Если NAT не настроить, то его не будет. А там уже в зависимости от обстоятельств: либо будет работать, но «опасно» (каждый компьютер будет иметь доступ в Интернет) (в худшем случае, есть риск получить звездюлей от вышестоящих администраторов за использование IP-адресов, не предназначенных тебе), либо вообще не будет работать.
А чтобы обеспечить безопасность аналогичную NAT'у, нужно всего 3 правила iptables.
В нем пока (непроверенная информация не менее, чем полугодичной давности) не работают мусорские сормы, эшелоны и всякие копирастские приблуды, написанные под венду на сишарпе, которыми они собирают айпишники файлообменщиков.
Автоконфигурация, маршрутизация (+ снижение нагрузки на сетевое оборудование, контрольные суммы то не пересчитываются), размер пакетов до 4Гб, теггирование трафика, обязательный IPSec, да много чего полезного.
Какие контрольные суммы, зачем они пересчитывалис в IPv4 и почему решили от этого отказаться?
Контрольная сумма в IPv4 пересчитывается на сетевом уровне (IP), что избыточно при наличие пересчёта на транспортном уровне (TCP) и канальном (Ethernet).
Практическое применение?
О_О Админ локалхоста? Проблема фрагментаци пакетов тебя совсем не волнует? Огромный плюс, что размер MTU может плавать. Из практических применений конкретно крупных пакетов к примеру передача данных в кластере.
Типа MPLS?
Вроде того, IPv6 лишает необходимость юзать этот костыль.
В целом IPv6 снижает нагрузки на сетевое оборудование, повышает секурность, упрощает маршрутизацию.
1) кол-во адресов
2) не нужны пляски с натом
3) мелкие плюшки по типу link-local адресов
..
4) попичлочные бюджеты на внедрение ipv6 в расейских конторах..
1) ССЗБ должны страдать. Это воспринимать как полезную плюшку.
2) Теперь каждый дома сможет поднять домашний сервер без платы провайдеру за статический IP и т. д. «Админ локалхоста допустит кучу ошибок и его серв взломают на следующий день»? См. пункт 1. Никто поднимать не заставляет, но такая возможность это очень хорошо. Если мобильные провайдеры не будут выпендриваться и резать входящий трафик, то это касается и всяких 3G модемов и т. д. По дефолту даже в офтопике все входящие порты закрыты (если не додуматься выбрать в настройках сети «Домашняя сеть», но тут опять же действует пункт 1, а комментарии в настройках должны запугать всех, кто сомневается).
3) Торренты качаются быстрее, потому что все кто качает, могут и раздавать на весь интернет, а не только в локалке провайдера. Не хочешь раздавать? В торрент-клиенте есть нужные настройки.
4) VoIP и подобный трафик идёт на прямую между двумя клиентами. В итоге повышается производительность, снижается нагрузка на сеть (иначе трафик сначала должен дойти до супер-ноды, а потом оттуда до получателя - сети придётся пропустить в два раза больше трафика), повышается секурность (меньше мест, где можно перехватить трафик).
5) Исходя из 2 пункта радуются и любители многопользовательских игр типа Quake, OpenArena, CS и т. д., потому что чтобы поиграть с друзьями не надо искать свободный сервер или же платить за внешний IP, пробрасывать порты на роутере и т. д.
В минусе только админы сетей предприятий - в фирмах обычно машины юзеров не должны уметь без разрешения админа поднимать серверы. Но это решается несколькими правилами iptables. Всё-таки админ может себе позволить добавить пару строчек в конфиг шлюза.
Главное, чтобы домашние провайдеры не мешали. С проводными проблем быть не должно - сейчас и так многие (не все, разумеется) предоставляют белый IPv4 адрес (динамический - за статический придётся платить) и не режат никакие коннекты (даже почтовик пробовал поднимать - работает). Они вполне возможно будут полностью следовать правилам IPv6 вплоть до предоставления подсети /64.
А вот мобильные могут и зажать подсеть. Или вообще зарезать входящие соединения. Например, у Megafon даже локалки нет для 3G-модемов. А между прочим им самим это выгоднее - качают торренты с других пользователей сети - меньше трафика во внешний интернет. А поддержка более широкого внешнего соединения для оператора дороже, чем поддержка внутренней сети (тем более, что внутренняя сеть в любом случае должна быть не хуже внешней, иначе пользователи просто не смогут воспользоваться всей скоростью).
Изначально NAT был предназначен не для секурности.
Аналог NAT с точки зрения секурности:
:FORWARD DROP [0:0] -A FORWARD -i ${lan_iface} -j ACCEPT -A FORWARD -i ${inet_iface} -m state --state ESTABLISHED,RELATED -j ACCEPT
А теперь прелести, по сравнению с NAT'ом: абсолютно никаких геморроев с пробросом портов: просто открываем нужную тачку на нужном порту (а то и все порты) в FORWARD. Никаких геморроев с гигантскими NAT'ированными сетями (вида 10/8).
Одно другого не исключает, а очень даже дополняет.
Вообще-то очень мешает, на самом деле. обычно роутер совмещает функции файрволла, и если NAT пытается выступать в качестве файрволла, то роутить нормально уже не получается. А защититься нормально настроенными правилами можно не хуже чем NAT: и сетку спрячем, и ходить все будут в инет не замечая разницы, и отдельные хосты можно выставить в инет.
а в гугл ты конечно же не ходил? а еще звездатый...
И да, Slavaz все правильно сказал. NAT - это вообще костыль, призванный расширить возможности использования адресеного пространства. В ipv6 он в принципе не нужен. Любой прикладной протокол сложнее HTTP(а иногда и не сложнее - FTP) с натом уже дружит только через костыли.
ну в некоторых специфичных случаях может и понадобиться. Например, если в некую приватную сеть пустили только один IP, а надо ходить туда с нескольких... тогда роутим трафик через машину с разрешённым IP, а на этой машине NATим всех, кому типа нельзя :)
Это потому что для меня проблемы офисного интернета очень далеки,
но я честно пытаюсь себя представить на месте васи пупкина с дырявой вендой. Я понял что это проблема васи и того админа который раздаёт инет.
Т.е. преимущества белых адресов понятны, вопрос в оценке рисков.
Вася Пупкин и так подхватит вирус после первого же порно-сайта. А если у него стоит нормальный антивирус, то он способен выполнять и функции фаервола. Видел один раз на машине с виндой сообщение Avast типа «Внешняя атака с адреса $IP на порт $PORT была успешно заблокирована». То есть пока он не станет поднимать серверы, он в относительной безопасности. Разве если будут целенаправленно именно его ломать, подбирая атаки под конкретную систему, но он же неуловимый Джо.