Linux 3.7: IPv6 NAT

 ( dash | 2012. december 30., vasárnap - 10:10 )
  • Add protocol-independent NAT core: commit
  • Add IPv6 NAT support: commit

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem arról volt szó hogy IPv6-ba nem lesz (nem kell) NAT? Akkor most mégis ?

------------------------------------------
"Nincs ez el**szva, csak másra lesz jó!"

Nem is lenne rá szükség, csak néhány idióta képtelen mást megtanulni "mer' ez már egyszer bevált" (legalábbis ránézésre jó volt), képtelen annyira utánaolvasni a dolgoknak, hogy felfogja, hogy mit jelent az, hogy egy tartományt kapsz a szolgáltatótól, ezenfelül képes 2012-ben még mindig elhinni, hogy a NAT pótol egy jó csomagszűrőt (nem), miközben meggyőződése, hogy csomagszűrést nem lehet mindenben legalább olyan jóra beállítani, mintha NAT is ott lenne (de).

Vagy tegyük fel, hogy valaki még értene is az IPv6-hoz, az ügyfele nem képes egy tartománynak access jogot adni, hanem csak egy IPv6-os címnek, mert fogyatékosok, akkor ha több gépről szeretne odacsatlakozni, bármennyire is okos lenne alapból hozzá, kénytelen ezt a csúnya megoldás kategóriás NAT-ot használnia. :(

vagy mondjuk vegyük azt az esetet, hogy a "fogyatékosok" nem technikai-onanizációt akarnak, és nem azért hiszik magukat különbnek, mert be tudnak állítani egy IPv6 alapú hálózatot. Hanem több dolog miatt szeretnék, ha belül lenne IPv4 a régi eszközökhöz és gépekhez, és IPv6 az új rendszerben.

Csak azt nem NAT-nak hivjak, hanem IPv4-IPv6 gatewaynek. De FIXME.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Nekünk egy ügyfelünk privacy okokból jelentette ki azt, hogy a munkaállomásokon V6 addig nem lehet, amíg nincs hozzá NAT. Nem akarják, hogy az intézményen kívül is követni lehessen az egyes munkaállomások tevékenységét az IP cím alapján.

Ezzel műszakilag nem igazán lehet vitatkozni, a mögöttes okokat pedig nem ismerem..

Vagy nem szeretnék, ha kívülről feltérképezhető lenne a belső hálózat topológiája.

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

Az utolsó routerig minden publikus, ez tényleg az emberek azonosíthatóságról szól. Az indok politikai lesz, nagypolitikai, nem az én asztalom.

Igen, sok hozzánemértő szokott ezzel a marhasággal jönni. Aki ért hozzá, az meg be tud állítani egy normális csomagszűrést.

De IPv6-nal minden gepen be kell allitani, nem? Vagyis, az IPv6 egyik hatranya szerintem pont a decentralizaltsaga, mivel nincs egy kozos pont, ahol minden bejovo forgalmat szurni lehetne. De lehet, hogy tevedek, mert en csak alapszinten ertem az IPv6 logikajat...
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

A konfig fájlokat már a 70-es években feltalálták. Ha abban egy-két sort módosítani kell gépenként, arra az esetre scriptnyelvek se tegnap óta vannak.

Igen, csak a jómunkásember intézményi rendszergazdák nem arról híresek, hogy rajonganak az egészen új logikát követő technológiák elsajátításában, bevezetésében. Több évtizedig az volt a gyakorlat, hogy a hálózati mindenes gépen (routing, firewall, dns, etc) szabályozzák a belső hálózat és az Internet viszonyát, és nem munkaállomásonként.

--
http://neurogadget.com/

Ez a kisebbik problema, nagyobbik gond, hogy a konfig fajlok menedzsmentje sokkal nagyobb effort, mint egy kozponti gep managmentje.

Mert nem mindegy, hogy ha valamit valtoztatni kell a halozaton, akkor csak egy gepet kell modositani, vagy az osszeset. Mivel Linuxra meg mindig nincs olyan megoldas, mint windowsra a GPO, igy nem trivialis a megvaltozott konfig fajlok teritese a kliensgepekre. A kozponti konfiguracio menedzsment cuccok (cfengine, puppet) meg azert nem jok, mert halozatot konfiguralunk, ezek meg halozaton mukodnek... nem a legjobb parositas.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Sot, ezek a oprendszer folott mukodnek, igy nem szerencses veluk konfiguralni azt. :)

Az alapvető felállás nem fog változni. 'N' fele megy a csomag, ahol 'N' a kapcsolatok száma, mert valahogy átadják a tartomány(oka)t. Ezez a pontok azok, ahol a csomag, session, protokoll és egyéb szűrés megvalósul.

Nyilván ilyen hálózatokban felértékelődik a szerepe a hardveres tűzfalaknak, de egy jobb tűzfalban most is külön engeded a forgalmat meg külön natolsz.

"Nem akarják, hogy az intézményen kívül is követni lehessen az egyes munkaállomások tevékenységét az IP cím alapján."
Azt ugye tudod, hogy ennek a megvalósításához nem elég a NAT önmagában?
Elég sok layerbe bele kell nyúlni hozzá (adott esetben a legfelsőbbig). Ha pedig már ilyet csinálsz, alkalmazásszintű tűzfalat használsz, azaz a NAT teljesen felesleges...

Sikerült műszakilag vitatkoznom vele?
--
zsebHUP-ot használok!

Érvnek jó, de csak az IP címen alapuló követést akarják megakadályozni. Ez nem indok arra, hogy proxy (tűzfal) legyen -ami mindenki dolgát megnehezíti- addig, amíg van egyszerűbb megoldás (V4+NAT). Végszükségben persze megfelelne, de a V6 nem végszükség, még csak nem is szükség..

Hm, erről ki mit tud, hogy működik a gyakorlatban? http://en.wikipedia.org/wiki/IPv6#Privacy

Az IP cím vége random, és néha változik.

"Dynamic IPv6 prefixes: some ISP decide to not give fixed address to people"

Jaj ne, csak ezt az egyet ne, ez ultraszánalmas lenne. :(

Volt nekem olyan szélessávú internetkapcsolatom, ahol nem kaptam publikus IP címet, csak belsőt. :)

--
http://neurogadget.com/

Az ilyet büntetni kéne.

Pedig a legtobb embernek nincs szuksege publikus IP(v4) cimre...
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Vagy nem. Hidd el, abból is óriási felháborodás lenne (főleg a tekik körében), ha mindenki a világon hirtelen statikus IP-t kapna, amit nem tud "levakarni" magáról.
Tapasztalat...
--
zsebHUP-ot használok!

Meg lehetne oldani azt is, hogy x összegért kérhetsz újat a szolgáltatódtól (IPv6 esetén új tartományt, akár olyat, amit még senki nem használt), y összegért kérhetsz dinamikusat.

Jó, tudom hogy a default dinamikus IP, fizetős fix IP nagyobb fejős tehén a szolgáltatónak a vállalati környezetek miatt.

Amúgy kaptam már olyan IP-t a (nagy multi) szolgáltatómtól kb. egy éve, amelyet a Youtube (Google) se látott Magyarországi IP-nek. (pár videóra csak én kaptam not available in your country üzenetet az ismerőseim közül). Ez magától elmúlt azóta.