furrry: (cisco)
[personal profile] furrry
Ну что, кто страдал без NAT в IPv6? Любой ваш каприз за ваши деньги. Встречайте: NAT66

P.S. "the IETF does not recommend the use of NAT"(c). Хоть кто-то меня поддерживает.


P.P.S. Раздел "Motivation" прекрасен:
"We are documenting NAT66 because we believe that some people will
choose to implement and deploy IPv6 NAT, in spite of our
recommendation not to do so.....Our goal is to define an IPv6-to-
IPv6 NAT mechanism, NAT66, that will minimize the negative impacts of
IPv6 NAT, in the event that some implementers do choose to implement
an IPv6 NAT mechanism, and some network administrators do choose to
deploy it."

Date: 14 Nov 2008 17:43 (UTC)
From: [identity profile] dbg.livejournal.com
Я надеюсь, что этот порн хотя бы не в standards track пойдет.

Date: 14 Nov 2008 17:50 (UTC)
From: [identity profile] furry.livejournal.com
Они же умыли руки - "мы, типа, против, но вы все равно сделаете - так хоть сделайте с наименьшими потерями.."

И вообще - ты бы слышал, как меня все убеждали неделю назад в необходимости и неизбежности NAT for IPv6

Date: 14 Nov 2008 17:53 (UTC)
From: [identity profile] dbg.livejournal.com
> меня все убеждали неделю назад в необходимости и неизбежности NAT for IPv6

Покажи, а? А то я чего-то совсем выпал из ритма по понятным причинам.

Date: 14 Nov 2008 17:57 (UTC)
From: [identity profile] furry.livejournal.com
Показать пока не могу, ибо видео с мероприятия (http://uneex.ru/Events/IPv6) пока нет, хотя обещают.

Date: 14 Nov 2008 18:00 (UTC)
From: [identity profile] dbg.livejournal.com
Начинаю еще больше жалеть, что пропустил.

Date: 14 Nov 2008 18:14 (UTC)
From: [identity profile] ru-pchel.livejournal.com
Там аргумент приводился простой
Провайдер домашников и pptp туннель до пользователя.
Пользователь понятно хочет подключить кроме своего компа еще ноут жены, ноуты всех детей стиралку и все такое прочее
провайдер понятно не хочет с этим париться (или просто давать бесплатно)
Как быть?
Вот так просто аргументировали что нужен ipv6 nat

Date: 14 Nov 2008 18:35 (UTC)
From: [identity profile] dbg.livejournal.com
(пожимая плечами) у провайдера есть масса возможностей придумать и продавать сломанную услугу. на все воркэраундов не настандартизируешься. кривых воркэраундов, надо заметить.

Date: 14 Nov 2008 18:42 (UTC)
From: [identity profile] ru-pchel.livejournal.com
:) Здесь дело не в провайдерах.
А в пользователях, которым нужна определенная и глубоко привычная функциональность.
А в стеке ipv6 об этом как то не задумались.

Date: 14 Nov 2008 18:46 (UTC)
From: [identity profile] dbg.livejournal.com
Привычная функциональность - это потрахаться с пробросом портов для торрентов, например? Да пожалуйста, для специальных извращенцев йоблю можно эмулировать на CPE. Стандартизовать для этого ничего не надо.

Date: 14 Nov 2008 19:22 (UTC)
From: [identity profile] furry.livejournal.com
Даня, скажи, ты еще не ощущаешь себя Дон Кихотом? Я - уже ;-)

Date: 14 Nov 2008 20:15 (UTC)
From: [identity profile] dbg.livejournal.com
Я вот думаю, чтобы такое написать на майке, чтобы стало все понятно.

Date: 14 Nov 2008 20:15 (UTC)
From: [identity profile] ru-pchel.livejournal.com
:) С мной не спорьте. Это не я сказал. Я вообще в ipv6 ничего не понял :)

Date: 14 Nov 2008 18:47 (UTC)
From: [identity profile] dbg.livejournal.com
Я бы даже сказал так: "привычную дисфункциональность".

Date: 14 Nov 2008 19:25 (UTC)
From: [identity profile] furry.livejournal.com
Ну да, все так привыкли держаться за этот костыль, что на предложение побегать - забиваются в угол и в ужасе машут руками, призывая во весь голос Святую Инквизицию ;-))

Date: 14 Nov 2008 20:22 (UTC)
From: [identity profile] ru-pchel.livejournal.com
Уже 10 лет человечество ждет когда же им дадут побегать на этих ходулях. А желающих все нет и нет. Только какие то энтузиасты
В году так 89 был фантастический рассказ в ЮТ. Там про модельера которого потащили на какую то планету разрабатывать устройство для полетах в условиях этой самой планеты.
То что разработали лучшие светлые умы человечества - компьютерщики и инженеры - мало годилось для массового потребителя - ибо было очень сложно и для избранных.

А модельер, ну никак не был замешан в этих игрищах и мало что понимал в инженерии - разработал работающее решение. И главное - простое !!!!!!

И еще. Помните развитие процессоров?

c 16-ти на 32 разрядную архитектуру перешли просто - добавив старшие 16 битов в регистры.
для 64-разрядной архитектуры стали уже мудрить. Куча математиков и кого то там еще. Родили ia64
Да, беспорно. Красиво. Лет 6-7 народ пытался как-то что то с этим сделать - да не шло. Сложно это. Затем AMD не долго думая еще расширила регистры и рынок это воспринял на УРА!

Так что ждем ipv6ng.

P.S.: Про эффект второй системы не зря на семинаре вспомнили

Date: 14 Nov 2008 20:30 (UTC)
From: [identity profile] ru-pchel.livejournal.com
ЮТ 1990 2-й номер. :)
Называется как птицы в воде.
Айзек Азимов
http://lib.ru/FOUNDATION/11-63.txt

Date: 16 Nov 2008 09:03 (UTC)
From: [identity profile] iskatel.livejournal.com
сравнение с процессорами очень в тему.
Думаю, тут будет так же.

Date: 14 Nov 2008 19:09 (UTC)
From: [identity profile] iskatel.livejournal.com
Сети без NAT'а - это черт те что, а не сети.
Каждая кофеварка должна иметь внешний Ip, да ? нет уж, нафиг такое счастье.
Пока не придумают аналоги, будем так транслировать.

Date: 14 Nov 2008 19:12 (UTC)
From: [identity profile] furry.livejournal.com
[хватается за голову] не, по N-ному разу я излагать не буду. Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне, не путайте NAT с безопасностью.

Date: 14 Nov 2008 19:16 (UTC)
From: [identity profile] iskatel.livejournal.com
>>[хватается за голову] не, по N-ному разу я излагать не буду.

ну извини, мы тёмные.

>> Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне

За это надо прибивать.
Ничего, в Линуксе что-то да придумают.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?

Date: 14 Nov 2008 19:20 (UTC)
From: [identity profile] furry.livejournal.com
>
>>[хватается за голову] не, по N-ному разу я излагать не буду.

>ну извини, мы тёмные.


Я просто именно в этом ЖЖ уже все пальцы стерла о клавиатуру, излагая свою точку зрения. Видимо, надо написать один раз и вывесить наверху.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?


Мне это объяснять не надо, ты меня все равно в этом не убедишь. NAT - не прост, не эффективен, не является мерой обеспечения безопасности, вредит работе сети и не упрощает никоим образом ничего - особоенно обеспечение безопасности.

Если ты хочешь продолжить дискуссию - дай знать, я сначала еще раз обобщу то, что я уже писала, дабы не повторять миллион раз.

Date: 14 Nov 2008 19:40 (UTC)
From: [identity profile] iskatel.livejournal.com
Если будет время - обощи. ВДруг я пойму.
---------------
З.Ы. Не надо убеждать меня в том, что nat очень плох, например, как мера изоляции больших voip сетей. Были такие сети, с кучей шлюзов и ГК за Пиксом, и проблемы там тоже были.

Date: 14 Nov 2008 19:18 (UTC)
From: [identity profile] iskatel.livejournal.com
Собственно, в большинстве случаев поставившие навороченный фарйволл, тот же Pix/asa, включают на нем nat и минимум прочих настроек безопасности - а что они будут делать без nat ? труба им будет..

Date: 14 Nov 2008 19:22 (UTC)
From: [identity profile] furry.livejournal.com
Скажи, а что навело тебя на мысль, что NAT на PIX/ASA относится к "настройкам безопасности", а не к обеспечению работы компании, которой нужно экономить публичное адресное пространство?

Date: 14 Nov 2008 19:38 (UTC)
From: [identity profile] iskatel.livejournal.com
Строго говоря - и то, и другое.
Публичный адрес ни 99% рабочих компов в конторах, ни более чем половине домашних устройств совершенно не нужен, даже при условии, что он будет бесплатным.
А вот запрет входящих соединений одним движением, и легкое ограничение исхода при том, что производится маскировка источника запроса (все через 1 ip ходят) - нужны.

Date: 14 Nov 2008 19:26 (UTC)
From: [identity profile] furry.livejournal.com
Знаешь, пусть лучше войдет так - со словами "MUST NOT perform port translation" ;-)

Date: 14 Nov 2008 19:27 (UTC)
From: [identity profile] furry.livejournal.com
...хотя, конечно, допущение про доступность битов с 49-ого по 64-й - сильное

Date: 14 Nov 2008 17:44 (UTC)
From: [identity profile] ex-ivlad.livejournal.com
неееееетттттт!!!111одинодинодин

Date: 14 Nov 2008 17:48 (UTC)
From: [identity profile] furry.livejournal.com
Мне приснилась двойка!
From: [identity profile] iskatel.livejournal.com
NAT должен быть всегда. Как минимум до тех пор, пока не придумают адекватную замену - а её пока на горизонте не видно.
From: [identity profile] semenyaka.livejournal.com
Я понял, что мне заклинание "нат должен быть всегда" напоминает. Вот этот анекдот:

"Я - офицер ФСБ. И когда мне говорят, что ФСБ зомбирует своих сотрудников, я смеюсь до слёз. Хотя мне совсем не смешно. Но я не могу ничего с собой поделать"

Кажется, любители ната тоже просто не могут ничего с собой поделать.
From: [identity profile] iskatel.livejournal.com
За сравнение с ФСБ спасибо, улыбнулся.
---
Да не заклинание это. Просто нет пока полноценной замены этому механизму.
From: [identity profile] semenyaka.livejournal.com
Ну, ФСБ там не по сути, просто к слову.
А то, что замены механизма нет - так и IPv6 ещё нет :) Но вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...
From: [identity profile] iskatel.livejournal.com
IPv6 уже есть в некот. образовательных учреждениях, насколько я знаю. некот. провайдеры тестируют.

>>вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...

Нет нормальных app-proxy под всеми ОС даже для наиболее массовых и важных протоколов. Так, http еще проксируют - а дальше всё.
Проблемы, порождаемые nat, мне прекрасно известны, но без него их будет сильно больше.
(deleted comment)

Date: 16 Nov 2008 00:34 (UTC)
From: [identity profile] semenyaka.livejournal.com
Замечу в скобках, что статей из серии "как определить, кто и что за натом прячет" - в ассортименте.

Для решения предложенной задачи в условиях end-to-end архитектуры нужны application proxies. А нат - чувство ложной защищённости.

Date: 18 Nov 2008 14:01 (UTC)
From: [identity profile] http://users.livejournal.com/_slw/
этот ассортимент ассортиментен тоько на первый взгляд.

расскажи чем современный нат принципиально в этом отличается от app proxy.

ему и так нужно всякие tcp пересобирать, при этом сделать нужную анонимизацию и рандомизацию -- уже совершенно фигня. а если учесть, что 99% всех натов сейчас это линукс, то новая фича пройдет очень быстро, если еще не.

100% верно

Date: 17 Nov 2008 15:52 (UTC)
From: [identity profile] iskatel.livejournal.com
>>А про IP-стек у прозводителей кофеварок?

А от этого уважаемые гуру брезгливо отмахиваются.
Это провайдерам потом выслушивать потоки 'щщастья' от осчастливленных юзверей.

Date: 15 Nov 2008 00:03 (UTC)
From: [identity profile] tarantul.livejournal.com
Мне кажется всем любителям ната пора выделиться в отдельный интернет. Изолированный. Дабы не загрязнять окружающую среду...

Date: 15 Nov 2008 22:11 (UTC)
From: [identity profile] ru-pchel.livejournal.com
http://habrahabr.ru/blogs/google/44647/#habracut

Date: 16 Nov 2008 08:28 (UTC)
From: [identity profile] furry.livejournal.com
Ну тогда уж лучше ссылаться на оригинал:
http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf

Date: 8 Dec 2008 10:10 (UTC)
From: [identity profile] tmin.livejournal.com
я тут случайно.
про Ваше мнение о псевдобезопасности ната и его непотребности в 6 я понял.

а что Вы думаете про такой известный плюс ната для любой частной сети, как возможность смены провайдера без перенастройки кучи всего внутри?

имхо, "каждому хосту - по вшешнему адресу" это будет хорошо только для mobile/residential, и то, когда ясный всем и простой ENUM и DDNS будут реализованы стандартно.

а вот энтерпрайз админы - первые, кто и к шестерке его прикрутят.

Date: 21 Dec 2008 01:24 (UTC)
From: [identity profile] furry.livejournal.com
Ой, sorry, коммент как-то потерялся в почте...
О да, с мультихоумингом есть некие трудности, факт..Навскидку мне приходят в голосу следующие соображения:
для кучи всего внутри - если это именно "внутри" и наружу ходить не должно - есть ULA. В допущении, что default address selection доведут до ума - всем будет счастье. "Внутри" у нас ULA, наружу мы ходим с Glbal IP, выделенных провайдером и получаемых через RA. То, что должно быть при этом доступно "снаружи" - и так потребует ренамберинга.

О, кстати, надо проверить - если современные стеки позволяют нам зафиксировать host ID - для любого сетевого префикса - то ренамберинг становится значительно менее болезненным - меняется только сеть.

Впрочем, я умубрилась провести два ренамберинга в LIR'е - и на второй раз кажется, что третий ренамьеринг проведем перловыми скриптами за выходные ;-))

Date: 21 Dec 2008 10:13 (UTC)
From: [identity profile] tmin.livejournal.com
надо сказать, наверное, что я тупой ccie, родом из ентерпрайзов, не более того, и вся isp кухня и осмысленный bgp уже за рамками моего понимания. то, что надо было, я к экзамену заучивал, но практическая применимость всего, что к v6 по мере развития прикручивают, ускользает. ну, не пользуюсь и не помню нихрена.

из предисловия rfc4193 Unique Local IPv6 Unicast Addresses следует что оно вообще придумано с целью, чтоб никакого НАТа не было. и для isp и internet это несомненное благо.
а с шестерочным пространством адресов, действительно нат вырождается в трансляцию только net-id, что хорошо, но архитектурно жизнь не упростит.

вот это не понял
"современные стеки позволяют нам зафиксировать host ID - для любого сетевого префикса"

Profile

furrry: (Default)
Jen

June 2023

S M T W T F S
    123
45678910
11 121314151617
18192021222324
252627282930 

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated 17 June 2025 00:05
Powered by Dreamwidth Studios