- dash blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Nem arról volt szó hogy IPv6-ba nem lesz (nem kell) NAT? Akkor most mégis ?
------------------------------------------
"Nincs ez el**szva, csak másra lesz jó!"
- A hozzászóláshoz be kell jelentkezni
IPv6 NAT implementáción dolgoznak a Netfilter fejlesztők
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem is lenne rá szükség, csak néhány idióta képtelen mást megtanulni "mer' ez már egyszer bevált" (legalábbis ránézésre jó volt), képtelen annyira utánaolvasni a dolgoknak, hogy felfogja, hogy mit jelent az, hogy egy tartományt kapsz a szolgáltatótól, ezenfelül képes 2012-ben még mindig elhinni, hogy a NAT pótol egy jó csomagszűrőt (nem), miközben meggyőződése, hogy csomagszűrést nem lehet mindenben legalább olyan jóra beállítani, mintha NAT is ott lenne (de).
Vagy tegyük fel, hogy valaki még értene is az IPv6-hoz, az ügyfele nem képes egy tartománynak access jogot adni, hanem csak egy IPv6-os címnek, mert fogyatékosok, akkor ha több gépről szeretne odacsatlakozni, bármennyire is okos lenne alapból hozzá, kénytelen ezt a csúnya megoldás kategóriás NAT-ot használnia. :(
- A hozzászóláshoz be kell jelentkezni
vagy mondjuk vegyük azt az esetet, hogy a "fogyatékosok" nem technikai-onanizációt akarnak, és nem azért hiszik magukat különbnek, mert be tudnak állítani egy IPv6 alapú hálózatot. Hanem több dolog miatt szeretnék, ha belül lenne IPv4 a régi eszközökhöz és gépekhez, és IPv6 az új rendszerben.
- A hozzászóláshoz be kell jelentkezni
Csak azt nem NAT-nak hivjak, hanem IPv4-IPv6 gatewaynek. De FIXME.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Nekünk egy ügyfelünk privacy okokból jelentette ki azt, hogy a munkaállomásokon V6 addig nem lehet, amíg nincs hozzá NAT. Nem akarják, hogy az intézményen kívül is követni lehessen az egyes munkaállomások tevékenységét az IP cím alapján.
Ezzel műszakilag nem igazán lehet vitatkozni, a mögöttes okokat pedig nem ismerem..
- A hozzászóláshoz be kell jelentkezni
Vagy nem szeretnék, ha kívülről feltérképezhető lenne a belső hálózat topológiája.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)
- A hozzászóláshoz be kell jelentkezni
Az utolsó routerig minden publikus, ez tényleg az emberek azonosíthatóságról szól. Az indok politikai lesz, nagypolitikai, nem az én asztalom.
- A hozzászóláshoz be kell jelentkezni
Igen, sok hozzánemértő szokott ezzel a marhasággal jönni. Aki ért hozzá, az meg be tud állítani egy normális csomagszűrést.
- A hozzászóláshoz be kell jelentkezni
De IPv6-nal minden gepen be kell allitani, nem? Vagyis, az IPv6 egyik hatranya szerintem pont a decentralizaltsaga, mivel nincs egy kozos pont, ahol minden bejovo forgalmat szurni lehetne. De lehet, hogy tevedek, mert en csak alapszinten ertem az IPv6 logikajat...
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
A konfig fájlokat már a 70-es években feltalálták. Ha abban egy-két sort módosítani kell gépenként, arra az esetre scriptnyelvek se tegnap óta vannak.
- A hozzászóláshoz be kell jelentkezni
Igen, csak a jómunkásember intézményi rendszergazdák nem arról híresek, hogy rajonganak az egészen új logikát követő technológiák elsajátításában, bevezetésében. Több évtizedig az volt a gyakorlat, hogy a hálózati mindenes gépen (routing, firewall, dns, etc) szabályozzák a belső hálózat és az Internet viszonyát, és nem munkaállomásonként.
- A hozzászóláshoz be kell jelentkezni
Ez a kisebbik problema, nagyobbik gond, hogy a konfig fajlok menedzsmentje sokkal nagyobb effort, mint egy kozponti gep managmentje.
Mert nem mindegy, hogy ha valamit valtoztatni kell a halozaton, akkor csak egy gepet kell modositani, vagy az osszeset. Mivel Linuxra meg mindig nincs olyan megoldas, mint windowsra a GPO, igy nem trivialis a megvaltozott konfig fajlok teritese a kliensgepekre. A kozponti konfiguracio menedzsment cuccok (cfengine, puppet) meg azert nem jok, mert halozatot konfiguralunk, ezek meg halozaton mukodnek... nem a legjobb parositas.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Sot, ezek a oprendszer folott mukodnek, igy nem szerencses veluk konfiguralni azt. :)
- A hozzászóláshoz be kell jelentkezni
Az alapvető felállás nem fog változni. 'N' fele megy a csomag, ahol 'N' a kapcsolatok száma, mert valahogy átadják a tartomány(oka)t. Ezez a pontok azok, ahol a csomag, session, protokoll és egyéb szűrés megvalósul.
Nyilván ilyen hálózatokban felértékelődik a szerepe a hardveres tűzfalaknak, de egy jobb tűzfalban most is külön engeded a forgalmat meg külön natolsz.
- A hozzászóláshoz be kell jelentkezni
"Nem akarják, hogy az intézményen kívül is követni lehessen az egyes munkaállomások tevékenységét az IP cím alapján."
Azt ugye tudod, hogy ennek a megvalósításához nem elég a NAT önmagában?
Elég sok layerbe bele kell nyúlni hozzá (adott esetben a legfelsőbbig). Ha pedig már ilyet csinálsz, alkalmazásszintű tűzfalat használsz, azaz a NAT teljesen felesleges...
Sikerült műszakilag vitatkoznom vele?
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Érvnek jó, de csak az IP címen alapuló követést akarják megakadályozni. Ez nem indok arra, hogy proxy (tűzfal) legyen -ami mindenki dolgát megnehezíti- addig, amíg van egyszerűbb megoldás (V4+NAT). Végszükségben persze megfelelne, de a V6 nem végszükség, még csak nem is szükség..
- A hozzászóláshoz be kell jelentkezni
Hm, erről ki mit tud, hogy működik a gyakorlatban? http://en.wikipedia.org/wiki/IPv6#Privacy
- A hozzászóláshoz be kell jelentkezni
Az IP cím vége random, és néha változik.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
"Dynamic IPv6 prefixes: some ISP decide to not give fixed address to people"
Jaj ne, csak ezt az egyet ne, ez ultraszánalmas lenne. :(
- A hozzászóláshoz be kell jelentkezni
Volt nekem olyan szélessávú internetkapcsolatom, ahol nem kaptam publikus IP címet, csak belsőt. :)
- A hozzászóláshoz be kell jelentkezni
Az ilyet büntetni kéne.
- A hozzászóláshoz be kell jelentkezni
Pedig a legtobb embernek nincs szuksege publikus IP(v4) cimre...
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Vagy nem. Hidd el, abból is óriási felháborodás lenne (főleg a tekik körében), ha mindenki a világon hirtelen statikus IP-t kapna, amit nem tud "levakarni" magáról.
Tapasztalat...
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Meg lehetne oldani azt is, hogy x összegért kérhetsz újat a szolgáltatódtól (IPv6 esetén új tartományt, akár olyat, amit még senki nem használt), y összegért kérhetsz dinamikusat.
Jó, tudom hogy a default dinamikus IP, fizetős fix IP nagyobb fejős tehén a szolgáltatónak a vállalati környezetek miatt.
Amúgy kaptam már olyan IP-t a (nagy multi) szolgáltatómtól kb. egy éve, amelyet a Youtube (Google) se látott Magyarországi IP-nek. (pár videóra csak én kaptam not available in your country üzenetet az ismerőseim közül). Ez magától elmúlt azóta.
- A hozzászóláshoz be kell jelentkezni