The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Для ядра Linux представлена первая тестовая реализация IPv6 NAT

26.11.2011 19:36

Патрик МакХарди (Patrick McHardy) представил в списке рассылки linux-netdev первою тестовую реализацию IPv6 NAT для Netfilter, подсистемы для фильтрации и преобразования пакетов в ядре Linux. На данном этапе разработки код еще не готов к повседневному применению и содержит проблемы с асинхронной передачей пакетов и их окончательной сборкой. Тем не менее, в скором времени IPv6 NAT планируется довести до полностью работоспособного состояния и направить запрос на включение в следующий релиз ядра Linux.

IPv6 NAT позволяет осуществить подмену адресной информации в пакетах IPv6 в соответствии с заданными правилами трансляции, примерно так как это делается в классическом трансляторе адресов для IPv4. Для реализации поддержки IPv6 NAT, существующий в ядре код netfilter был переработан с целью разделения модуля NAT на два независимых компонента, один из которых включает в себя ядро подсистемы NAT, а второй реализует поддержку того или иного протокола третьего уровня. В данный момент поддержка IPv6 реализована для целей iptables SNAT и DNAT, а также MASQUERADE, REDIRECT и NETMAP. В целях тестирования реализована поддержка FTP NAT helper и Amanda NAT helper.

Поводом к началу работ над IPv6 NAT послужило желание создать единую стандартную реализацию механизма в свете его востребованности некоторыми компаниями, которые уже начали работу над собственной реализацией аналогичной функциональности (например, NAT66). Напомним, что сама идея NAT заключалась в том, чтобы обойти проблему нехватки IPv4-адресов и не соответствует концепции IPv6 как сети, в которой каждое устройство, подключенное к интернет, должно иметь свой собственный выделенный IPv6-адрес.

  1. Главная ссылка к новости (http://marc.info/?l=linux-netd...)
Автор новости: Evgeny Zobnin
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32395-netfilter
Ключевые слова: netfilter, iptables, nat
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (207) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Xasd (ok), 20:24, 26/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    > Напомним, что сама идея NAT заключалась в том, чтобы обойти проблему нехватки IPv4-адресов и не соответствует концепции IPv6 как сети, в которой каждое устройство, подключенное к интернет, должно иметь свой собственный выделенный IPv6-адрес.

    но если вдруг наши "замечательные" интернет-провайдера задумают при подключении абонента -- не выдывать более чем один IPv6-адрес -- то добро пожаловать опять в этот каменный век NAT-технологий :-/

     
     
  • 2.11, Gra (?), 21:06, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • –8 +/
    NAT скорее понятие безопасности, причем тут каменный век.
     
     
  • 3.15, ololo (?), 21:31, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +8 +/
    какую безопасность подразумевает nat, если не секрет?
     
     
  • 4.16, xoomer (ok), 21:49, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Установка mission-critical-машины за NAT-ом, не?))
    http://ru.wikipedia.org/wiki/DMZ_%28%D0%BA%D0%BE
     
     
  • 5.17, Аноним (-), 21:54, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    не!
     
  • 5.65, gaga (?), 12:25, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    нет
     
  • 5.68, Аноним (-), 13:18, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Решать это NAT'ом - все равно что загораживать дорогу грузовиками вместо противотанковых ежей. Разница в том, что в ipv4 грузовики бесплатные.
     
     
  • 6.69, Аноним (-), 13:19, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Пардон, то есть не бесплатные, а уже "включены в стоимость".
     
  • 6.208, Hety (??), 07:26, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В принципе иногда огородить хомяков натом проще. Способ так себе, но работает. Хоть машины голой жопой в инет не торчат.
     
  • 4.90, XoRe (ok), 19:28, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Ну смотрите Помнится, когда сидел на винде, пытался честно закрыть лишние порты... большой текст свёрнут, показать
     
     
  • 5.92, ptr (??), 20:09, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)

    А не приходила в голову мысль, что вместо того чтобы закрывать все ненужные порты можно открыть только нужные? И сразу жизнь наладится и упроститься...

     
     
  • 6.104, XoRe (ok), 01:51, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)
    > А не приходила в голову мысль, что вместо того чтобы закрывать все
    > ненужные порты можно открыть только нужные? И сразу жизнь наладится и
    > упроститься...

    Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.
    Тот же skype - надо ему пробросить порт, посылает запрос на роутер.
    uTorrent тоже это умеет.
    Вместо NAT можно поставить фаерволл (настроить на компе или железку).
    Но технологии, аналогичной upnp (когда устройство само просит разрешить доступ) - нету.
    Можно, конечно, ручками открывать - но это уже другой уровень геммороя.

     
     
  • 7.107, Аноним (-), 02:14, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    IGD - довольно уродливый костыль, возникший как попытка решения кучи проблем, созданных натом. И попытки гордиться этим убожеством выглядят весьма нелепо.
     
  • 7.110, Аноним (-), 02:18, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И skype, и utorrent, и  все программы которые умеют upnp, умеют (или очень быстро научатся) точно также и добавлять разрешающие правила в виндовый фаервол, что почти устраняет данную проблему
     
     
  • 8.112, Аноним (-), 02:20, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    не договорил почти устраняет данную проблему на винде Почти - потому что е... текст свёрнут, показать
     
  • 8.114, Аноним (-), 02:26, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    1 У upnp своих проблем с безопасностью хватает 2 Совместимость не всегда 100 ,... текст свёрнут, показать
     
     
  • 9.162, Аноним (-), 16:37, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Перечитайте пост, я же с вами не спорю, наоборот хотел сказать, что отсутствие а... текст свёрнут, показать
     
  • 7.111, Аноним (-), 02:18, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей  проброс порта.

    А покажи-ка мне реализацию IGD для IPv6, дружок.

     
  • 7.115, Аноним (-), 02:36, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.

    Ага, например, джаваскрипт из браузера просит пробросить ему снаружи порты самбы...

     
  • 7.138, Аноним (-), 13:40, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Для NAT есть технология upnp, когда устройство/программа сама просит сделать нужный ей проброс порта.

    Стоп, так вы об upnp или о безопасности? Они же взаимно исключают друг друга.
    Если вы включили на своем роутере управляемый проброс портов средствами upnp - значит, вы фактически выставили всю свою локалку голой задницей в интернет.

     
     
  • 8.171, Аноним (-), 20:52, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А это называется декоративная безопасность Вроде выглядит как безопасность а по... текст свёрнут, показать
     
  • 5.93, Аноним (-), 20:32, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)

    Есть. Называется "брандмауэр" (aka firewall).

     
     
  • 6.102, Аноним (-), 01:33, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть. Называется "брандмауэр" (aka firewall).

    Админы локалхостов (а именно они здесь с умным видом рассуждают о безопасном nat) о такой штуке не знают.
    Впрочем, особо умные таки знают, что она есть, но изучать боятся.

     
     
  • 7.105, XoRe (ok), 02:03, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >> Есть. Называется "брандмауэр" (aka firewall).
    > Админы локалхостов (а именно они здесь с умным видом рассуждают о безопасном
    > nat) о такой штуке не знают.
    > Впрочем, особо умные таки знают, что она есть, но изучать боятся.

    Извините, вы сети каких размеров админили?)

    Вот придет к вам друг с ноутбуком.
    Подключится к вашему wifi.
    Получит ip по DHCP.
    Выйдет в интернет.
    Захочет пообщаться через skype или sip (особенно h.323, которому открытый порт подавай).
    Если у вас роутер с NAT и upnp, то voip программа сама себе нужный порт пробросит.
    А если у вас роутер без NAT, но с фаерволлом - как вы это будете делать?
    Сначала посмотрите, какой ip получил ноут, потом посмотрите, какой порт нужно открыть?)

     
     
  • 8.108, Аноним (-), 02:15, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален У меня шлюз на линуксе, который, внезапно, поддерживает ... текст свёрнут, показать
     
     
  • 9.128, фклфт (ok), 06:30, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот благодаря таким как вы самоуверенным в безопасности NAT и существует очень с... текст свёрнут, показать
     
     
  • 10.139, Аноним (-), 13:41, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, я о безопасности NAT не говорил, во-вторых, ipnat в линуксе выкинули ... текст свёрнут, показать
     
  • 10.178, www2 (??), 08:10, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А что вам не нравится в стандартном NAT в Linux И какие нестандартные NAT вы зн... текст свёрнут, показать
     
     
  • 11.186, Аноним (-), 13:14, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Судя по тому, что он считает единственно верными ipnat и ng_nat местечковые реа... текст свёрнут, показать
     
  • 8.113, Аноним (-), 02:22, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не вижу смысла отвечать на этот вопрос человеку, который путает IGD с UPnP Не з... текст свёрнут, показать
     
  • 6.106, XoRe (ok), 02:06, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)
    > Есть. Называется "брандмауэр" (aka firewall).

    Может вы прочтете мое сообщение с начала и видите строчку "Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом." ?
    А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)

     
     
  • 7.109, Аноним (-), 02:17, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А потом попробуйте закрыть брандмауэром компьютера доступ к ip камере)

    Закрыть на шлюзе доступ к хосту его подсети из внешних сетей - вполне тривиальная задача. Жаль, что вы этого не понимаете.

     
     
  • 8.214, XoRe (ok), 20:28, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я говорю про брандмауер на клиентской машине Жаль, что вы этого не поняли ... текст свёрнут, показать
     
  • 5.116, йцукенг12 (ok), 03:04, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Смотрим Делаем первые выводы 1 Бсдельник как обычно равняет все по винде, пот... большой текст свёрнут, показать
     
     
  • 6.160, PereresusNeVlezaetBuggy (ok), 15:30, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>> какую безопасность подразумевает nat, если не секрет?
    >> Ну смотрите.
    > Смотрим.
    >> Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.
    > Делаем первые выводы:
    > 1) Бсдельник как обычно равняет все по винде, потому что его ось
    > на десктопе просто швах.

    Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда". Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.

    На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.

     
     
  • 7.172, Аноним (-), 21:02, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Делаем первый вывод: надо проигнорировать сам пример и зацепиться за слово "винда".

    А я думал что к общеидиотскому подходу к управлению фаером. Элементарное непонимание как вообще оно рулится по нормальному если действительно секурность сети интересует.

    > На остальное отвечать даже не хочется, ибо троллинг на редкость толстый и неумелый.

    Не более бездарно и неумело чем расписаное выше "управление" фаером :P.

     
     
  • 8.177, PereresusNeVlezaetBuggy (ok), 21:49, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Лично я сейчас наблюдаю элементарное непонимание реального процесса обслуживания... большой текст свёрнут, показать
     
     
  • 9.179, www2 (??), 08:23, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если интересует именно секурность, то компьютер нужно отключить от розетки и взо... большой текст свёрнут, показать
     
     
  • 10.190, PereresusNeVlezaetBuggy (ok), 13:52, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Помимо шарашек типа туроператор Кызылым-Ога бывают ещё... большой текст свёрнут, показать
     
  • 7.185, Аноним (-), 13:12, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Для самых умных: далеко не всегда есть возможность выбирать конечную ОС для пользователей.

    Для самых умных фаервол работает на шлюзе. А туда обычно ставят серверную ОС.
    Нет, кому-то и винда с бсдями - серверные оси, но зачем же свои личные проблемы другим навязывать?

     
     
  • 8.191, PereresusNeVlezaetBuggy (ok), 13:54, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    1 А что, машины внутри корпоративной сети прикрывать нельзя Вы так изящно отре... текст свёрнут, показать
     
  • 6.201, XoRe (ok), 03:43, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В следующий раз отвечу на все ваши уколы Но сейчас давайте по существу Обзыват... большой текст свёрнут, показать
     
     
  • 7.220, iZEN (ok), 14:25, 11/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Если сейчас в устройствах отключить NAT, в сети просто появится очень много уязвимых устройств.

    И даже сквозная аутентификация IPSec, которая присутствует в спецификации IPv6 ОБЯЗАТЕЛЬНО и которая позволяет моментально обнаружить несущий угрозу узел, не поможет?

     
  • 6.219, Аноним (-), 11:20, 12/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Позновато пишу, но может кто-то тогда просветит, каким образом вы исходящий траф... большой текст свёрнут, показать
     
  • 4.222, Профессор (?), 07:10, 13/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > какую безопасность подразумевает nat, если не секрет?

    Заранее сори не смог до конца прочитать, скорее всего кто-то уже высказал со мной совпадающие мнение.
    С моей точки зрения NAT не обеспечивает безопасность, как таковая она просто помнит кто,через нее что передал и возвращает обратный пакетик тому хосту,который сформировал пакетик в Интернет. ..
    ..Но эта технология позволяет сконцентрировать свое внимание по защите корпоративной(домашней) локальной сети, только на одном узле установив туда средства блокировки портов, перенаправления портов и другие средства программной защиты.
    Вопрос всем, господам комментирующим...Что проще отследить в потоке больших объем информации 1 узел или n-ое количество узлов?

     
  • 3.21, freename (ok), 22:08, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В ipv6 позаботились о безопасности и скрывать пользователей за nat не имеет смысла для этого там есть другой механизм
     
     
  • 4.24, Аноним (-), 22:51, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >В ipv6 позаботились о безопасности и скрывать пользователей за nat не имеет смысла для этого там есть другой механизм

    What?

     
     
  • 5.45, freename (ok), 01:22, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    MT6D
     
     
  • 6.67, Аноним (-), 13:11, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > MT6D

    Первая ссылка в гугле? ;)

     
  • 3.27, Аноним (-), 23:20, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > NAT скорее понятие безопасности, причем тут каменный век.

    Скорее, некоторые дебилы упорно не понимают что это задача _файрвола_, а нат в его роли вообще оказался так, до кучи.

     
     
  • 4.40, Вася (??), 00:30, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    имеется в виду анонимность
     
     
  • 5.46, Аноним (-), 03:30, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > имеется в виду анонимность

    Нат в общем случае не обеспечивает анонимность сколь-нибудь заслуживающую внимание.

    Конечно, если вы перданете в автобусе где еще 20 человек, вас может и не вычислят, за незначительностью происшествия. А вот если вы бомбу повезете и у вычисляющих будет информация "в этом автобусе бомба" - вы уж извините, но поймают вас в 2 счета.

    С NAT как-то примерно аналогично: неуловимый джо неуловим через NAT лишь когда он никому не нужeн.

     
     
  • 6.73, СуперАноним (?), 13:57, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Такие как ты, и Tor критикуют, и прочие технологии анонимизации. Ну если настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом. А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз. И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.
     
     
  • 7.81, Аноним (-), 15:25, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз. И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.

    Какие вы смешные.
    Пока ваше личное никому нафиг не интересно - вы можете прятаться, дрожать и верить в свою неуловимость.
    Но как только вами заинтересуются - никакие детские методы отпугивания Буки вас не спасут.

     
  • 7.117, Аноним (-), 03:19, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В плане именно анонимизации Tor на голову лучше Только вот у него есть свои про... большой текст свёрнут, показать
     
  • 7.180, www2 (??), 08:26, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Такие как ты, и Tor критикуют, и прочие технологии анонимизации. Ну если
    > настолько писсимистичный в этом вопросе, то можешь заниматься социальным стриптизом. А
    > другие люди воспользуются любой возможностью, чтобы скрыть личное от посторонних глаз.
    > И даже, если возможно, то несколькими технологиями технологиями анонимизации одновременно.

    Личное нужно передавать лично, а не через публичные информационные сети, тогда и гарантии будут сколь-нибудь серьёзные. А если вы связались с вконтактиком и асечкой, то добро пожаловать в социальный стриптиз-бар.

     
  • 6.98, Pincher (?), 00:26, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    NAT нужен , В ТОМ ЧИСЛЕ, для сокрытия внутренней организации сети класса от С и больше/выше. И давайте не будем галдеть о том, что можно определить другими косвенными путями.
    Суть технологии именно в частности и в этом и дополняет другие защитные механизмы. Ну и например при испольовании проксирующих серверов, эта технология как нельзя кстати дополняет собой обеспечение безопасности внутреннего сегмента сети. Особенно когда речь идёт о юзерских хостах.
     
     
  • 7.118, Аноним (-), 03:20, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Особенно когда речь идёт о юзерских хостах.

    Еще одна обезьяна с микроскопом вместо молотка, путающая stateful фаер, прокси и прочая с натом.

     
  • 7.181, www2 (??), 08:33, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > NAT нужен , В ТОМ ЧИСЛЕ, для сокрытия внутренней организации сети класса
    > от С и больше/выше. И давайте не будем галдеть о том,
    > что можно определить другими косвенными путями.
    > Суть технологии именно в частности и в этом и дополняет другие защитные
    > механизмы. Ну и например при испольовании проксирующих серверов, эта технология как
    > нельзя кстати дополняет собой обеспечение безопасности внутреннего сегмента сети. Особенно
    > когда речь идёт о юзерских хостах.

    Если на шлюзе фаерволлом закрыть правильные типы ICMP, да настроить перезапись значения TTL в IP-пакете прямо на шлюзе, то фиг снаружи узнают что-то об организации сети. Будут знать только адреса хостов, а как они там организованы - не узнают.

     
  • 5.136, Elhana (ok), 12:55, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    анонимность от "я вычислю твой ip"? ))
     
     
  • 6.167, Аноним (-), 20:39, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, посмеялся. :)
     
  • 3.86, Аноним (-), 15:48, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > NAT скорее понятие безопасности, причем тут каменный век.

    NAT для безопасности - как микроскоп для колки орехов.
    То есть, употребляется только альтернативно одаренными.

     
  • 3.96, Аноним (-), 22:35, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    NAT к безопасности не имеет никакого отношения. Это иллюзия недоадминов.
     
  • 3.103, Аноним (-), 01:34, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если ты не догадываешься резать попытки установки соединений извне в таблице FORWARDING в iptables, и вместо этого рекомендуешь использовать nat, то это твои личные проблемы.
     
  • 2.22, stalker37 (?), 22:38, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    подозреваю что акулы  таки будут выделять 1 адрес per user и пытаться дальше пробивать  что бы пользователи на каждое доп железку заключали отдельный договор.. как это пытаются делать сейчас за подключение ещё 1 телевизора на кабель через делитель
     
     
     
    Часть нити удалена модератором

  • 4.34, stalker37 (?), 23:36, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> 1 телевизора на кабель через делитель
    > А что, где-то остались еще такие клоуны? Ничего, интернет их скоро окончательно
    > закoпает.

    А зачем? IPTV нужно далеко не всем и не все железки умеют. Кабельное телевидение пока ещё живёт и вполне себе

     
     
  • 5.47, Аноним (-), 03:31, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кабельное телевидение пока ещё живёт и вполне себе

    Ну так принимаешь на комп вместо телеящика и раздаешь на все нужные девайсы. Правда честно говоря это уже не нужно: в интернете все-равно ассортимент больше.

     
  • 3.70, Аноним (-), 13:28, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > заключали отдельный договор.. как это пытаются делать сейчас за подключение ещё 1 телевизора на кабель через делитель

    Эээ... что? А кто вообще щас гонит нешифрованный платный IPTV поток? какой смысл решать это лишним договором? У всех вменяемых провов IPTV давно шифрован, и никаким "делителем" (это что вообще такое?) вы его оттуда не вытащите, если только прошивку или плеер для PC/xbox реверсить.

     
     
  • 4.71, Аноним (-), 13:29, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, пардон. Я почему-то думал что вы про IPTV. Совсем зажрался, забыл как раньше было...
     
  • 4.206, Анонизмус (?), 21:06, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Укртелеком
     
  • 2.54, Аноним (-), 04:56, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > не выдывать более чем один IPv6-адрес

    То им придется делать это руками, потому что хоть с IPoE хоть с вариантами PPP автоконфигурация не работает на блоках меньше /64. И единственное решение в таком случае — прописывать адрес и маршруты _руками_.

    Так что я не завидую таким провайдерам, если вдруг они найдутся.

     
     
  • 3.57, Аноним (-), 05:10, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > единственное решение в таком случае — прописывать адрес и маршруты _руками_.

    Да, разжую поподробнее.

    IPv6 по Ethernet, 802.11 и т.д. — это SLAAC (RA). Которому надо префикс максимум в /64 (иначе он не сможет EUI-64 прицепить в конец и вся SLAAC не выйдет).
    PPP это IP6CP (который устанавлвиает только link-local'ы) + RA.
    DHCPv6 только дополняет RA, но не заменяет его.
    SEND никак не меняет картину.
    Можно сделать с OpenVPN, но это очень неудачное решение для домашнего провайдера.
    Еще можно сделать очень суровый анальный цирк с DNS46 и NAT-PT (которые considered harmful, но draft'ы RFC живы), но это очень большая жопа. Хотя для провов, которые не могут осилить билингование IPv6 — единственны

    Остается ручная вбивка адреса. Всего /128, хехе, и без опечаток. А потом еще адреса роутера (ну, там покороче можно обойтись, fe80::1%eth0 хватит). Клиент нынче пошел уже не торт — двух слов связать не может, техподдержка регулярно объясняется на уровне "внизу экрана слева у вас кнопочка круглая или прямоугольная". А платить за вызов саппорта каждый ращ, когда пришло время переустанавливать ШИНДОШS(tm) — денег не хватит.

    Короче, /128 на клиента — самоубийство для провайдера.

     
     
  • 4.58, Аноним (-), 05:13, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Случайно нажал «Отправить».

    > Хотя для провов, которые не могут осилить билингование IPv6 — единственны

    … единственный путь, если не менять биллинг. Или путь как очень legacy клиентам с IPv4, никак не умеющим IPv6 (скажем, копрорациям, застрявшим во временях Windows 9x, хехе) дать доступ к IPv6-сети. Но это реально большая жопа, потому что реализаций — 0.25 штуки, и то, если и заработает — в бою не тестировалось. Не позавидую.

     
     
  • 5.61, nikos (??), 09:57, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Билинг то не сложен, сохранить и посчитать сколько бит  откуда  и куда - задача  пустяковая.
    Да и количество информации, которую лопатить надо растет не  очень сильно - раза в полтора.
    а вот сдать этот билинг -для работы  оказывается чрезвычайно сложно,и я совсем не уверен  что СОРМ тесты будут пройдены нормально ( Точнее, почти уверен в обратном).
     
     
  • 6.89, XoRe (ok), 18:40, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Билинг то не сложен, сохранить и посчитать сколько бит  откуда  
    > и куда - задача  пустяковая.
    > Да и количество информации, которую лопатить надо растет не  очень сильно
    > - раза в полтора.
    > а вот сдать этот билинг -для работы  оказывается чрезвычайно сложно,и я
    > совсем не уверен  что СОРМ тесты будут пройдены нормально (
    > Точнее, почти уверен в обратном).

    Ну если раньше биллинг сдавали, то и сейчас сдадут)
    Врядли выйдет закон об обязательной пересертификации биллингов на предмет поддержки ipv6.
    Есть сертификат ещё на 3 года?
    Ну и отлично.
    Веселье начнется через год-два-три.
    Если повезет, к новой сертификации поддержку ipv6 уже допишут и протестируют.
    На пользователях.
    К сдаче в СОРМ она придет уже обезбаженная.

     
     
  • 7.119, Аноним (-), 03:22, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > К сдаче в СОРМ она придет уже обезбаженная.

    А сам СОРМ как обычно реализуют, да? Т.е. отдачей на лапу? :)

     
     
  • 8.192, nikos (??), 16:02, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Злые Вы - СОРМ честно сдан, причем это оказалось в том случае, довольно прос... текст свёрнут, показать
     
     
  • 9.203, XoRe (ok), 03:53, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В современных виндах есть поддержка ipv6 сразу после установки По DHCP новые ад... текст свёрнут, показать
     
  • 8.202, XoRe (ok), 03:47, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже другое дело Как договорятся, так и реализуют ... текст свёрнут, показать
     
  • 6.127, Аноним (-), 04:02, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Билинг то не сложен, сохранить и посчитать сколько бит  откуда  и куда - задача  пустяковая.

    Это-то да, простейший (но полноценный) биллинг в 100SLOC впишется, и ему будет плевать на версию IP. Хотя его сертифицировать — полная жопа, угу.

    Я думал о тех провайдерах, которые не пошли через административные терни, сделав свое, удобное решение, а купили сертифицированную систему.

     
     
  • 7.142, Аноним (-), 13:57, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Это-то да, простейший (но полноценный) биллинг в 100SLOC впишется

    А почему Вы счётчик биллингом называете?

     
     
  • 8.163, Аноним (-), 16:45, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А с чего Вы это взяли На нормальных языках в 100SLOC можно много засунуть Да, ... текст свёрнут, показать
     
  • 4.99, Anonymous123 (?), 00:43, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Зная наших провайдеров, они лучше посадят больше девочек-блондинок в саппорт. И не такая уж сложная задача - вбить вручную адрес с бумажки.

    Хоть у меня и есть /64, автоконфигурированием я не пользуюсь. Мне проще запоминать адреса типа xxxx:xxxx:xxxx:xxxx:192:168:0:1

     
     
  • 5.126, Аноним (-), 03:54, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Плохо их знаете. Саппорт просто завалят, будут писать русскую «а» вместо латинской «a», вписывать все что угодно, кроме того, что написано, и вообще — чего только не делать. Я изредка подменяю провайдерский саппорт, когда вдруг все на выезде, знаком не по наслышке.

    В регионах где один пров и все, и новичкам на рынок не пролезть — ну, там что угодно взлетит, даже стояние на голове, как условие работы интернета. Но таких мест, как мне кажется, немного, по крайней мере, в европейской части страны. Конкуренты придут незамедлительно и скажут спасибо.

    У меня тоже /64 и адреса я не запоминаю кроме одного, мой_префикс::2, где находится DNS. Чего и Вам советую.

     
  • 2.62, Zenitur (ok), 11:30, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    всего лишь поменяй провайдера или в крайнем случае тарифный план. IP-адресов IPv6 столько, что можно покупать пачками, и хватит на несколько поколений людей.
     
     
  • 3.168, Аноним (-), 20:42, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > всего лишь поменяй провайдера или в крайнем случае тарифный план. IP-адресов IPv6
    > столько, что можно покупать пачками, и хватит на несколько поколений людей.

    Ага, про IPv4 то же самое говорили. Слышали, доооооо.

    Во времена Винта Сёрфа никому в голову не приходило, что счет хостов в Арпанете будет когда-нибудь исчисляться сотнями миллионов и что сетки класса А будут выкупать пачками.

     
     
  • 4.173, Аноним (-), 21:09, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, про IPv4 то же самое говорили. Слышали, доооооо.

    2^32 это меньше чем человеков на планете. Уже тогда. Как бы можно было догадаться. А вот выюзать 2^128 и даже 2^64 адресов... эээ удачи, да. Можно каждому микробу по адрксу дать и еще останется :)

     
     
  • 5.196, nikos (??), 17:09, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ага, про IPv4 то же самое говорили. Слышали, доооооо.
    > 2^32 это меньше чем человеков на планете. Уже тогда. Как бы можно
    > было догадаться. А вот выюзать 2^128 и даже 2^64 адресов... эээ
    > удачи, да. Можно каждому микробу по адрксу дать и еще останется
    > :)

    Вот интересно, люди  говорят:
    2^ 128 -  это очень много адресов,  хватит каждому  микробу, потому  поднимают громкий вой,  а  почему  мне  не хотят выделять /64, чтобы  удобно конфигурить, да, еще  потребуется  вычесть неиспользованные  куски у провайдеров ( я не пробовал, но думаю что сетку меньше  чем  /48   по анонсам  порубят) ., да еще  мультикаст и иные  служебные. Спаммеров, убивателей  досок и прочее. -  и опять дефицит будет.  

     
  • 2.140, Аноним (-), 13:56, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > но если вдруг наши "замечательные" интернет-провайдера задумают при подключении абонента -- не выдывать более чем один IPv6-адрес -- то добро пожаловать опять в этот каменный век NAT-технологий :-/

    А как через DHCP выдать сеть на какой-нибудь ASUS WL-520 пользователя?

     

     ....большая нить свёрнута, показать (88)

  • 1.3, Аноним (-), 20:29, 26/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > в скором времени IPv6 NAT планируется довести до полностью работоспособного состояния и направить запрос на включение в следующий релиз ядра Linux.

    А кто там говорил "only over my dead body"? Не сам ли Патрик? Или все-таки Вельте?

     
     
  • 2.131, Andrey Mitrofanov (?), 09:46, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> в скором времени
    >> довести до полностью работоспособного состояния и направить запрос на включение в
    > А кто там говорил "only over my dead body"?
    >Или все-таки Вельте?

    Да. http://lwn.net/Articles/452853/rss

    Ну, "направят они запрос", а там тело Гарольда. Вот там и посмотрим, кто живее - запрос, тело, или [его заявление] "only over".

     

  • 1.4, koblin (ok), 20:31, 26/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Т.е. пришли к тому от чего уходили?
     
     
  • 2.26, Аноним (-), 23:13, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Уже нет, в IPv6 адресов всем хватает. NAT делается для совместимости софта и протоколов которые еще не могут работать с IPv6.
     

  • 1.5, Аноним (-), 20:33, 26/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Напомним, что сама идея NAT заключалась в том, чтобы обойти проблему нехватки IPv4-адресов

    Я бы не сказал, что REDIRECT или NETMAP всегда используются для решения именно этой проблемы. Иногда админу просто удобнее сделать доступ к разным хостам/службам через один виртуальный адрес/порт, в зависимости от различных параметров пакета (в частности, от исходного адреса).

    Кстати, надеюсь, допиливание поддержки IPv6 в IPVS теперь стронется с мертвой точки.

     
     
  • 2.7, Аноним (-), 20:36, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну и достаточно часто есть также задача скрыть топологию своей сети от внешнего мира.
     
     
  • 3.12, AdVv (ok), 21:08, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И да, именно для этих целей существуют файрволы ...
     
     
  • 4.18, Был в Китае и знаю (?), 21:59, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Их настраивать надо. Для этого надо голову иметь.
    А тут NAT поставил и массу проблем вообще закрыл. Большинство на этом и останавливается и довольно долго этого им оказывается достаточно.
     
     
  • 5.23, demon (??), 22:50, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы реализовать такой уровень "защиты" для реальных IPv4 адресов, которую "обеспечивает" NAT, в Iptаbles достаточно одной строки конфига. Т.е. ровно столько же сколько требуется для включения NAT-а.
    Если говорить о "сокрытии внутренней топологии", то это конечно полезно, но не соответствует  идеологии IP. Если у вас закрытая корпоративная сеть, то почему ваши пользователи не пользуются прокси-сервером (socks, и т.п.), который обеспечивает кроме сокрытия еще и контроль?

     
     
  • 6.31, Аноним (-), 23:30, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтобы реализовать такой уровень "защиты" для реальных IPv4 адресов, которую "обеспечивает"
    > NAT, в Iptаbles достаточно одной строки конфига.

    Строку в студию ! Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.

     
     
  • 7.35, Аноним (-), 00:08, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.

    Открою вам страшную тайну: основное предназначение conntrack - как раз обеспечение логики фильтрации. Логика nat там уже сверху накручена.

     
  • 7.37, Аноним (-), 00:13, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Строку в студию ! Только, чтобы она логику работы conntrack-модулей тоже реализовывала, т.е. чтобы нормально продолжали работать FTP, SIP, PPTP, GRE, IRC и h323, создающее встречное соединение к клиенту на случайный порт.

    iptables -I FORWARD -i внешний_сетевой_интерфейс -m conntrack ! --ctstate ESTABLISHED,RELATED -j DROP

     
     
  • 8.38, demon (??), 00:15, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Присоединяюсь как автор коммента про одну строку ... текст свёрнут, показать
     
     
  • 9.76, Аноним (-), 14:01, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    После такой строки вас завалят звонками клиенты с жалобами о неработе FTP и проч... текст свёрнут, показать
     
     
  • 10.83, Аноним (-), 15:27, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Подучите матчасть В частности, о том, как работает conntrack, и что такое RELAT... текст свёрнут, показать
     
     
  • 11.120, Аноним (-), 03:24, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Подучите матчасть сколько там и чего вгружается из модулей чтобы работали всякие... текст свёрнут, показать
     
     
  • 12.143, Аноним (-), 14:02, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И что Строчка всё равно одна ... текст свёрнут, показать
     
  • 12.149, Аноним (-), 14:22, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Подучите матчасть Для работы этих протоколов через нат, модулей должно быть в д... текст свёрнут, показать
     
  • 8.48, Аноним (-), 03:32, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И половина программ начинает работать через жо ... текст свёрнут, показать
     
     
  • 9.63, Аноним (-), 11:43, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Поясните ... текст свёрнут, показать
     
     
  • 10.75, Аноним (-), 14:00, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Новые входящие соединения к клиенту будут рубиться Многие протоколы требуют соз... текст свёрнут, показать
     
     
  • 11.144, Аноним (-), 14:02, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мля, для этого там написано слово RELATED ... текст свёрнут, показать
     
     
  • 12.174, Аноним (-), 21:10, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Оно не обеспечивает пропуск _нового_ входящего соединения Поэтому клиент получа... текст свёрнут, показать
     
     
  • 13.187, Аноним (-), 13:16, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    К кому и куда ... текст свёрнут, показать
     
  • 11.188, Аноним (-), 13:17, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Учите матчасть Механизм conntrack прекрасно поддерживает большинство таких прот... текст свёрнут, показать
     
  • 8.74, Аноним (-), 13:58, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это правило пропустит уже установленные соединения, но дропнет все запросы на но... текст свёрнут, показать
     
     
  • 9.78, Аноним (-), 14:14, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Sorry, RELATED не заметил Забираю свои слова обратно, FTP и подобное работать... текст свёрнут, показать
     
     
  • 10.84, Харитон (?), 15:38, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А входящие торрент запросы ... текст свёрнут, показать
     
     
  • 11.85, Аноним (-), 15:45, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Входящие торрент-запросы не работают ни через фаервол, ни через нат Для них в л... текст свёрнут, показать
     
     
  • 12.121, Аноним (-), 03:24, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Уточним, они прекрасно работают если не пользоваться угробищами типа натов ... текст свёрнут, показать
     
     
  • 13.146, Аноним (-), 14:05, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Они прекрасно работают через NAT, это зависит от его типа И они вообще не работ... текст свёрнут, показать
     
     
  • 14.151, Аноним (-), 14:25, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Все, что работает через NAT, будет работать и через фаервол, т к принцип один и... текст свёрнут, показать
     
     
  • 15.157, Аноним (-), 14:45, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Что O_O Принцип вообще другой, автоматический проброс например при NAT 1 в 1 и ... текст свёрнут, показать
     
  • 14.175, Аноним (-), 21:16, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Через нат входящие соединения инициированные независимо от вас обычно не работаю... большой текст свёрнут, показать
     
  • 13.150, Аноним (-), 14:23, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Они прекрасно работают только там, где все открыто нараспашку ... текст свёрнут, показать
     
  • 4.130, nuclight (ok), 09:37, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И да, именно для этих целей существуют файрволы ...

    Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.

     
     
  • 5.147, Аноним (-), 14:06, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> И да, именно для этих целей существуют файрволы ...
    > Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.

    Те, которые в traceroute TTL рубят :)

     
  • 5.199, Аноним (-), 22:26, 30/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.

    Те которые удавливают все исходящие пакеты вообще. А клиенты пропускаются через прокси с авторизацией и только так. До кучи хорошо спасает от вирусов и прочей пакости, которые на раз обламываются послать пароли хозяевам в такой конфигурации. Совершенно стандартная практика у корпоративщиков.

     
     
  • 6.210, nuclight (ok), 23:20, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Внимательно слушаем, какие же фарйволы умеют скрывать _топологию_ сети.
    > Те которые удавливают все исходящие пакеты вообще. А клиенты пропускаются через прокси
    > с авторизацией и только так. До кучи хорошо спасает от вирусов
    > и прочей пакости, которые на раз обламываются послать пароли хозяевам в
    > такой конфигурации. Совершенно стандартная практика у корпоративщиков.

    294, ты опять пёрнул в лужу. Полную изоляцию (отсуствие прямой связности) файрволом не не называют, ибо он по определению фильтрует, т.е. пропускает то, что нужно.

     
  • 3.30, Аноним (-), 23:26, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну и достаточно часто есть также задача скрыть топологию своей сети от
    > внешнего мира.

    И конечно же поэтому надо использовать нат. А не всякие там файрволы, прокси, редиректы и так далее, созданные как раз для всего этого, угумс. Вот ведь стадо макак с микроскопами - вот дай им микроскопом гвоздить и все тут! А молоток не, это фи. Мы вот микроскопом уже привыкли, а молоток - его осваивать же надо!


     
  • 2.97, Аноним (-), 23:18, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько мне помнится, NAT в IPVS уже вполне себе запилен. Есть некоторые неудобства, как то отсутствие возможности натить в link-local. Но в целом вполне себе.
     

     ....большая нить свёрнута, показать (36)

  • 1.8, Аноним (-), 20:37, 26/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кому не надо, то не используйте. А кому понадобится, хорошо, что лёд тронулся в данном вопросе.
    Всегда проще не пользоваться ,тем что не нужно, чем когда нужно заниматся извратом или ещё хуже  ,когда мозгов на решение проблемы не хватило, говорить что невозможно что-то сделать. Спасибо разработчикам данной функции, для крупных корп. сетей самое оно.
     
     
  • 2.39, demon (??), 00:21, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можно предположить, что найдутся достойные задачи для IPv6 NAT, но к сожалению, админы локалхоста будут пользоваться этим микроскопом для забивания гвоздей, а программерам сетевых приложений придется опять строить костыли типа STUN-а.
    Поэтому уж лучше не надо.

    Админам крупных корпоративных сетей надо _ТЩАТЕЛЬНО_ читать документацию по IPv6, т.к. в протоколе очень много заложено именно для них.


     
  • 2.49, Аноним (-), 03:34, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому не надо, то не используйте. А кому понадобится, хорошо,

    Нет, дружок, сети - они взаимодействие подразумевают. И если какой му...к не хочет соблюдать сетевой протокол - так может пусть он вообще не подключается к сети тогда? А то все эти полузомби-инвалиды, у которых вроде бы есть интернет но вроде как и нет уже порядком достали и в IPv4. Создателей геморроя на ровном месте - мало кто любит.

     

  • 1.9, Аноним (-), 20:39, 26/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя, я думаю, обычные домовые сети даже не подозревают о существовании IPv6.
     
     
  • 2.13, AdVv (ok), 21:15, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя,
    > я думаю, обычные домовые сети даже не подозревают о существовании IPv6.

    Торговать песком поштучно весьма спорное мероприятие

     
     
  • 3.14, Аноним (-), 21:25, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Главное, чтобы провы не пошли по пути "/128 на всю локалку". Хотя,
    >> я думаю, обычные домовые сети даже не подозревают о существовании IPv6.
    > Торговать песком поштучно весьма спорное мероприятие

    А вдруг наши эникеи так и будут делать, глядя на v4?

     
     
  • 4.19, Был в Китае и знаю (?), 22:01, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А вдруг наши эникеи так и будут делать, глядя на v4?

    А почему им так не делать? Ведь принцип распределения адресов в IPV6 остался прежним.

     
     
  • 5.50, Аноним (-), 03:36, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему им так не делать? Ведь принцип распределения адресов в IPV6
    > остался прежним.

    Только вот адресов шибко больше. Допустим я плачу бакс в месяц за IPv4. А теперь вспомним что IPv6 в 2^96 раз больше.

    Внимание, вопрос на засыпку: а я не затрахаюсь пилить доллар на 2^96 частей? :))

     
     
  • 6.94, Аноним (-), 22:26, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Будете платить бакс за один адрес IPv6. Если можно продавать воздух с себестоимостью в 2**96 раз меньше, но по старой цене, почему нет? Из-за лишнего бакса никуда не денетесь и к новому прову не убежите
     
     
  • 7.122, Аноним (-), 03:29, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу после того как вы начнете у меня покупать железо по цене золота Если желе... большой текст свёрнут, показать
     
     
  • 8.148, Аноним (-), 14:12, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И как через туннель будут работать торренты На какой скорости, если пользовател... текст свёрнут, показать
     
     
  • 9.176, Аноним (-), 21:21, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Знаете, а если вы начнете настаивать повсеместно что железо теперь стоит как зол... текст свёрнут, показать
     
  • 4.20, Аноним (-), 22:01, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А вдруг наши эникеи так и будут делать, глядя на v4?

    Лично мне почему-то кажется, что они именно так и будут делать.
    На этой планете, торговля песком, водой, воздухом - весьма прибыльное занятие.

     
     
  • 5.95, Аноним (-), 22:29, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А также различными эфемерными вещами вроде наборов байтиков, территорий на Луне или IPv6-адресов. Количество воздуха все-таки ограничено, хоть и велико, а нематериальные вещи можно продавать вечно
     
     
  • 6.169, Аноним (-), 20:47, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А также различными эфемерными вещами вроде наборов байтиков, территорий на Луне или
    > IPv6-адресов. Количество воздуха все-таки ограничено, хоть и велико, а нематериальные
    > вещи можно продавать вечно

    МТС очень некисло торгует золотыми и платиновыми номерами мобил со времен своего основания. ОЧЕНЬ некисло. Платиновый номер по цене Майбаха. Так что это - работает.

     
     
  • 7.200, Аноним (-), 22:29, 30/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > основания. ОЧЕНЬ некисло. Платиновый номер по цене Майбаха. Так что это
    > - работает.

    Пока живут на свете дураки,
    Обманом жить нам, стало быть, с руки.

    (Песенка лисы-алисы и кота базилио)

     
  • 4.59, Аноним (-), 05:18, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А вдруг наши эникеи так и будут делать, глядя на v4?

    У них не получится. Раздача /128 связана с очень суровыми техническими заморочками, причем первично именно для провайдера (куче клиентов /128 хватило бы).

    См. ветку выше, я там все описал.

     
  • 2.32, Аноним (-), 23:33, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Главное, чтобы провы не пошли по пути "/128 на всю локалку".

    А какая цель этого? Создать клиентам геморрой? На месте клиентов я бы засудил такого прова за заведомый обман покупателя, потому что то что предоставляет этот пров нарушает RFC стандарта и интернетом не является. О чем конечно же покупателя уведомить забудут.

     
     
  • 3.41, Аноним (-), 00:34, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На месте клиентов я бы засудил такого прова за заведомый обман покупателя, потому что то что предоставляет этот пров нарушает RFC стандарта и интернетом не является.

    RFC не является законом или подзаконным актом.
    А понятие интернета в законодательстве большинства стран если и определено, то очень и очень расплывчато.
    В России, например, это называется "предоставлением телематических услуг". И ни слова про RFC.

     
     
  • 4.52, Аноним (-), 03:45, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > В России, например, это называется "предоставлением телематических услуг".
    > И ни слова про RFC.

    Ну вы рекламируете интернет а продаете какие-то обрезки, не являющиеся оным. Обман покупателя налицо. Некоторым вроде уже выдали за их "до 100500 килобитов" так что как минимум серьезные игроки рынка теперь хотя-бы честно и внятно указывают все моменты. Да, с кучей звездочек и оговорок, но по крайней мере можно найти описание того что по факту получишь.

    А так - по этому свинарнику с жульем давно уже ФАС и общество защиты потребителей плачут.

     
     
  • 5.60, Клыкастый (ok), 09:38, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ФАС, даааа.... Это наше всё. правда предустановленную венду он, покочевряжившись,  внезапно одобрил, но это же случайность, да?
     
     
  • 6.123, Аноним (-), 03:31, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > одобрил, но это же случайность, да?

    Насколько я помню они покочевряжились да и потребовали принимать ее назад. И все более-менее серьезные производители вроде как стали это делать более-менее.

     
     
  • 7.212, Клыкастый (ok), 20:59, 08/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> одобрил, но это же случайность, да?
    > Насколько я помню они покочевряжились да и потребовали принимать ее назад.

    ...и в этом же, 2010 году сказали, что предустановленная венда - это исключительно для блага пользователей. Dell, напримерЮ свернула свою программу возврата денег за венду.

    > все более-менее серьезные производители вроде как стали это делать более-менее.

    менее и менее...

    Вот скажи, друг, ты вернул деньги за венду в 2011? Пробовал? Я - пробовал. А ты - "слышал".

     
     
  • 8.213, nikos (??), 09:33, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ноут HP - нужного мне конфига без винды не было, купил с Win7, вернул деньги ... текст свёрнут, показать
     
     
  • 9.215, Клыкастый (ok), 20:35, 12/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    поделись подробностями когда, сколько, что делал у меня не вышло ... текст свёрнут, показать
     
     
  • 10.218, nikos (??), 13:32, 16/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Собственно было не так сложно Ноут Купил само собой не активировал винду ... большой текст свёрнут, показать
     
  • 3.44, Dmitry (??), 01:05, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не получится. Даже не пытайтесь дергаться в этом направлении. Это только громкие слова.
     
     
  • 4.51, Аноним (-), 03:42, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не получится. Даже не пытайтесь дергаться в этом направлении.

    Если не дергаться - ну так всякие му... будут и дальше продавать всякие недоделки, брак и колбасу с картоном под видом нормального товара. Вообще, даже в России уже был ряд интересных прецедентов когда телекомы получали по шапке за методы ведения бизнеса.

    Ну а консультироваться по вопросу имеет ли смысл дергаться имеет смысл с юристом, компетентным в предметной области. Вы являетесь таковым?

     

     ....большая нить свёрнута, показать (24)

  • 1.25, Andrew Kolchoogin (?), 22:57, 26/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Да не дёргайтесь вы так. Драфт IETF почитайте.

    Во-первых, ТАКОЙ NAT топологию сети не скроет: он СТРОГО 1:1. И вообще, не NAT, а NPT -- Network Prefix Translation. Про сохранение полной связности -- в первом абзаце драфта.

    Правда, линуксячьи хомячки могут опять своей дорогой пойти... Ну тады ой. :(

     
     
  • 2.43, demon (??), 00:36, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Во-первых, ТАКОЙ NAT топологию сети не скроет: он СТРОГО 1:1. И вообще,
    > не NAT, а NPT -- Network Prefix Translation. Про сохранение полной
    > связности -- в первом абзаце драфта.

    Я бы сказал "упомянуто о полной связности", и далее сказано, что IPv4 NAT нарушает этот принцип, и хорошо бы чтобы IPv6 NAT не нарушал. Но не более того.

    Я вот честно говоря не могу найти достойного применения IPv6 NAT, и более того, в упомянутом драфте рассмотрены случаи применения NAT-а и все они признаны нецелесообразными для IPv6


     
     
  • 3.55, Аноним (-), 04:58, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вот честно говоря не могу найти достойного применения IPv6 NAT

    Наколенная альтернатива Mobile IPv6 (который зело мутен в настройке, стоит признаться) с трансляцией префикса домашней сети в гостевую.

     
     
  • 4.56, Аноним (-), 04:59, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Наколенная альтернатива Mobile IPv6

    Да, про отсутствие в этом случае самой возможности нормального прямого роутинга я в курсе. Это чисто на коленке для относительно редких случаев "ноут уехал на неделю на дачу, а править везде ACL'и дико неудобно".

     

  • 1.36, Аноним (-), 00:11, 27/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вообще-то в xtables всё это давно есть.
     
     
  • 2.42, Аноним (-), 00:36, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > вообще-то в xtables всё это давно есть.

    RAWNAT очень неудобен, т.к. не поддерживает conntrack.

     
     
  • 3.124, Аноним (-), 03:33, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > RAWNAT очень неудобен, т.к. не поддерживает conntrack.

    Любите тратить память на отслеживание кучи соединений? :)

     
     
  • 4.189, Аноним (-), 13:20, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Любите тратить память на отслеживание кучи соединений? :)

    Примерно как тратить личное время на употребление пищи - не люблю, но надо.

     

  • 1.64, nagual (ok), 12:23, 27/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ппц. Такое впечатление что склероз косит ряды коментаторов. У многих юзеров дома стоят роутеры типа dir 300 615 tp941d  и что эти железки умеют ip6 ? Пока не закончится жизненный цикл этих железок ip6 нафиг не уперся ...
     
     
  • 2.66, gaga (?), 13:04, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ппц. Такое впечатление что склероз косит ряды коментаторов. У многих юзеров дома
    > стоят роутеры типа dir 300 615 tp941d  и что эти
    > железки умеют ip6 ? Пока не закончится жизненный цикл этих железок
    > ip6 нафиг не уперся ...

    Ты не поверишь, но сейчас большая часть домашних железок поддерживает ip6. В магазине купить роутер без ip6 это надо очень хорошо постараться, поскольку на них на всех стоит ядро 2.6. Ну и плюс нехилая часть юзеров сидит напрямую, вообще без роутера.
    Да и стоит роутер копейки и часто выдается провайдером вообще бесплатно.

    А если ип6 будет внедрен как стандарт, то проблема решится через пару месяцев. Короче, это не проблема. Куда большую проблему создают сраные закрытые за натом порты.

     
     
  • 3.80, DFX (ok), 14:50, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да ядро и свежесть всего этого - даже не причины возможного отсуствия поддержки ... большой текст свёрнут, показать
     
  • 2.77, Xasd (ok), 14:13, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    в руководствах от OpenWRT и DD-WRT -- написанно что с IPv6 всё в порядке :-)
     
  • 2.79, DFX (ok), 14:28, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а вы таки не думали, что все эти "домашние роутеры" - есть костыли для поддержки систем, построеных на базе виртуальных тоннелей (не столько VPN, сколько имитации на VLAN'ах и/или PPP) и NAT'а, а в IPv6 сетях они на Х не сдались и, более того, в концепцию связности в Интернете эти поделия никак не входят ?

    жизненный цикл этих желехок, как и сами эти железки, "решающие" выдуманные проблемы, нафиг не сдались в IPv6-сетях. в крайнем случае, их временно можно заменить на DualStack-Lite клиенты (например, так называемые, B4-элементы на тех же самых CPE, "роутерах", для работы с AFTR и Carrier Grade NAT) либо использовать "как есть" для реализации полного DualStack (IPv6 - напрямую, IPv4 - так же, через костыль).

     
     
  • 3.82, terr0rist (ok), 15:25, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а вы таки не думали, что помимо костылей, есть ещё и куча других полезных функци... большой текст свёрнут, показать
     
     
  • 4.88, DFX (ok), 17:15, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это вам следовало сначала подумать, что хоть роутеры - это CPE Customer premi... большой текст свёрнут, показать
     
     
  • 5.101, Кгы (?), 01:27, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, а если производитель железки прошивку с IPV6 не выпустит, то ее на свалку н... большой текст свёрнут, показать
     
     
  • 6.145, DFX (ok), 14:05, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ну ктож виноват, что вы выкинули свои деньги на поделия товарищей, не гнушающихс... большой текст свёрнут, показать
     
  • 5.132, Anonshimuz (?), 10:34, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>предположу, что "смарт" - это так называемый "smartphone". он у вас такой дырявый, что всё напоказ выставляет и даёт полный удалённым доступ по-умолчанию ? может лучше стоит не костыль под него такой подкладывать, а сменить его нафиг ?

    и даже если конфигурация на нём грамотная, и известных программных щелей нет, но firewall всё равно хочется, уж не лучше ли поставить фильтрационную программулину именно на него, без таких костылей ? аппаратной фильтрации вам в вашем "нецелом компе" всё равно никто не даст, а так даже лучше будет.

    >>опять же, ради стабильного уровня качества вашей же связи.

    Имеется распределённая сеть из кучи сегментов (подсетей)(естесственно за натом с проксями шахматами и поэтессами) находящихся в разных зданиях, даже на разных этажах, добеса пользователей с таким-же зоопарком устройств от компов на 98-х, до iPad - ов, а так-же хитрыми железками для видеоконференцсвязи и по Вашему получается я должен пойти ко всем и и каждому и настроить им на их устройствах фаерволл???

     
     
  • 6.156, DFX (ok), 14:44, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    во-первых - как CPE и способ предоставления связи провайдером связан с корпорати... большой текст свёрнут, показать
     
  • 5.152, Аноним (-), 14:26, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > это вам следовало сначала подумать, что хоть "роутеры" - это CPE (Customer
    > premises equipment), всё CPE не обязано быть "роутером". более того, это
    > самое CPE - есть штука обязательная к наличию у пользователя для
    > оказания ему услуг связи, в принципе, и, не у наглых жлобов,
    > ещё и выдаётся ему оператором бесплатно.
    > разговор здесь именно о "роутерах" и приплетать что-то другое не стоит.

    Успокойтесь, все их "роутерами" называют. Это устоявшееся неточность, как называть счётчики - биллингом или преступников - хакерами.

     
     
  • 6.184, DFX (ok), 11:58, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ну давайте ещё член "палкой" назовём на медосмотре...

    все виды CPE к этому разговору не имеют отношения, а то, что предыдущий оратор приплёл, не имеет прямого отношения к CPE. вот поделка с NAT'ом и/или туннелем до шлюза оператора уже будет CPE, которое может иметь, а может и не иметь, более широкий функционал.

    использования NAT'а, лишнего туннелирования и невыдачи полноценной конфигурации для всех сетевых устройств абонента это никак не оправдывает.

    PS: ишь чего придумали - "устоявшаяся неточность" 0_o
    и правда: каким бы ни был status quo, всегда сполна найдётся тех, кто будет кровью биться за него, лишь бы не сдвинуло его, в любую сторону.

     

     ....большая нить свёрнута, показать (12)

  • 1.72, ricox (?), 13:50, 27/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход от ната. Шиза косит ряды разработчиков.
     
     
  • 2.91, Аноним (-), 19:39, 27/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход
    > от ната. Шиза косит ряды разработчиков.

    Кто-то точно тут поспорил, что обязательно напишет :-)

     
     
  • 3.100, The Shaman (?), 00:52, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Зачем это, основной смысл в переходе сейчас на Ipv6 как раз уход
    >> от ната. Шиза косит ряды разработчиков.
    > Кто-то точно тут поспорил, что обязательно напишет :-)

    Видать тут с провадингом народ знаком только со стороны потребителя ... представте провайдер авторизует вас как порт или того хуже PPPx .... у вас за Вашей пасОчкой МЕГА СЕТЬ настроенная с Вашем Мего пониманием и амбициозным пониманием сети, с претензией к RFC и т.д. ... если NAT-а на ваше пасОчке не будет - вас ждет череда разочарований и шанс подавиться ядовитой слюной спадающей водопадом с вершины Вашего самолюбия :)

     
     
  • 4.135, Александр (??), 12:22, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Что правда, то правда, на линуксовом роутере можно сделать костыль с переносом префикса полученного от PPP на сеть ЛАН и это решает проблему. Хотя в стандартах PPPv6 и предусмотрен Network Prefix Delegation, не тех устройствах, которые я тестировал это пока не работает.
     
     
  • 5.164, Аноним (-), 17:11, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все верно, кроме одного 171 но 187 Терминологического 1 Нет никакого PPPv... большой текст свёрнут, показать
     
  • 4.159, DFX (ok), 15:19, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    можно поподробнее про эти былинные катаклизмы, от которых NAT якобы спасает ?

    уж не на отсутствие ли всякой фильтрации (то есть ACL и функциональности firewall'а) на устройствах Доступа провайдерской сети, которую смягчает тунеллирование, выдача одного адреса, вместо подсети, и, в-итоге, обязательный NAT, при попытке со стороны пользователя подключить более одного устройства/контролировать подключение на CPE (проще говоря, допуск только данных проходящих через ppp-клиент) намекает автор ?

    если так, то автор конечно понимает, что IPv6, решая проблему нехватки адресов, не только избавляет от необходимости в NAT'е, но и от необходимости засовывать IP в connection-oriented прослойку, то есть ppp, вообще, а значит и потвортствует установке правильного железа на Доступ ISP ?
    то есть опять - решаем проблемы, которых не должно быть, и не будет, если не продолжать их игнорировать.

     
     
  • 5.161, Александр (??), 15:57, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Два случая из практики, где NAT бы пригодился:

    1) Подключение к двум провайдерам
    2) Подключение через PPPv6, не видел, чтобы где-то реально работало prefix delegation.

     
     
  • 6.166, DFX (ok), 19:52, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    я только что сказал ведь, что от необходимости в ppp, и попыток превратить IP в ... большой текст свёрнут, показать
     
     
  • 7.204, Аноним (-), 12:23, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не могу похоронить PPPoE.

    Схема:
    1. Два Интернет-провайдера, друг с другом не взаимодействующие. Т.е. договориться нельзя.
    2. Один кабельный оператор («последняя миля» между провайдером и клиентом), который этих двух провайдеров сводит в одну розетку у клиентов дома.
    3. Клиент, пользующийся двумя провайдерами (по одному кабелю, да). Причем с одного компьютера.

    Решение только одно — L2-сеть и PPPoE (у каждого провайдера свой Service-Name). IPoE хочется, но не можется по одной простой причине — нет другого доступного метода инкапсуляции кроме PPPoE.

    Формально, правда, да, 802.1Q спас бы картину, если бы клиенты его массово умели. Но даже SOHO-роутеры далеко не все хотят, а десктопы с ноутами — вообще без шансов.

     
  • 3.125, Аноним (-), 03:34, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-то точно тут поспорил, что обязательно напишет :-)

    Я даже знаю как его звали. Это был Капитан Очевидность. Выше по треду кстати тоже его рук дело.

     

  • 1.129, ram_scan (?), 07:39, 28/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Для тех товарищей которые свято верят в то что NAT их отчаянно защищает, просветитесь что такое Symmetric NAT, Full cone NAT, Address restricted NAT и Port restricted NAT. Ужаснитесь.

    Практически через все наты кроме симметричного можно просто входить как в открытые двери. Для обратного прохождения симметричного ната нужно чуть поднапрячься. Сложно, но не невозможно.

    Нат на IPV6 это чисто фо лулз. Код у пацанов был рабочий, не пропадать же добру, вот и впилили. Нахрена оно нужно - непонятно.

     
     
  • 2.141, nikos (??), 13:57, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Те кто верит, то есть те кого он как- то защищает,  в  99%  используют PAT. Вы  уверены  что оно нормально проходимо для  входящих соединений?
    > Для тех товарищей которые свято верят в то что NAT их отчаянно
    > защищает, просветитесь что такое Symmetric NAT, Full cone NAT, Address restricted
    > NAT и Port restricted NAT. Ужаснитесь.
    > Практически через все наты кроме симметричного можно просто входить как в открытые
    > двери. Для обратного прохождения симметричного ната нужно чуть поднапрячься. Сложно, но
    > не невозможно.
    > Нат на IPV6 это чисто фо лулз. Код у пацанов был рабочий,
    > не пропадать же добру, вот и впилили. Нахрена оно нужно -
    > непонятно.
     
     
  • 3.158, Аноним (-), 14:47, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Те кто верит, то есть те кого он как- то защищает,  в  99%  используют PAT. Вы  уверены  что оно нормально проходимо для  входящих соединений?

    С использованием IGD/UPnP и при наличии засланцев в сети - прекрасно проходимо. В отличие от фаервола.

     

  • 1.133, PnD (??), 11:00, 28/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
      Заладили, млин, "защита-защита" :( А ничего, что при помощи SNAT|DNAT в сети можно малой кровью выполнить кучу приятных "фокусов"? Например, отправить соединения на некий конкретный порт обрабатываться неким конкретным сервисом. Что может при случае подстраховать локал-админов от мисконфигурейшена, а техподдержку - избавить от части дурных звонков.
      Ну, короче, есть масса вариантов кроме как SNAT-ить всю сеть в 1 несчастный ip. И очень хорошо, что у сис-прогеров наконец дошли до этого руки.
     
     
  • 2.137, ram_scan (?), 13:22, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за гаражами ? Обычно выкручиваться приходится от бедности.
     
     
  • 3.153, Аноним (-), 14:29, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за
    > гаражами ? Обычно выкручиваться приходится от бедности.

    Обычно выкручиваться приходится от СЛОЖНОСТИ.

     
     
  • 4.170, Аноним (-), 20:50, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А зачем вообще нужны такие фокусы, когда адресов свободных как дерьма за
    >> гаражами ? Обычно выкручиваться приходится от бедности.
    > Обычно выкручиваться приходится от СЛОЖНОСТИ.

    Ты с админом локалхоста разговариваешь. Для него сложностей не существует. Ваш К.О.


     
  • 4.195, Кирилл (??), 17:05, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Обычно выкручиваться приходится от СЛОЖНОСТИ.

    Обычно от ГЛУПОСТИ. Но это синоним сложности.

     

  • 1.134, Александр (??), 12:15, 28/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NAT в IPv6 нужен для двух вещей

    1) Multihoming без BGP. Как вы это сделаете без ната?
    2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных мануалах по безопасности, и ее по моему никто не отменял.

     
     
  • 2.154, Аноним (-), 14:32, 28/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > 2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных
    > мануалах по безопасности, и ее по моему никто не отменял.

    В IPv6 эту рекомендацию считают устаревшей.

     
  • 2.182, Andrew Kolchoogin (?), 11:05, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 1) Multihoming без BGP. Как вы это сделаете без ната?

    X8-O

    А NAT-то зачем?! Сервер слушает на всех адресах, а пакеты роутятся FBR'ом...

    > 2) Укрывание рельной адресации внутри локальной сети. Есть такая рекомендация в разных мануалах по безопасности, и ее по моему никто не отменял.

    Почитайте draft IETF. Та реализация NAT'а, которая там описана, реальную адресацию внутри сети не скрывает, ибо она строго 1:1.

     
     
  • 3.209, Александр (??), 12:59, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    С приходящим трафиком нет проблем вообще, а как быть с трафиком исходящим. В IPv4 хост обычно имеет один адрес IP, и роутер решает, через какого провайдера выходить. А в IPv6 хост сам должен разобраться, какой линк выбрать, как вы предлагаете это сделать?

     
  • 2.194, Кирилл (??), 17:03, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В обоих случая NAT это ненужный больше костыль. Его держат скорее из-за того, что народ к нему привык и прикипел душой.
     

  • 1.165, d0 (?), 19:02, 28/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне слабо верится, что будущие isp будут выдавать мне сетку, а не адрес, требуя деньги за каждый девайс.
    Как-то по работе нужые был для проверки кое-чего. Так для тестов сам нарисовал на nfqueue+python. Работал, натил.
    И вообще, откуда столько воплей? Не нравится - отключи. Хочется - включи. Полная свобода.
     
     
  • 2.183, Andrew Kolchoogin (?), 11:07, 29/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне слабо верится, что будущие isp будут выдавать мне сетку, а не
    > адрес, требуя деньги за каждый девайс.

    Придётся. IP v6 не умеет роутить адреса. Он меньше /64 роутить не умеет.

     
     
  • 3.211, nikos (??), 12:29, 07/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Мне слабо верится, что будущие isp будут выдавать мне сетку, а не
    >> адрес, требуя деньги за каждый девайс.
    > Придётся. IP v6 не умеет роутить адреса. Он меньше /64 роутить не
    > умеет.

    Ооой, мы  тут по незнанию запустили в клиента  12  адресов  /128  (: -   мы  все  умрем - да ?

     
  • 2.207, demon (??), 00:15, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У NAT в IPv4 тоже была благородная цель - расширить адресное пространоство. Но админы локалхоста решили, что это такой хитрый файрвол.
    Если и в IPv6 будет такая же фигня - то лучше вообще не делать реализацию  NAT для IPv6
     
     
  • 3.221, iZEN (ok), 14:28, 11/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > У NAT в IPv4 тоже была благородная цель - расширить адресное пространоство.
    > Но админы локалхоста решили, что это такой хитрый файрвол.
    > Если и в IPv6 будет такая же фигня - то лучше вообще не делать реализацию  NAT для IPv6

    А раз она уже сделана, значит IPv6 — такая же фигня, как IPv4. ;)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру