IPv6 public address

Bizonyos netszolgáltatók a tavalyi év folyamán egyszer csak nem adtak több publikus ip-t. A T emlékeim szerint a levelében arra hivatkozott, hogy ez biztonságosabb - ami persze nem hazugság - de az okok nyilván a fogyóban lévő IPv4 címek mögött keresendők.

Aztán (vagy eközben?) a szolgáltatók elkezdték az IPv6-ot támogatni. Nem rossz, azonban ez egy mellékhatással jár, amiről viszont elfelejtettek szólni.

Most veszem észre, hogy a hálózatomban minden eszköznek (nos, a két ubuntus számítógépnek, amit leteszteltem) valahogy lett publikus IPv6 címe. Ennek akár örülhetnék is, csakhogy most van egy NAS-om, amin egy csomó szolgáltatás fut mindenféle védelem nélkül. VNC. Torrent webes felülete, Samba megosztások, mind csupa olyan dolgok, amik hálózaton belül jó ha egyszerűen elérhetők, viszont ki nem szívesen engedem.

Eddig olyan jó megoldásnak tűnt, hogy csak az általam kiválaszott szolgáltatásokat forwardolom a megfelelő gépekhez a router beállításaiban, de ez az ipv6-tal egyértelműen felejtős. Úgy látszik új megoldás után kell nézni :)

Hozzászólások

az almos nagy konyv erre azt mondja hogy allitsd be a tuzfalat rendesen a routerben: kivulrol ne legyen elerheto a nasod, es kesz

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Hát, az én routerem beállíthatósága eléggé foghíjas ilyen szempontból:

Itt van mit tud a jószág tűzfal címen:
http://i.imgur.com/RD1vZTd.png

Érdekesmód egy IPv6 Firewall Protection opció létezik ami be volt eleve kapcsolva. De hogy őszinte legyek fogalmam sincs mit csinál ez az opció, nem úgy néz ki mint ha lenne valami súgó hozzá.

Elvileg nem olyan bonyolult, minden bejövő NEW állapotú kapcsolatot blokkolsz, és csak azokat engeded, amit eddig ipv4-en forwardoltál. Gyakorlatilag én is félek az IPv6-tól :).
Én pár éve próbáltam olyat, hogy proxy-n (Squid, 3-as főverzió) keresztül értem el ipv4-es kliensekről az ipv6-os netet, hisz egy csomó minden már http(s) protokolon át használható. Ami meg mégsem, arra vagy külön proxy (SIP, SMTP, STB :) ) vagy tűzfalszabály.
Ja még azt is próbáltam, hogy IPv6-os címet adtam meg domain név helyett, de azzal is boldogult egy XP firefoxxal proxyn keresztül.

Akárhogy is olvasom a konklúzió, hogy minden indokolatlanul bonyolultabb lett.

Nem értem ezt, a "minden eszköznek saját ip" dolgot. Kár hogy nem én dönthetem el melyik eszköznek van rá szüksége egyáltalán.

Bár az tuti, hogy a jövőben a p2p kapcsolatokat használó szolgáltatások ipv6-on sokkal jobban fognak muzsikálni...

Na igen egyrészt a p2p miatt lenne jó, másrészt ha jól tudom, olyan fejlettebb multicast képességek vannak az ipv6-ban amivel pl egy live stream továbbítása jóval kisebb terhelést okoz a szervernek és inkább eloszlik a routerek között a terhelés, mert elég mind a szervernek mind a klienseknek egy multicast tartományhoz csatlakozni. De javítsátok ki, ha nagy hülyeséget írnék, de valami ilyesmit olvastam valahol még régen.

Furcsa lesz megszokni a kizárólag NAT-on felnőtt embereknek, hogy végre ismét publikus címei vannak a végberendezéseknek. Ennek hatására sok támadható rendszer lesz az interneten.

Szerencsére a conntrack modul a barátod.
A tűzfal forward táblájának tartalma igen egyszerű:

1. sor: felépült kapcsolatra engedsz mindent (conntrack)
2. sortól: amit ki akarsz nyitni a benti gépekre portokat, azokat engeded.
utolsó sor: külső interfészről minden forgalmat tiltasz

Túl fiatal vagyok :) Egyébként éltem abban a korban is, amikor nem nat mögül neteztem. A jó kis betárcsázós korszak. Bár akkor nem is futtattam mindenféle kiszolgálókat egyik gépemen sem. Nem is értettem hozzájuk. Belegondolva, ki tudja milyen szolgáltatásokat engedtem akkor ki a tudtom nélkül. Ignorance is bliss.

Bevallom, én is elkényelmesedtem.
Jó kis játék lett otthonra az IPv6 (Digi + OpenWRT). Újra kellett nekem is értékelnem a helyi hálózatot.

És még néhány szösszenet:

- otthonra nem tudod alapból egyetlen gépre kiadni IPv6-on a portnyitást, mert a szolgáltató a dinamikus IP miatt a prefixed változtatja. Megoldás lehet az újrakapcsolódáskor futtatott szkript vagy minden gép felé egy nem standard és alapból tuti szolgáltatásmentes port nyitása. Más megoldást még nem találtam.
- belső hálózatod eszközeire (nyomtató, belső fájlszerver) az fd00/8-ból adott LAN címmel hivatkozz, az legalább állandó és nincs időnként szolgáltató általi prefixváltása.
- vannak elterjedt szoftverek, amik még mindig IPv4 only-k.
- lesznek olyan eszközök, amik IPv4 only-k maradnak. Ilyenek: meglevő okosTV, meglevő Lantronix TCPIP-RS232 átalakítós cuccaid, ...

Inkább örülnél hogy a routered végre valós routeolási feladatot lát el, nem csak NAT-ol. :)

Viccet félretéve: itt fel van vázolva hogyan is kell egy ilyen hálózatot kezelni, semmiben sem különbözik a NAT nélküli IPv4-től.