яйца, она была бы дедушкой.

Итак, ещё раз. Твоя цель - 192.168.1.10. Делай атаку.

мне лень читать, если честно. http://habrahabr.ru/post/136871/ вот в этой статье вроде все правильно и доходчиво описано, афаир.

да, спасибо.. вчера изучил.

а ещё выяснил что если взять удалённый сервер (mtu=1500) — то из него не получится сделать tracepath до моего ip-адреса.

http://www.subnetonline.com/pages/network-tools/online-tracepath.php (IPv4)

http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-tracepath.php (IPv6)

точнее говоря — раньше это не работало (для моего провайдера) и для IPv4 и для IPv6 (пробовал зимой).

а теперь начиная с какого-то момента — (для моего провайдера) только IPv4 имеет эту прооблему. а с IPv6 всё нормально.

вобщем всё ясно.. пазл сощёлся :-)

Обрисуй атаку на внутренний ресурс сети за NAT. Для простоты тот вариант, который в Linux задаётся правилом MASQUERADE. Допустим, ты даже угадал, что там используется сеть 192.168.1.0/24, а твоя цель имеет IP 192.168.1.10.

рассказываю.

предположим, что ты скрываешь у себя на 192.168.1.10 — какой-то порт XXX, который является уязвимым.

(если уязвимого порта на 192.168.1.10 нет — то и разговора ни какого нет. в этом случае NAT тебе точно не нужен).

предположим, что у нас есть готовый алгоритм (эксплойт) как можно через этот уязвимый порт нанести взлом.

мы (взломщики) не можем напрямую из интернета адресовать 192.168.1.10:XXX . нам мешает NAT .

вопрос: что мы же делаем?

ответ: мы просто используем наш эксплойт — для всех портов 32767~65535 (32-тыщи портов) твоего внешнего NAT. быть может даже делаем это одновременно с нескольких компьютеров. постоянно, по кругу, — в течении долгого времени.

если вдруг твой компьютер делает *хоть_один* *хоть_куда* внешний запрос из порта 192.168.1.10:XXX в интернет — то этот порт XXX сразу попадает в память NAT — и с этого момента наш эксплойт срабатывает.

думаю успешность проведения атаки — вероятнее всего предполагает что XXX использует UDP. и что его активность может быть двустронняя (принимать и отправлять пакеты). например: кеширующий-DNS-сервер или порт для сетевой файловой системы или программа для SIP-телефонии. (TCP вряд ли сработает).

хотя наверное Full Cone NAT щаз не часто можно встретить. MASQUERADE это какой тип NAT?

мне кажется провайдеры бесплатным это не сделают

Лет 10 назад в домашних сетях статический IP был нормой, как раз. Это по мере исчерпания пулов стали переходить на динамику (как раньше было на модемах), на серые IP и на оплату белых статических.

Поддерживаю по всем пунктам.

мы просто используем наш эксплойт — для всех портов 32767~65535 (32-тыщи портов) твоего внешнего NAT.
быть может даже делаем это одновременно с нескольких компьютеров. постоянно, по кругу, — в течении долгого времени.

Как думаешь, на сколько долго это можно делать незаметно ?

если вдруг твой компьютер делает *хоть_один* *хоть_куда* внешний
запрос из порта 192.168.1.10:XXX в интернет

То запрос на установление соединения вовнутрь не пройдёт всё равно, если только не было предварительного обращения с этого 192.168.1.10 на хост атакующего. В итоге, по факту, за маскарадинг можно пробиться единственным способом: иметь бота внутри сети. Но точно так же можно пробиться и через классический файрвол.

MASQUERADE это какой тип NAT

Не Full Cone NAT точно. :-) NAT не файрвол, но применяемые сейчас варианты обеспечивают вполне нормальную изоляцию внутренней сети.

Но точно так же можно пробиться и через классический файрвол.

это ты сейчас имеешь ввиду Firewall который находится на router? тык это же опять-таки дурацкая штука. :-)

если уж и иметь Firewall — то только на каждом из персональных компьютерах :-)

..а ещё лучше — не иметь дырявых портов на персональных компьютерах (а не Firewall). помоему это самое нормальное решение :-)

Не Full Cone NAT точно. :-)

если не Cone NAT — значит не прокатит . да :) ..

NAT не файрвол, но применяемые сейчас варианты обеспечивают вполне нормальную изоляцию внутренней сети.

ды тут такое дело...

гемороя слишком много от NAT.

а то что он обеспечивает некую «изоляцию» — утешение слабое.

например что если эта «изоляция» не нужня для *некоторых* компьютеров из локальной сети? а что если вдруг-оказывается — что не для некоторых, а для *большенства*?

и тогда встаёт вопрос — почему (?) большенство компьютеров локальной сети — должно страдать, лишь по причине того что меньшенство компьютеров локальной сети не может безопасно существовать без NAT.. :)

то есть парочка уродливых компов (с уязвимыми портами) — заставляет страдать все остальные компы локальной сети. это нормально что ли? :-)

а .... вот ещё что скажу по поводу «изоляции». :)

помоему — если взять установочный DVD-диск с Microsoft Windows..

...и *просто* установить это на компьютер,

то мы обнаруживаем что Firewall там по умолчанию имеет состояние «вкл». (людей которые его зачем-то вЫключают — не будем рассматривать — так как эти же люди могут и не такое натварить. например эти люди могут ходить по web-сайтам через необновлённую Оперу и ловить через неё вирусы не зависимо от всяких NAT).

и что именно тогда NAT будет для нас «изолировать», если всё уже и так по умолчанию изолировано? :)

а если мы сейчас говорим не про Microsoft Windows , а про GNU/Linux — то тогда было бы тоже интересно услышать что именно через NAT мы хотели бы «изолировать» там :-) ..

например что если эта «изоляция» не нужня для *некоторых* компьютеров из локальной сети ?

Для этого существует понятие DMZ.

а что если вдруг-оказывается — что не для некоторых, а для *большенства*?

Это крайне редкий случай.

то есть парочка уродливых компов (с уязвимыми портами) — заставляет страдать

Ты уверен за телевизор, холодильник, лампочки освещения ? Готов им реальные IP давать ? :-)

Для этого существует понятие DMZ.

говно это всё. всё из-за нехватки адресов.

NAT теряет TCP-сессии — когда ему вздумается (если хороший NAT, то теряет из-за нехватки ресурсов, а если плохой NAT то теряет просто потому что он говно :))

компьютеры находящиеся в DMZ — не видят своего реального IP-адреса. это создаёт проблемы для P2P.

в IPv6 всё прозрачно и ясно. вот внешний IP-адрес и он просто рабоатет — без всяких преобразований. а вот адрес fe80::* и он для нужд локальной сети.

Ты уверен за телевизор, холодильник, лампочки освещения ? Готов им реальные IP давать ? :-)

не уверен за них — да. :)

пусть они работают в fe80::* . ни кто не просит чтобы эти «холодильники» воспринимали бы IPv6RA-пакеты.

если устройство не обрабатывает IPv6RA-пакеты — то значит и не будет утечек во внешний интернет. это в отличии от IPv4 NAT — в котором ни кто ни чего не спрашивает. :)

IPv4 NAT предоставляет *всем* доступ. — это более опасно чем ситуация с IPv6 (который предоставляет только тем доступ кто обработал IPv6RA).

> а что если вдруг-оказывается — что не для некоторых, а для *большенства*?

Это крайне редкий случай.

где-же крайний :-)

вот [тут] же я написал что в Windows по умолчанию включён Firewall.

тебе отсутствие NAT автоматом запрещает настраивать фаервол?

же я написал что в Windows по умолчанию включён Firewall.

Я про то, что реальный IP не всем нужен. А что касается «в Windows по умолчанию включён Firewall», то лучше бы они сервисы писали так, чтобы файрвол нужен не был. И не активировали бы их по-умолчанию.

тебе отсутствие NAT автоматом запрещает настраивать фаервол ?

Начни читать сначала. Речь не об этом.

лучше бы они сервисы писали так, чтобы файрвол нужен не был

конечно лучше!

но раз уж они не умеют — то хотя бы вот так :-)

как раз об этом - вместо настройки фаервола ты почему-то предлагаешь прятать все за NAT.

вместо настройки фаервола ты почему-то предлагаешь прятать все за NAT.

Более простое решение всегда лучше.

это NAT более простое решение? ок, с вами больше разговаривать не о чем.

отсутствие NAT автоматом запрещает настраивать фаервол?

кстати вот да!

предположим в моей локальной сети — есть несколько устройств\компютеров («умных холодильников»), в которых я не уверен что они сделаны безопасно.

логично ведь в этом случае было бы на router — поставить парочку правил которые запрещают *этим* устройствам (и только им) взаимодействовать с внешним интернетом.. :)

прям вот такой простой фильтр по MAC-адресам:

«FORWARD всем разрещён, кроме вот этих двоих — 00:11:22:33:44:55 и 00:11:22:55:44:33»

мне кажется — это явно лучше, чем засовывать всю локальную сеть внутрь NAT :-)

это NAT более простое решение ?

Скажу больше: оно на порядок более надёжное, чем 20 персональных файрволов. И чем один общий.

Но, всё равно, я бы хотел увидеть, где я пишу, что вместо ? NAT - нат-ом, файрвол - файрволом. Но NAT надёжнее по совершенно очевидным причинам.

ок, с вами больше разговаривать не о чем.

Я никого учиться не заставляю. Не разговаривайте. :-)

логично ведь в этом случае было бы на router — поставить парочку правил

Потом появляется ещё одно «чудо инженерной мысли», а про него забывают. Ага.

мне кажется — это явно лучше, чем засовывать всю локальную сеть внутрь NAT :-)

Отнюдь. Сначала доступ должен быть запрещён. А почему тут NAT надёжнее: случайно отключенный файрвол - открытая дверь, а случайно отключенный NAT - порушенный мост.