LINUX.ORG.RU

контрольной суммы не будет и автоконфигурирование

onon ★★★
()

Вместо 192.168.0.1 можно писать просто fc00::1.

krakatau
()
Ответ на: комментарий от Reset

а firewall на что?

КО говорит что ненастроенный нат даёт больше секурности чем ненастроенный firewall.

С учётом айти-реалий ненастроенных систем гораздо больше чем настроенных

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

ненастроенный нат

Если NAT не настроить, то его не будет. А там уже в зависимости от обстоятельств: либо будет работать, но «опасно» (каждый компьютер будет иметь доступ в Интернет) (в худшем случае, есть риск получить звездюлей от вышестоящих администраторов за использование IP-адресов, не предназначенных тебе), либо вообще не будет работать.

А чтобы обеспечить безопасность аналогичную NAT'у, нужно всего 3 правила iptables.

Ttt ☆☆☆☆☆
()

Кроме увеличения емкости ip адресов ?

Только этой причины достаточно для его внедрения.

segfault ★★★★★
()

При длинном ipv6 девки охотнее дают. В смысле, а погуглить не судьба?

redgremlin ★★★★★
()
Ответ на: комментарий от Ttt

Если NAT не настроить, то его не будет.

не будет нат, не будет инета :). Отсутствие инета легче запомнить чем отсутствие защиты на фаере. Вот и вся мысля.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

В одном из случаев. В другом случае он будет, но, возможно, дезорганизует работу сети.

Ttt ☆☆☆☆☆
()

В ипв6 можно вписать матерную фразу.

Xenesz ★★★★
()

емкости ip адресов ?

емкости
ip
aдресов

epic facepalm

Jetty ★★★★★
()

В нем пока (непроверенная информация не менее, чем полугодичной давности) не работают мусорские сормы, эшелоны и всякие копирастские приблуды, написанные под венду на сишарпе, которыми они собирают айпишники файлообменщиков.

plm ★★★★★
()
Ответ на: комментарий от SI

Так плюшки и раздавать должны будут. Целые подсети вместо отдельных адресов.

Quasar ★★★★★
()

Автоконфигурация, маршрутизация (+ снижение нагрузки на сетевое оборудование, контрольные суммы то не пересчитываются), размер пакетов до 4Гб, теггирование трафика, обязательный IPSec, да много чего полезного.

X10Dead ★★★★★
()
Ответ на: комментарий от X10Dead

Автоконфигурация

Например?

маршрутизация (+ снижение нагрузки на сетевое оборудование, контрольные суммы то не пересчитываются)

Какие контрольные суммы, зачем они пересчитывалис в IPv4 и почему решили от этого отказаться?

размер пакетов до 4Гб

Практическое применение?

теггирование трафика

Типа MPLS?

обязательный IPSec

IPSec много чего в себя включает. Что конкретно?

Kroz ★★★★★
()
Ответ на: комментарий от Kroz

Какие контрольные суммы, зачем они пересчитывалис в IPv4 и почему решили от этого отказаться?

Контрольная сумма в IPv4 пересчитывается на сетевом уровне (IP), что избыточно при наличие пересчёта на транспортном уровне (TCP) и канальном (Ethernet).

Практическое применение?

О_О Админ локалхоста? Проблема фрагментаци пакетов тебя совсем не волнует? Огромный плюс, что размер MTU может плавать. Из практических применений конкретно крупных пакетов к примеру передача данных в кластере.

Типа MPLS?

Вроде того, IPv6 лишает необходимость юзать этот костыль.
В целом IPv6 снижает нагрузки на сетевое оборудование, повышает секурность, упрощает маршрутизацию.

X10Dead ★★★★★
()

1) кол-во адресов 2) не нужны пляски с натом 3) мелкие плюшки по типу link-local адресов .. 4) попичлочные бюджеты на внедрение ipv6 в расейских конторах..

epsilon1024
()
Ответ на: комментарий от X10Dead

размер пакетов до 4Гб

Я извиняюсь, если вопрос глупый, а нельзя таким пакетом поставить раком чужую сетку?

Xenesz ★★★★
()
Ответ на: комментарий от Xenesz

Чужую сетку можно поставить раком и маленьким пакетом. Это смотря как пользоваться.

post-factum ★★★★★
()
Ответ на: комментарий от true_admin

1) ССЗБ должны страдать. Это воспринимать как полезную плюшку.

2) Теперь каждый дома сможет поднять домашний сервер без платы провайдеру за статический IP и т. д. «Админ локалхоста допустит кучу ошибок и его серв взломают на следующий день»? См. пункт 1. Никто поднимать не заставляет, но такая возможность это очень хорошо. Если мобильные провайдеры не будут выпендриваться и резать входящий трафик, то это касается и всяких 3G модемов и т. д. По дефолту даже в офтопике все входящие порты закрыты (если не додуматься выбрать в настройках сети «Домашняя сеть», но тут опять же действует пункт 1, а комментарии в настройках должны запугать всех, кто сомневается).

3) Торренты качаются быстрее, потому что все кто качает, могут и раздавать на весь интернет, а не только в локалке провайдера. Не хочешь раздавать? В торрент-клиенте есть нужные настройки.

4) VoIP и подобный трафик идёт на прямую между двумя клиентами. В итоге повышается производительность, снижается нагрузка на сеть (иначе трафик сначала должен дойти до супер-ноды, а потом оттуда до получателя - сети придётся пропустить в два раза больше трафика), повышается секурность (меньше мест, где можно перехватить трафик).

5) Исходя из 2 пункта радуются и любители многопользовательских игр типа Quake, OpenArena, CS и т. д., потому что чтобы поиграть с друзьями не надо искать свободный сервер или же платить за внешний IP, пробрасывать порты на роутере и т. д.

В минусе только админы сетей предприятий - в фирмах обычно машины юзеров не должны уметь без разрешения админа поднимать серверы. Но это решается несколькими правилами iptables. Всё-таки админ может себе позволить добавить пару строчек в конфиг шлюза.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

всё, убедил :)

В минусе только админы сетей предприятий

ээ, не, никаких минусов, эти то уж точно должны понимать как что настраивать.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Главное, чтобы домашние провайдеры не мешали. С проводными проблем быть не должно - сейчас и так многие (не все, разумеется) предоставляют белый IPv4 адрес (динамический - за статический придётся платить) и не режат никакие коннекты (даже почтовик пробовал поднимать - работает). Они вполне возможно будут полностью следовать правилам IPv6 вплоть до предоставления подсети /64.

А вот мобильные могут и зажать подсеть. Или вообще зарезать входящие соединения. Например, у Megafon даже локалки нет для 3G-модемов. А между прочим им самим это выгоднее - качают торренты с других пользователей сети - меньше трафика во внешний интернет. А поддержка более широкого внешнего соединения для оператора дороже, чем поддержка внутренней сети (тем более, что внутренняя сеть в любом случае должна быть не хуже внешней, иначе пользователи просто не смогут воспользоваться всей скоростью).

KivApple ★★★★★
()
Ответ на: комментарий от Xenesz

Максимальный размер пакета без специального заголовка - 64Кб. Пакеты размером от 64Кб до 4Гб не так уж и сложно отбросить.

X10Dead ★★★★★
()
Ответ на: комментарий от post-factum

Наша пісня гарна-нова…
Для секурности.

Изначально NAT был предназначен не для секурности.

Аналог NAT с точки зрения секурности:

:FORWARD DROP [0:0]
-A FORWARD -i ${lan_iface} -j ACCEPT
-A FORWARD -i ${inet_iface} -m state --state ESTABLISHED,RELATED -j ACCEPT

А теперь прелести, по сравнению с NAT'ом: абсолютно никаких геморроев с пробросом портов: просто открываем нужную тачку на нужном порту (а то и все порты) в FORWARD. Никаких геморроев с гигантскими NAT'ированными сетями (вида 10/8).

Slavaz ★★★★★
()
Ответ на: комментарий от post-factum

Одно другого не исключает, а очень даже дополняет.

Вообще-то очень мешает, на самом деле. обычно роутер совмещает функции файрволла, и если NAT пытается выступать в качестве файрволла, то роутить нормально уже не получается. А защититься нормально настроенными правилами можно не хуже чем NAT: и сетку спрячем, и ходить все будут в инет не замечая разницы, и отдельные хосты можно выставить в инет.

Slavaz ★★★★★
()

а в гугл ты конечно же не ходил? а еще звездатый...

И да, Slavaz все правильно сказал. NAT - это вообще костыль, призванный расширить возможности использования адресеного пространства. В ipv6 он в принципе не нужен. Любой прикладной протокол сложнее HTTP(а иногда и не сложнее - FTP) с натом уже дружит только через костыли.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

ты не путай кривизну с защитой от дурака. Я люблю вещи безопасные из коробки.

true_admin ★★★★★
()
Ответ на: комментарий от Pinkbyte

В ipv6 он в принципе не нужен.

ну в некоторых специфичных случаях может и понадобиться. Например, если в некую приватную сеть пустили только один IP, а надо ходить туда с нескольких... тогда роутим трафик через машину с разрешённым IP, а на этой машине NATим всех, кому типа нельзя :)

Slavaz ★★★★★
()
Ответ на: комментарий от tazhate

Это потому что для меня проблемы офисного интернета очень далеки, но я честно пытаюсь себя представить на месте васи пупкина с дырявой вендой. Я понял что это проблема васи и того админа который раздаёт инет.

Т.е. преимущества белых адресов понятны, вопрос в оценке рисков.

true_admin ★★★★★
()
Ответ на: комментарий от Slavaz

защититься нормально настроенными правилами можно не хуже чем NAT: и сетку спрячем, и ходить все будут в инет не замечая разницы

Можно что-нибудь почитать про такое? Чтобы и прятать, и ходить прозрачно.

Xenesz ★★★★
()
Ответ на: комментарий от Xenesz

В общем случае рекомендовал бы http://www.linuxhowtos.org/Security/iptables.htm

Тезисно, на конкретных примерах: http://blog.eukhost.com/webhosting/increase-linux-server-security-with-iptables/

Slavaz ★★★★★
()
Последнее исправление: Slavaz (всего исправлений: 1)

(Голос со стороны телекома.) Куда на практике можно применить штуки типа тередо? Толстый трафик типа торрентов или хотя бы VoIP не пролезет же.

Xenesz ★★★★
()
Ответ на: комментарий от true_admin

Вася Пупкин и так подхватит вирус после первого же порно-сайта. А если у него стоит нормальный антивирус, то он способен выполнять и функции фаервола. Видел один раз на машине с виндой сообщение Avast типа «Внешняя атака с адреса $IP на порт $PORT была успешно заблокирована». То есть пока он не станет поднимать серверы, он в относительной безопасности. Разве если будут целенаправленно именно его ломать, подбирая атаки под конкретную систему, но он же неуловимый Джо.

KivApple ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.