On Sun, 12 May 2019 15:42:58 +0200, heby wrote:
> On 12/05/2019 15:27, Mateusz Viste wrote:
>> Wskaż, które protokoły działają przy IPv4+NAT, a przestaną przy
>> IPv6+Firewall.
>
> Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT =>
> DROP.
Ale ja się pytam które. Tak konkretnie. Bo póki co podałeś tylko FTP, a
to mocno chybiony przykład - by nie powiedzieć mętna dezinformacja.
> Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję
> to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp
> od czasów wcześniejszych niż pamiętam.
Brzydkie hacki które masz na myśli istnieją zarówno we wszelkich
implementacjach NAT, jak i w implementacjach firewalli. Co więcej,
wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie
proste. Wsparcie tego samego w NAT natomiast wymaga nie lada magii:
przepisanie części streamu TCP aby podmienić adres i port przedstawiany
przez klienta, przeliczenie na nowo checksumów TCP, przesunięcie numerów
sekwencyjnych, wykonanie tymczasowego przekierowania danego portu po
stronie WAN, no i śledzenie tego całego bałaganu aż do końca połączenia
kontrolnego.
W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.
Przy czym cały czas mówimy o czymś, co powstało 40 lat temu i w praktyce
dziś już nie występuje - wszelkie sensowne implementacje FTP od bardzo
dawna wspierają (i preferują) PASV.
> Spróbuj wyładować moduły jądra w routerze
> odpowiedzialne za to wsparcie, spora część usług w necie umrze.
Ponawiam pytanie - czym jest ta "spora część usług"? Wcześniej pisałeś,
że połowa. Które to protokoły? A w szczególności - na co Marcin, jako
użytkownik końcowy, powinien zwrócić uwagę zastępując u siebie NAT
firewallem?
No i do tej pory nie rozumiem, za czym postulujesz. Czy za tym, aby
zlikwidować wszystkie firewalle świata, bo NAT jest fajny i bezpieczny?
> Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało
> sensowne.
Trend w kierunku IPv6 utrzymuje się od kilku dobrych lat. Nic nie
wskazuje na to, by zainteresowanie tym tematem malało - wręcz przeciwnie.
Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z
1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM
> Cały internet działa po 4 i raczej nie zmieni się to w
> najbliższym czasie
Legacy IPv4 zostanie z pewnością na długo. Nie zmienia to faktu, że
internet IPv6 cały czas rośnie, a pojawienie się powszechnych usług IPv6-
only jest tylko kwestią czasu.
> a te śladowe ilosci ipv6 na które stać tylko duże firmy nic nie dały -
> dalej cały ruch odbywa się po ipv4 ze śladową ilością ipv6 i oni mają
> to bardziej dla picu nic z sensownych powodów.
To ciekawa teoria, jakoby duże, poważne firmy inwestowały od lat w coś
tylko dla jaj. A twierdzenie, że na IPv6 stać tylko duże firmy to kolejna
rażąca próba dezinformacji. Nie umiem odgadnąć co tobą kieruje - masz
jakieś stare pule IPv4 do sprzedania?
> Aby "przechodzenie" na ipv6 miało sens od strony suwerena najpierw nie
> tylko wielcy ale i malutcy muszą uruchomić swoje usługi. Nikt tego nie
> zrobi dzisiaj bo nie ma zysku ani zalet, szczególnie dla piedołowatch
> firm hostujących strony lokalnej kwiaciarni. CO z tego że facebook
> działa jak kwiatków nie kupisz?
Tacy "malutcy" samowolnie tego nie zrobią, bo im się faktycznie nie chce
i/lub nie mają czasu i/lub wydaje im się, że są mądrzejsi od reszty. Na
szczęście to nie oni wyznaczają kierunek rozwoju i w pewnym momencie będą
zmuszeni przejść na IPv6 aby przeżyć. Może nie dziś, i pewnie jeszcze nie
jutro - ale prędzej czy później to nastąpi.
Mateusz
|