IPv6 polopaticky

No a co ty? Už máš Ipv6, nebo jedeš stále na čtyřce?

Internet na protokolu IPv6 bude pořád jen spousta oddělených sítí, které si budou vyměňovat informace. Na tomto principu se nic nemění.NAT v IPv6 nebyl plánován (a nejsem si jistý, jestli nebyl doplněn dodatečně), nicméně v Linuxu existuje implementace jako modul do netfilteru, který umí provádět překlad adres.Pokud tě trápí otázka soukromí, existují „privacy extensions“ kdy počítač v určitých intervalech generuje nové a nové IP adresy a ty staré (již nepoužité žádným spojením) pak „odmazává.“ Tímto se dá docela efektivně znemožnit identifikace konkrétního stroje.K otázce hospodaření s IP adresami se nevyjádřím, tohle ukáže až čas, ale i v případě, kdy by se ukázalo nějaké plýtvání, bude vzhledem k velikosti adresního prostoru jednoduché sooučasné schéma zavrhnout a vymyslet něco lepšího.Jen bych podotknul, že minimální blok IP adres 2^64 je nutností z důvodu autokonfigurace koncových stanic.A na závěr, ISP by měli na požádání přidělovat i větší bloky IP adres (například 2^48 = 2^16 sítí o velikosti 2^64 adres, nebo alespoň 2^56 = 2^8 sítí o velikosti 2^64 adres) právě proto, aby jsi nemusel mít jednu velikou síť s jedinou adresací. Samozřejmě ti nic nebrání si ten rozsah 2^64 rozdělit na menší podsítě (například na 256 sítí o velikosti 2^72,) ale jak jsem zmínil výše, rozbije se ti autokonfigurace a budeš muset tedy IP adresy nastavovat natvrdo, nebo použít DHCPv6.

Díky. Ještě když se tu nakouslo to DHCPv6 tak to znamená že adresy v domácí podsíti se budou přidělovat odněkud zvenku? Takže chápu to dobře že když vypadne připojení k internetu a já nebudu doma mít vlastní DHCPv6 server tak mi nebude fungovat ani místní síť?

Ne.A kromě toho, DHCPv6 nejspíš ani nebude ve finále doporučen.

Ne jakože to není pravda nebo ne jakože nebude fungovat?

Ne, IPv6 pracuje zhruba na stejných principech jako IPv4. Dřív NAT u IPv4 také nebyl, byl doplněn až někdy koncem 90 let. Neznamená to, že by bez NATu byly všechny sítě pomíchané. Nemálo lidí má veřejné IP i na koncových zařízeních.Nastuduj si něco, máš mezery.Pro IPv6 NAT není a asi ani nebude. Proč taky, vždyť je to zbytečné. Ale privátní adresy v IPv6 normálně jsou!Dále, NAT není žádná brána.A zase nemáš pravdu, NAT je firewall, respektive tvoří se firewallovými pravidly. Jsou kolem toho zmatky, jelikož lidé neznají definici firewallu. Firewall, to není jenom zabezpečení.Ještě se neví, kolik bude adres v přidělovaných blocích. Mluví se buď o /48 nebo /64 nebo jenom /96. Ale i kdyby se přidělovaly velké /48 bloky, tak stejně IPv6 nedojdou.

Dovolím si oponovat v názoru, že NAT je firewall.NAT není firewall, je to prostě jen obyčejný přepisovač IP adres. Nic víc, nic míň. V žádném případě nezaručuje bezpečnost.

Kromě přepisováni IP-adres NAT zahazuje příchozí pakety, pro které nemá nadefinovanou nějakou podmínku a to není nic jiného, než jednoduchý firewall.Jenže aby se dalo mluvit o zabezpečení, je potřeba ochránit i firmware běžící na routeru (často děravé jak cedník) a tak na dnešních routerech běží ještě samostatný modul, který funguje jako samostatný firewall.

NAT nic nezahazuje. Ten pouze poslušně přepíše adresu a packet pustí dál. O zahození se postará firewall.Udělej si pokus. Vezmi nějaký prvek, co umí provádět čistý NAT (například nějaký malý Cisco routřík, nebo cokoliv jiného a trochu inteligentnějšího, než domácí krabičky, které implementují NAT a základní firewall bez možnosti další konfigurace), na jednom rozhraní si nastav NAT, ke druhému rozhraní připoj počítač, a nastav si na tom počítači routu ve smyslu„NAT.IP.ADR.ESA via verejna_ip_adresa_routeru“ a pak z toho „internetového“ počítače udělej ping do vnitřní/NATované sítě.Co se stane? Z „veřejného“ rozhraní si pingneš do vnitřní sítě.Ale souhlasím s Omalem. Někteří lidé neznají definici firewallu, a dokonce ani NATu.

Základní předpoklad komunikace přes NAT je ten, že je navázaná nějaká relace. NAT si zaznamená, kdo s kým a na jakém portu komunikuje. Když přijde zvenku odpověď, ví na jakou IP ve vnitřní síti má překládat. Když ale na veřejnou IP přijde přijde packet a NAT nemá o této relaci v tabulce žádný záznam, neví, kam to má poslat (v síti má třeba 10 počítačů, ale kterému to mělo patřit???), takže to zahodí (když router neví, kam poslat packet, tak ho zahodí a odesílateli pošle chybovou zprávu).Ten tvůj pokus jsem nějak nepochopil.

Jj, dobrý, mám dlouhý vedení. Přehlédl jsem, že ta routa se má nastavit na počítači.

Jenomže ty vycházíš ze špatného předpokladu, že firewall dělá jen zabezpečení. NAT je v linuxu dělán přes netfilter (netfilter = linuxový firewall) a definuje se pomocí iptables (= obslužný nástroj pro konfiguraci netfilteru).A kromě toho, není to jen obyčejný přepisovač adres, to je možná tak SNAT. NAT nebo lépe řečeno NAPT překládá i čísla portů.

No, a jaká je podle tebe definice firewallu?

Netfilter rozhodně není linuxový firewall.Citace z wikipedie: „Netfilter is a framework inside the Linux kernel which offers flexibility for various networking-related operations to be implemented in form of customized handlers.“Takže netfilter je pouze brána do jádra linuxu (přesněji do jeho síťového stacku) a firewall i nat jsou moduly, které nějakým způsobem s tímto stackem pracují.Pokud je nat součástí firewallu, proč tedy potřebuje vlastní modul? Nestačí mít jeden modul pro všechno?

Přečti si to celé.Type Linux kernel modulePacket filter/FirewallNetfilter sdružuje všechno, co se týká firewallu. IPchain je jen jedna část, pouze packetový filter. Netfilter = linuxový firewall."Nestačí mít jeden modul pro všechno?"Nevím, zeptej se nějakého kernel developera, určitě ti dá fundovanější odpověď. Podle mě je to kvůli vývoji a implementaci. Není důvod, aby všechno tvořil jeden modul.

Souhlasím s tím, že je lepší mít zvlášť modul pro firewall a zvlášť pro NAT. A taky narážím na to, že NAT není firewall, a jsou to dvě na sobě nezávislé věci, které mohou fungovat samostatně. Podívej se třeba na systémy z rodiny BSD. Tam existuje zvlášť „daemon“ pro firewall a zvlášť daemon pro NAT.Nebo se podívej na komerční firewallová řešení, třeba od Checkpointu nebo Stonesoftu, potažmo Juniperu. Tam je firewall a NAT oddělen zvlášť.

Firewall není jenom zabezpečení. To, že jsou se používají separátní deamony ještě nic nedokazuje. Třeba takový grafické prostředí na linuxu využívá kromě Xserveru i další deamony a taky všechny patří ke grafice.(mimochodem OpenBSD má unikátní firewall)NAT je aplikační brána a aplikační brána je jeden ze základních typů firewallů.Ach jo, čím dál větší slovíčkaření.

naučit se IPv6 znamená naučit se aspon 1-2 IPv6 adresy zvladnes to ?IPv6 specialista v t-mobile jich umí několik

zase nemáš co dělat?

Tady to mas polopate:http://www.root.cz/clanky/ipv4-jako-sluzba-a... Zavisi ovsem na tom akou lopatou to budes naberat.

Jenom taková malá poznámka - v IPv6 není uspokojivě vyřešeno zabezpečení. IPv6 umožňuje zřetězení hlaviček packetů. Takže já si dám ACL, kde budu mít restrikci na zdrojovou adresu, ale packety se zřetězenou hlavičkou budou přes router/switch vesele procházet dál.

To (bohuzel) neni zadna novinka, stare veci se opakuji. Viz Loose Source Routing v IPv4 (dnes v beznem provozu prakticky vymrel)

Jedna konspiracna: urcitym "bezpecnostnym" (spicly) sluzbam velmi vadi, ze za IP-adresu s IPv4 sa skryva mnozstvo uzivatelov. IPv6 umozni presne "adresovat" kazdy pocitac na planete (nedostatok IPv4, je len zamienka), tak ako kazdy mobil ma svoje cislo (ident).Pokym sa nebude novorodencom implantovat do tela identifikacny chip po narodeni (asi coskoro), tak to umozni lepsie "spicly" ako doteraz.

A proto se zavedla povinnost logování provozu pro ISP. Nehledej konspiraci tam, kde není. Adresy prostě došly, proto se přejde na IPv6.

Povinost logovat má sice ISP, ale já doma ne, takže až přijde policie s tím že se tady sdílí torenty, tak všichni doma co jsme za domácím NATem řekneme "osoba blízká" a policie se může jít klouzat. S IPv6 kdy každý počítač bude jednoznačně identifikovatelný a ještě navíc z internetu přímo dostupný to člověk neukecá. V tom vidím obrovské plus NATu.

IP adresu dostává zařízení, nikoli počítač. Jak by chtěla policie dokázat, že jsi byl na tom počítači právě ty? Ano, možná je to tvůj počítač, ale existují přece důvodné pochybnosti, zda na něm nestahoval někdo jiný.A jelikož v civilizovaných zemích, jako je ta naše, platí, "při pochybnostech ve prospěch obviněného", tak se policie může jít klouzat.Pokud tě tolik trápí soukromí, zřiď si doma proxy server a schovej za něj všechny počítače.

Krom toho se ti nekdo mohl neopravnene pripojit pres Wifi a tezko muzes vedet kdo...