IPv6 бесплатно

мобильный МТС :D

А если серьёзно, то разве что самому что-то пердолить на VPS.

https://blog.mapstrata.com/post/6in4/

henet, netassist.

Гугл требовал капчу или что-то аналогичное.

Только если перебраться в Калифорнию, ну или подключиться к Google Fiber, а там если очень повезет галочка «не робот», будет действительно работать.

Ураганный электрик (если есть статический IPv4): https://ipv6.he.net/

С гуглом сложностей никаких, кроме того, что он будет считать, что ты находишься в стране приземления туннеля (однако, Wikipedia не даст редактировать свои страницы, потому что ей не понравится IP «провайдера»).

Поделитесь опытом, если вам удастся получить через VPS русские IPv6. Одно время изучал проблему, никто не предоставляет туннельные айпишники, чтобы выделенная подсеть была routed. И да, прокси не осилил (не http-прокси, а NDP).

потому что ей не понравится IP «провайдера»

Есть подозрение, что и вики дебиана не почитаешь. Тоже те ещё борцы за всё хорошее.

https://habrahabr.ru/post/352146/ тоже про 6in4

Но я вот не понимаю смысла для домашнего пользователя. Это ж каждое устройство будет жопой в интернет торчать. Всякие принтеры-сканеры, тв приставки, в которых ни один производитель не заботится о безопасности.

Но я вот не понимаю смысла для домашнего пользователя

Домашний пользователь получит белый ip. Сейчас он не у каждого есть. Мне например, приходится доплачивать провайдеру за статику

Это ж каждое устройство будет жопой в интернет торчать. Всякие принтеры-сканеры, тв приставки, в которых ни один производитель не заботится о безопасности.

Как пользователь будет использовать свои адреса - это уже его дело. NAT и грамотную организацию сети никто не отменял. Это у розовых пони упоминание про ipv6 nat почему-то вызывает истерику

У мгтс ipv6 недавно завезли. Что тут скажешь? Оно работает. Толку кроме как в торрентах нет, точнее погоды оно не делает.

Как пользователь будет использовать свои адреса - это уже его дело.

Не совсем. Когда 95% процентов устройств будет во всяких ботнетах запоёшь по-другому.

грамотную организацию сети

Нет у меня файервола, и не считаю что особо нужен. А с ipv6 видимо придётся возиться.

Не совсем. Когда 95% процентов устройств будет во всяких ботнетах запоёшь по-другому.

Как бы тебе сказать... я лет 10 работаю unix инженером. Если 95% _твоих_ устройств будет в ботнете, я напомню анекдот про проблемы негров ;)

Нет у меня файервола, и не считаю что особо нужен

Тут должна быть картинка с двумя гопниками. Ну ты понял :D

Серьёзно, чувак, у тебя кабель от провайдера приходит прямо в домашний комп, на котором нет файрвола?

В этом нашем линуксе ( я даже не говорю про винду ) регулярно находят уязвимости. В том числе и удалённые. Иногда даже в ядре. И боты ( чаще китайские ) постоянно сканируют порты и пробуют на зуб всё что не прикрыто

Если 95% _твоих_ устройств будет в ботнете

Ты не понял, чужих. И вот эта армия по желанию любого оскорбённого (насколько я слышал, даже сейчас это очень дёшево, а потом будет почти бесплатно) атакует сайты, оборудование компаний, заводов, больниц. Падение скорости, недоступность сайтов. Владельцы станут гайки закручивать. Правительства, разумеется, в стороне не останутся. Взаимные обвинения в нападениях и шпионаже; а можно как ещё один рычаг давления на своих граждан использовать - типа с вашей сети атака была, платите штраф или пойдемте присядем. Доказательсва у нас есть, но мы вам их не покажем. Не то чтобы я был пессимистом, но не найду причин, почему это не может произойти.

Про файервол. Вот есть роутер с nat'ом, обновляю его периодически. В сети кроме пары компов и телефона ничего нет. На компах вроде никто не пытается через upnp (который в роутере отключен) открывать порты. От чего мне защищаться? Если даже поставлю файервол, отчего он сможет защищить?

Владельцы станут гайки закручивать. Правительства, разумеется, в стороне не останутся

Термоядерную войну забыл :) Блокировка доступа в инет пока заразу не вычистят, и вся любовь

Про файервол. Вот есть роутер с nat'ом, обновляю его периодически. В сети кроме пары компов и телефона ничего нет. На компах вроде никто не пытается через upnp (который в роутере отключен) открывать порты. От чего мне защищаться? Если даже поставлю файервол, отчего он сможет защищить?

От второго компа. upnp не обязателен, дыры есть в т.ч. в браузерах, в файловом менеджере, в библиотеках обработки изображений.

Получив контроль над одним компом, его можно использовать как площадку для атаки на остальные

кабель от провайдера приходит прямо в домашний комп

Думал таких уже давно не осталось. В таком случае пришлось бы озаботиться.

Зато у меня есть интересная история про микротик. Как-то раз обновил. Вроде всё работает и ладно. Через месяц чисто случайно заметил, что вайфай незапаролен. В leases dhcp сервера 100+ левых устройств. По самым старым и определил, что это именно обновление виновато (и нет, не писал производителю, это бесполезно во всех смыслах). Ну я чего, вернул пароль, проверил настройки, обновил ещё раз на всякий случай и ещё раз проверил. В nas'е ssh по ключу, вебадминка да самба по паролям; проверил пользователей, ключи, открытые порты. На компе ssh по ключу, в интернеты только через впн, но проверил тоже. Так и успокоился.

Это ж каждое устройство будет жопой в интернет торчать. Всякие принтеры-сканеры, тв приставки, в которых ни один производитель не заботится о безопасности.

Не делай так. В чём проблема?

Несколько лет назад поигрался с IPv6.

Несколько лет играюсь с IPv6, полученным от RIPE. В общем-то, по большей части, всё работает.

Серьёзно, чувак, у тебя кабель от провайдера приходит прямо в домашний комп, на котором нет файрвола?

Таких, вообще-то, достаточно много.

ipv6 nat

есть хоть одна причина использовать nat, а не нормально настроенный firewall на цепочке forwarding?

или это такая специальная олимпиада - загораживать проход инвалидными колясками, а не ставить турникет?

Вот и ещё один адепт свободы :)

Эта причина - безопасность. Расслабься, свой блок ipv6 ты получишь, и делай с ним что хочешь. Хочешь в ddos ботнет, хочешь в спам ботнет

Не знаешь, зачем нужен nat - значит тебе он не нужен. Не надо как лгтб-активист учить жить всех остальных

Вот и ещё один адепт свободы

Нет, всего лишь пропагандирую использовать инструменты по назначению, а не забивать сваи сбрасыванием на них тракторов с вертолетов

Эта причина - безопасность

NAT к безопасности имеет отношение... никакое. Почитай про nat punching и другие способы его обойти. А вот нормально настроенный firewall - это да, про безопасность.

свой блок ipv6 ты получишь, и делай с ним что хочешь

Уже давно получил и использую. Обхожусь без костылей и чувствую себя превосходно.

Не знаешь, зачем нужен nat

Кот бы говорил

Не надо как лгтб-активист учить жить всех остальных

Вот я бы запретил пропаганду NAT наравне и с педерастией детям, да

Для безопасности нужен stateful filtering, а не nat. А юникс инженер с 10-летним стажем за 10 лет похоже так и не научился использовать conntrack без nat.

NAT и грамотную организацию сети

Это кокой-то позор. Узнай наконец по какому принципу строилась изначально IP сеть, в какой момент придумали NAT и для чего.

Из-за таких администраторов localhost с 10-летним стажем ни ip-телефонию нормально не построишь, ни vpn, ни другие сервисы без костылей и подпорок людям не дашь.

Какой умилительный коммент от 10-летнего админа. Ну расскажи, для чего нужен NAT, все вместе посмеемся.

Нет, всего лишь пропагандирую использовать инструменты по назначению, а не забивать сваи сбрасыванием на них тракторов с вертолетов

Не поверишь, я тоже. Но пока я не видел доводов против nat кроме как от домашних сторонников свободы, потому и не собираюсь от него отказываться

NAT к безопасности имеет отношение... никакое. Почитай про nat punching и другие способы его обойти. А вот нормально настроенный firewall - это да, про безопасность.

Адын мамент. Посмотри чуть выше - я говорил, что без файрвола жить нельзя. Я не говорю, что NAT нужно использовать ВМЕСТО файрвола - но его нужно использовать, как ОДИН ИЗ механизмов защиты. И я не собираюсь пренебрегать ни nat'ом, ни acl'ами в nginx, ни даже древним tcpwrappers на том основании, что у меня настроен файрвол

во-первых, скрывается информация о внутренней сети

Ты скажешь, что security via obscurity это плохо, и может будешь в чём-то прав. В чём-то. Эту концепцию справедливо высмеивают, если obscurity единственное, что защищает дырявую сеть от взлома. А я говорю, что это один из механизмов защиты, и эта точка зрения не админа локалхоста. На минуточку, в pci dss тоже рекомендуется не выпускать наружу информацию об оргаризации сети без необходимости

во-вторых, перенос сервисов на нестандартные порты ( сюрприз, это тоже nat. точнее, одна из его разновидностей - PAT ) затрудняет работу ботов. Насколько - другой вопрос. «Лишняя осторожность не помешает» (c)

в-третьих, принципиальная невозможность инициировать соединение ( не путать с подключиться ) извне с компом внутри сети, если это явно не разрешено, без дополнительных телодвижений

Повторюсь ещё раз, я не собираюсь отказываться от nat только потому, что кто-то размахивает подштанниками с радосными воплями - «ipv6! свобода! теперь никаких серых ip!»

Приведи пример, помучему NAT бесполезен или вреден, or GTFO ;)

Для безопасности нужен stateful filtering, а не nat

И то, и другое

А юникс инженер с 10-летним стажем за 10 лет похоже так и не научился использовать conntrack без nat.

Смелый вывод. А на чём он основан?

принципиальная невозможность инициировать соединение ( не путать с подключиться ) извне с компом внутри сети, если это явно не разрешено, без дополнительных телодвижений

решается одним правилом firewall

помучему NAT бесполезен или вреден

Смотри выше - пример про телефонию.

Смотри выше - пример про телефонию.

ты опять втираешь мне какую-то дичь. когда мне понадобится ip телефония, я возьму и настрою все необходимое. вплоть до покупки отдельного ip. почему меня должно волновать, что твой провайдер мешает тебе настроить телефонию? используемые твоим провайдером технологии не виноваты в конкретной реализации.

решается одним правилом firewall

да. и я не вижу, что мне мешает одновременно использовать и то, и другое

Проблема в том, что такие инжереры с 10-летним стажем уже загубили ipv4 до невозможности использовать нормальные технологии как на уровне провайдеров, так и в корпоративном сегменте. И теперь лезут со своим мерзким NAT и в ipv6.

Деды натили - и мы будем.

Это у розовых пони упоминание про ipv6 nat почему-то вызывает истерику

У всех адекватных людей упоминание ipv6 nat вызывает истерику. Если всякие идиоты привыкли использовать NAT в качестве файрволла, это не означает, что так делать правильно.

есть хоть одна причина использовать nat, а не нормально настроенный firewall на цепочке forwarding?

или это такая специальная олимпиада - загораживать проход инвалидными колясками, а не ставить турникет?

ППКС.

проблемы адептов свободы в том, что борются они с технологиями, а не с провайдером, который им что-то зарезал

круг замкнулся. я вроде не заставляю тебя что-то натить дома. так зачем ты требуешь, чтобы я дома отказался от ната в своей сети?

У всех адекватных людей упоминание ipv6 nat вызывает истерику

это так прекрасно, что можно даже не комментировать

Если всякие идиоты привыкли использовать NAT в качестве файрволла, это не означает, что так делать правильно.

еще раз. не вместо. одновременно

еще раз. не вместо. одновременно

И зачем тогда ты приводишь NAT в качестве решения проблемы «смотреть в интернет голой жопой», если эта проблема решается не NAT'ом, а файрволлом?

Ну да ладно, тут выше по треду умные люди уже всё сказали и без меня.

если есть статический IPv4

Не обязательно, главное что-бы был белым.
DyDNS в роутере хватить чтобы обновить IP у HE.
Или скрипт в крон/pppd хук/…

Не могу в репах найти скрипты.

Если есть белый ip то можно через 6to4

А я хз, есть ли в репах, сам писал. А после, вообще роутер поставил.

Если с компа(можно и на роутере, но не на всех) инет поднимаешь и белый IP, то можно 6to4.
Если у тебя динамический белый IP, HurricanElectric может быть лучшим выбором т.к. от него ты получишь, не зависящую от IPv4 адреса, IPv6 сетку.
На 6to4 v6 подсетка будет зависеть от IPv4 адреса.
Чем плох, и хорош одновременно HE, это тем что geoIP будет показывать регион который ты выбрал при создании туннеля, а не тот в котором ты находишься.

Т.е. для себя я решил так:
Если ip серый: miredo
Если белый статический: 6to4
Если белый динамический: HE

С miredo довольно плохо, есть всего пару еле живых серверов, хоть свой поднимай, и с nat работает, но не со всеми.

И зачем тогда ты приводишь NAT в качестве решения проблемы «смотреть в интернет голой жопой», если эта проблема решается не NAT'ом, а файрволлом?

Так, народ, вы тут обсуждаете это как само собой разумеющееся, но мне, как админу локалхоста, хотелось бы понять в чем суть проблемы - в чем проблема с НАТом и что даёт файрвол. Мне казалось что всё просто - я просто открываю на роутере нужные мне порты, на которых слушают сервисы, которые требуют авторизации (SSH, OpenVPN) и думал, что моя сеть в принципе защищена от проблем. Если это не так - то в чем проблема?

Да, если это имеет значение, мой провайдер предоставляет только IP v.4, т.е. с v.6 ещё не сталкивался.

И да, при таком раскладе есть проблема с VoIP, но мне кажется тут дело не в подходе к защите сети, а с неаккуратностью аккушеров, принимавших роды у матерей создателей этого замечательного протокола.

Ты врываешься в разговор без конкретных вопросов и со словами «а ну-ка объясните мне тут всё». Это плохой подход. Почему бы тебе не RTFM? Глядишь, и вопросы сами собой отпадут.

Мне казалось что всё просто - я просто открываю на роутере нужные мне порты

«Мне казалось, что всё просто — я просто тыкаю на комплюктере в кнопочки и оно что-то делает.» Либо продолжай «просто открывать порты», либо разберись, что это такое и как оно устроено внутри. Здесь форум, а не лекторий.

И да, при таком раскладе есть проблема с VoIP, но мне кажется тут дело не в подходе к защите сети, а с неаккуратностью аккушеров, принимавших роды у матерей создателей этого замечательного протокола.

VoIP — это не протокол.

Спасибо. Подожду ответа от кого-нибудь, кто в состоянии ответить на мой вопрос.

хотелось бы понять в чем суть проблемы - в чем проблема с НАТом и что даёт файрвол.

С NAT'ом никаких проблем, он просто преобразует локальные ip-адреса в internet-адрес роутера и обратно.

А файрвол защищает локальную сеть, закрывая те или иные порты, адреса и т. д.

Мне казалось что всё просто - я просто открываю на роутере нужные мне порты, на которых слушают сервисы

Чтобы что-нибудь купить, сначала нужно что-нибудь продать, а чтобы открыть порты, сначала их нужно закрыть.

Да, если это имеет значение, мой провайдер предоставляет только IP v.4

Если провайдер выдаёт динамический адрес, и дело происходит в России, то все привилегированные порты он тебе уже закрыл. Раньше можно было повесить веб-сервер на нестандартный порт, но теперь задействут dpi (по крайней мере МТС), и это уже не прокатывает. Так что ты уже защищён. Но если настроишь файрвол, то сможешь лучше защититься.

С NAT'ом никаких проблем, он просто преобразует локальные ip-адреса в internet-адрес роутера и обратно.

Это плохое объяснение, и с NAT'ом есть проблемы. Другой вопрос, что в случае IPv4 это необходимое зло, потому что мирового адресного пространства (даже если предположить, что оно распределяется со 100% КПД) на всех не хватит.

А файрвол защищает локальную сеть

Необязательно «локальную сеть».

Если провайдер выдаёт динамический адрес, и дело происходит в России, то все привилегированные порты он тебе уже закрыл

Это неправда.

И зачем тогда ты приводишь NAT в качестве решения проблемы «смотреть в интернет голой жопой», если эта проблема решается не NAT'ом, а файрволлом?

router говорил не это, а

что без файрвола жить нельзя. Я не говорю, что NAT нужно использовать ВМЕСТО файрвола - но его нужно использовать, как ОДИН ИЗ механизмов защиты. [skip] во-первых, скрывается информация о внутренней сети [skip] во-вторых, перенос сервисов на нестандартные порты [skip] в-третьих, принципиальная невозможность инициировать соединение ( не путать с подключиться ) извне с компом внутри сети, если это явно не разрешено, без дополнительных телодвижений

В чём профит от третьего, я не совсем понял, но с 1-ми 2 пунктами полностью согласен.

Это плохое объяснение, и с NAT'ом есть проблемы.

Ну я же в двух словах ответил. :-)

что в случае IPv4 это необходимое зло

НАТ — не зло, а дополнительный эшелон защиты, хоть создавался и не для этого. Тут я с router'ом полностью согласен.

А файрвол защищает локальную сеть

Необязательно «локальную сеть».

Ну да. Но как правило.

Если провайдер выдаёт динамический адрес, и дело происходит в России, то все привилегированные порты он тебе уже закрыл

Это неправда.

Я это не выдумал и даже не вычитал, а знаю из собственного опыта. И если несколько лет назад я мог просто повесить веб-сервер на динамическом ip на нестандартный порт, чтоб он был виден извне, то в прошлом году у меня и это не получилось.

У меня SSH сидит на своём стандартном порту, ОпенВПН на 443 - это необходимо чтобы гарантированно иметь возможность туда попасть из разных сетей.. Т.е. уход от скрипткиддисов через изменение портов не работает (и не нужен, и даже если был бы нужен, то в этом случае изменение порта не сильно бы усилило бы безопасность). В чем проблема с НАТ и почему мне нужен файрвол?

НАТ — не зло, а дополнительный эшелон защиты, хоть создавался и не для этого. Тут я с router'ом полностью согласен.

NAT относится к «дополнительному эшелону защиты» примерно так же, как шапочка из фольги.

У меня SSH сидит на своём стандартном порту, ОпенВПН на 443

Странно. А какой провайдер? Потому что привилегированные порты закрывают уже давно (лет 15, если не больше).

уход от скрипткиддисов через изменение портов не работает (и не нужен, и даже если был бы нужен, то в этом случае изменение порта не сильно бы усилило бы безопасность).

А никто и не говорил про сильно, но усилило бы хотя бы потому, что придётся сканировать все порты, а любая лишняя активность выдаёт троян или взломщика.

В чем проблема с НАТ

Вообще-то я про проблемы НАТ не говорил. Спрашивай у тех, у кого эти проблемы имеются.

и почему мне нужен файрвол?

Откуда ж я знаю, почему он тебе нужен и нужен ли? Простым смертным он нужен для того, чтоб защитить свою сеть/свой комп. Но некоторые люди, уходя из дому, оставляют двери открытыми, считая, что у них нечего воровать. Таким ни файрвол, ни дверные замки не нужны.

NAT относится к «дополнительному эшелону защиты» примерно так же, как шапочка из фольги.

Ну вот пример из жизни: кто-то сломал веб-сервер и сканировал с него локальную сеть скриптом, чтоб внедриться (на самом сервере кроме апача ничего интересного не было). Эта активность была замечена, и скрипт удалили. А если бы все компы были видны из глобальной сети под своими ip (а к ним могут обращаться из вне), то и сканировать ничего особо не пришлось бы.

а к ним могут обращаться из вне

«Ну вот» это и нужно исправить, а не забивать гвозди не приспособленными для этого инструментами.