IPv6 на подходе

[Yapi]

Цитата:

Сообщение от YellowMan

13 - 192.168.х.х и 5 - маршрутизируемые.

Мне просто интересно зачем тебе 5 паблик адресов дома?

[YellowMan]

Цитата:

и следующие из-за этого головные боли с NAT и подобными закидонами.

Типа если вся твоя сеть завтра станет маршрутизируемой ты от НАТ и файрвола откажешься и все будешь делать индивидуально на клиентах ?

YellowMan добавил 06.02.2008 в 12:34

Цитата:

Сообщение от Yapi

Мне просто интересно зачем тебе 5 паблик адресов дома?

3 из них - телефонные. Может они тоже не паблик, я не знаю.
1 - провайдера.
1 - мобильный провайдер.

У меня даже в машине 2 паблик ИП

[Yapi]

Цитата:

Сообщение от YellowMan

3 из них - телефонные. Может они тоже не паблик, я не знаю.
1 - провайдера.
1 - мобильный провайдер.

У меня даже в машине 2 паблик ИП

Как интересно, то есть там на каждую трубку по паблик IP? Фигасе...

[dnk]

Цитата:

Сообщение от abg

вредно само разделение интернета на "внутренний" и "внешний". и следующие из-за этого головные боли с NAT и подобными закидонами. вместо того, чтобы жестко контролировать доступ, люди изобрели полную фигню, из-за которой сейчас сами и страдают.

Весьма спорно. На мой взгляд весьма полезно. Более того в организации сеть побита на подсети и между ними фаэрволы роутеры и прочая "ненужная фигня" , удобнее так и полезней для здоровья.

dnk добавил 06.02.2008 в 12:41

Цитата:

Сообщение от Yapi

Как интересно, то есть там на каждую трубку по паблик IP? Фигасе...

Согласен, странно как-то. У нас несколько телефонных номеров через IP сделано, что-то типа пула. И все это на одном единственном паблик IP. Да и выделенный IP им сделали просто из-за того, что мне так удобнее шэйпить и фаерволить это хозяйство , могли и на общий наш внешний IP повесить.

[YellowMan]

Телефонные - в смысле мобильно-телефонные. Оно хоть и бывает что там сильно через попу все сделано но тем не менее - это настоящий паблик ИП

[abg]

Цитата:

Сообщение от Yapi

Спорное утверждение. Как минимум. Все хорошо в меру и для своих целей.

нет, не спорное. само изобретение Non-routable private адресов свидетельствует о недостатках существующей системы выдачи этих самых адресов. в частности - недостаточно прозрачная и простая система безопасности соединений, а также слишком жесткий контроль при выдаче адресов и трудности с их раздачей. ipv6 решает множество из этих проблем.

[YellowMan]

И добавляет новые.

ИМХО ИП6 с легкостью решает проблемы которые не существовали до ее появления

[abg]

Цитата:

Сообщение от dnk

Весьма спорно. На мой взгляд весьма полезно. Более того в организации сеть побита на подсети и между ними фаэрволы роутеры и прочая "ненужная фигня" , удобнее так и полезней для здоровья.

нет, не полезней. пусть они будут non-routable - это уже проблемы настройки. но когда полинтернета представляет из себя адреса 192.168 - это бред!

Цитата:

Согласен, странно как-то. У нас несколько телефонных номеров через IP сделано, что-то типа пула. И все это на одном единственном паблик IP. Да и выделенный IP им сделали просто из-за того, что мне так удобнее шэйпить и фаерволить это хозяйство , могли и на общий наш внешний IP повесить.

да, все пользователи с мобилок ходят через 1 настоящий IP провайдера.

Цитата:

Сообщение от YellowMan

И добавляет новые.

ИМХО ИП6 с легкостью решает проблемы которые не существовали до ее появления

очередной тролль от yellowman'а

[YellowMan]

Цитата:

да, все пользователи с мобилок ходят через 1 настоящий IP провайдера.

Нет, у нас около 40 тысяч мобильных устройств и у каждого - паблик ИП.

[dnk]

Цитата:

Сообщение от abg

нет, не спорное. само изобретение Non-routable private адресов свидетельствует о недостатках существующей системы выдачи этих самых адресов. в частности - недостаточно прозрачная и простая система безопасности соединений, а также слишком жесткий контроль при выдаче адресов и трудности с их раздачей. ipv6 решает множество из этих проблем.

Нет. Мне не надо, чтобы мой DB сервер имел доступ в интернет _совсем_, а равно и ряд других машин. Мне _надо_ чтобы часть машин имела доступ _только_ в одну сторону и никаким образом не было возможности в обратную.
Я понимаю, что это можно решить через установки фаэрвола. НО , при нынешнем состоянии дел меня совсем не волнуют какие-то баги в работе фаэрвола в отношении нон-роутабле сетей. Точнее нынешнее состояние делает жизнь интрудеров невероятно сложной, в плане этих сетей даже в случае каких-то багов на фаэрволе. И я не хочу ежедневно судорожно проверять не вынырнул-ли какой эксплойт.

[Ludwig]

http://en.wikipedia.org/wiki/IPv6#Criticism

И плюс где-то было про потенциальные атаки на рутеры, не могу найти.

[abg]

Цитата:

Сообщение от Ludwig

http://en.wikipedia.org/wiki/IPv6#Criticism

И плюс где-то было про потенциальные атаки на рутеры, не могу найти.

весь этот критицизм - чушь сплошная.
а) "сильно много адресов!" мама! мы все умрем! заберите у нас эти адреса, нам не надо!
б) "увеличит стоимость рутеров" - тоже чушь. рутерам не нужно знать про все сети в мире, им нужно лишь знать соседей
в) "не выучить ип адреса" - как будьто большинство пользователей помнит их собственный Ip адрес.
г) "позволить узнавать физическое месторасположение" - да все сети и так сейчас узнаваемо трейсируются до источника, даже не только до страны, но и до города!

все проблемы с доступом решаются посредством конфигурации файрвола. тот факт, что адреса 192.168 - не спасет от взлома, если неумеючи конфигурировать рутеры. а если рутер конфигурирован правильно - то все будет.

делать "темную часть интернета 192.168" - это тоже самое, что строить рельсы другой ширины в стране, боясь вторжения бронепоездов. если граница надежно охраняется - проблем нет, а удобств - гораздо больше.

[dnk]

Цитата:

Сообщение от abg

все проблемы с доступом решаются посредством конфигурации файрвола. тот факт, что адреса 192.168 - не спасет от взлома, если неумеючи конфигурировать рутеры. а если рутер конфигурирован правильно - то все будет.

делать "темную часть интернета 192.168" - это тоже самое, что строить рельсы другой ширины в стране, боясь вторжения бронепоездов. если граница надежно охраняется - проблем нет, а удобств - гораздо больше.

У всех свое мнение. Мое таково, что продакшен сервера останутся на IP4 еще очень и очень долго, за исключением фанатов ип6. Ну не вижу я чем мне удобнее что мой DB сервер будет иметь внешний адрес, кроме лишнего головняка.

[abg]

Цитата:

Сообщение от dnk

У всех свое мнение. Мое таково, что продакшен сервера останутся на IP4 еще очень и очень долго, за исключением фанатов ип6. Ну не вижу я чем мне удобнее что мой DB сервер будет иметь внешний адрес, кроме лишнего головняка.

да пожалуйста

просто ipv6 сети будут расти вокруг, а ходить туда придется через ipv4to6 gate. типа как с windows 3.11 в свое время в интернет приходилось ходить через костыль по имени trumpet winsock.

[Ludwig]

а) "сильно много адресов!" мама! мы все умрем! заберите у нас эти адреса, нам не надо!

А может вопрос решился бы добавлением одного байтика к IPv4, и не надо было бы менять софт на многих узлах выского уровня, и на всем существующем клиентском софте, кроме того, который получает новые 5-байтные IP. Minimal bloodshed. Просто как пример - ведь тоже идея, верно?

б) "увеличит стоимость рутеров" - тоже чушь. рутерам не нужно знать про все сети в мире, им нужно лишь знать соседей

Для тупых устройств с простенькими процессорами, пропускать и анализировать 128 бит вместо 32 может означать падение производительности вплоть до 4-х раз. Будешь раскошеливаться насктолько же примерно.

в) "не выучить ип адреса" - как будьто большинство пользователей помнит их собственный Ip адрес.

Скорее речь о сисадминах. Теперь они будут молиться на копи-пейст.

А теперь такая ситуация: у тебя есть гигантский лог, имеется атака, и тебе надо быстренько смекнуть что происходит. С IPv6 ты не сможешь сориентироваться так же быстро, как с IPv4. Вообще не сможешь сориентироваться, пока не зарезолвишь весь свой лог - это кошмар.

г) "позволить узнавать физическое месторасположение" - да все сети и так сейчас узнаваемо трейсируются до источника, даже не только до страны, но и до города!

При желании с IPv4 можно увильнуть, а новые стандарты обязывают провайдеров раздавать строго по geo.location. Например адреса в моей предыдущей шенноновской компании резолвились в Финляндию.

все проблемы с доступом решаются посредством конфигурации файрвола. тот факт, что адреса 192.168 - не спасет от взлома, если неумеючи конфигурировать рутеры. а если рутер конфигурирован правильно - то все будет.

Это отражает какую-то часть атак, которые предполагают соединение в сторону клиента. А таких атак большинство, может даже подавляющее большинство, кроме наверное мейл-вирусов.