Eddig olyan jó megoldásnak tűnt, hogy csak az általam kiválaszott szolgáltatásokat forwardolom a megfelelő gépekhez a router beállításaiban, de ez az ipv6-tal egyértelműen felejtős. Úgy látszik új megoldás után kell nézni :)
- Névtelen blogja
- A hozzászóláshoz be kell jelentkezni
- 996 megtekintés
Hozzászólások
az almos nagy konyv erre azt mondja hogy allitsd be a tuzfalat rendesen a routerben: kivulrol ne legyen elerheto a nasod, es kesz
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Hát, az én routerem beállíthatósága eléggé foghíjas ilyen szempontból:
Itt van mit tud a jószág tűzfal címen:
http://i.imgur.com/RD1vZTd.png
Érdekesmód egy IPv6 Firewall Protection opció létezik ami be volt eleve kapcsolva. De hogy őszinte legyek fogalmam sincs mit csinál ez az opció, nem úgy néz ki mint ha lenne valami súgó hozzá.
- A hozzászóláshoz be kell jelentkezni
Elvileg nem olyan bonyolult, minden bejövő NEW állapotú kapcsolatot blokkolsz, és csak azokat engeded, amit eddig ipv4-en forwardoltál. Gyakorlatilag én is félek az IPv6-tól :).
Én pár éve próbáltam olyat, hogy proxy-n (Squid, 3-as főverzió) keresztül értem el ipv4-es kliensekről az ipv6-os netet, hisz egy csomó minden már http(s) protokolon át használható. Ami meg mégsem, arra vagy külön proxy (SIP, SMTP, STB :) ) vagy tűzfalszabály.
Ja még azt is próbáltam, hogy IPv6-os címet adtam meg domain név helyett, de azzal is boldogult egy XP firefoxxal proxyn keresztül.
- A hozzászóláshoz be kell jelentkezni
Akárhogy is olvasom a konklúzió, hogy minden indokolatlanul bonyolultabb lett.
Nem értem ezt, a "minden eszköznek saját ip" dolgot. Kár hogy nem én dönthetem el melyik eszköznek van rá szüksége egyáltalán.
Bár az tuti, hogy a jövőben a p2p kapcsolatokat használó szolgáltatások ipv6-on sokkal jobban fognak muzsikálni...
- A hozzászóláshoz be kell jelentkezni
Na igen egyrészt a p2p miatt lenne jó, másrészt ha jól tudom, olyan fejlettebb multicast képességek vannak az ipv6-ban amivel pl egy live stream továbbítása jóval kisebb terhelést okoz a szervernek és inkább eloszlik a routerek között a terhelés, mert elég mind a szervernek mind a klienseknek egy multicast tartományhoz csatlakozni. De javítsátok ki, ha nagy hülyeséget írnék, de valami ilyesmit olvastam valahol még régen.
- A hozzászóláshoz be kell jelentkezni
Furcsa lesz megszokni a kizárólag NAT-on felnőtt embereknek, hogy végre ismét publikus címei vannak a végberendezéseknek. Ennek hatására sok támadható rendszer lesz az interneten.
Szerencsére a conntrack modul a barátod.
A tűzfal forward táblájának tartalma igen egyszerű:
1. sor: felépült kapcsolatra engedsz mindent (conntrack)
2. sortól: amit ki akarsz nyitni a benti gépekre portokat, azokat engeded.
utolsó sor: külső interfészről minden forgalmat tiltasz
- A hozzászóláshoz be kell jelentkezni
Túl fiatal vagyok :) Egyébként éltem abban a korban is, amikor nem nat mögül neteztem. A jó kis betárcsázós korszak. Bár akkor nem is futtattam mindenféle kiszolgálókat egyik gépemen sem. Nem is értettem hozzájuk. Belegondolva, ki tudja milyen szolgáltatásokat engedtem akkor ki a tudtom nélkül. Ignorance is bliss.
- A hozzászóláshoz be kell jelentkezni
Bevallom, én is elkényelmesedtem.
Jó kis játék lett otthonra az IPv6 (Digi + OpenWRT). Újra kellett nekem is értékelnem a helyi hálózatot.
És még néhány szösszenet:
- otthonra nem tudod alapból egyetlen gépre kiadni IPv6-on a portnyitást, mert a szolgáltató a dinamikus IP miatt a prefixed változtatja. Megoldás lehet az újrakapcsolódáskor futtatott szkript vagy minden gép felé egy nem standard és alapból tuti szolgáltatásmentes port nyitása. Más megoldást még nem találtam.
- belső hálózatod eszközeire (nyomtató, belső fájlszerver) az fd00/8-ból adott LAN címmel hivatkozz, az legalább állandó és nincs időnként szolgáltató általi prefixváltása.
- vannak elterjedt szoftverek, amik még mindig IPv4 only-k.
- lesznek olyan eszközök, amik IPv4 only-k maradnak. Ilyenek: meglevő okosTV, meglevő Lantronix TCPIP-RS232 átalakítós cuccaid, ...
- A hozzászóláshoz be kell jelentkezni
Na igen. A helyzet egyébként, hogy egyelőre nagyon úgy tűnik, hogy semmi értelme, hogy van. Amire jó volna (elérni kintről a gépem/gépeim) arra nem tudom használni, ahogy mondtad nem fix. Másra meg teljesen jó volt egész eddig az ipv4.
- A hozzászóláshoz be kell jelentkezni
Ha ez ilyen egyszerű lenne....
- A hozzászóláshoz be kell jelentkezni
Inkább örülnél hogy a routered végre valós routeolási feladatot lát el, nem csak NAT-ol. :)
Viccet félretéve: itt fel van vázolva hogyan is kell egy ilyen hálózatot kezelni, semmiben sem különbözik a NAT nélküli IPv4-től.
- A hozzászóláshoz be kell jelentkezni