Айболит-66
14 November 2008 20:21![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
Ну что, кто страдал без NAT в IPv6? Любой ваш каприз за ваши деньги. Встречайте: NAT66
P.S. "the IETF does not recommend the use of NAT"(c). Хоть кто-то меня поддерживает.
P.S. "the IETF does not recommend the use of NAT"(c). Хоть кто-то меня поддерживает.
P.P.S. Раздел "Motivation" прекрасен:
"We are documenting NAT66 because we believe that some people will
choose to implement and deploy IPv6 NAT, in spite of our
recommendation not to do so.....Our goal is to define an IPv6-to-
IPv6 NAT mechanism, NAT66, that will minimize the negative impacts of
IPv6 NAT, in the event that some implementers do choose to implement
an IPv6 NAT mechanism, and some network administrators do choose to
deploy it."
no subject
Date: 14 Nov 2008 17:43 (UTC)no subject
Date: 14 Nov 2008 17:50 (UTC)И вообще - ты бы слышал, как меня все убеждали неделю назад в необходимости и неизбежности NAT for IPv6
no subject
Date: 14 Nov 2008 17:53 (UTC)Покажи, а? А то я чего-то совсем выпал из ритма по понятным причинам.
no subject
Date: 14 Nov 2008 17:57 (UTC)no subject
Date: 14 Nov 2008 18:00 (UTC)no subject
Date: 14 Nov 2008 18:14 (UTC)Провайдер домашников и pptp туннель до пользователя.
Пользователь понятно хочет подключить кроме своего компа еще ноут жены, ноуты всех детей стиралку и все такое прочее
провайдер понятно не хочет с этим париться (или просто давать бесплатно)
Как быть?
Вот так просто аргументировали что нужен ipv6 nat
no subject
Date: 14 Nov 2008 18:35 (UTC)no subject
Date: 14 Nov 2008 18:42 (UTC)А в пользователях, которым нужна определенная и глубоко привычная функциональность.
А в стеке ipv6 об этом как то не задумались.
no subject
Date: 14 Nov 2008 18:46 (UTC)no subject
Date: 14 Nov 2008 19:22 (UTC)no subject
Date: 14 Nov 2008 20:15 (UTC)no subject
Date: 14 Nov 2008 20:15 (UTC)no subject
Date: 14 Nov 2008 18:47 (UTC)no subject
Date: 14 Nov 2008 19:25 (UTC)no subject
Date: 14 Nov 2008 20:22 (UTC)В году так 89 был фантастический рассказ в ЮТ. Там про модельера которого потащили на какую то планету разрабатывать устройство для полетах в условиях этой самой планеты.
То что разработали лучшие светлые умы человечества - компьютерщики и инженеры - мало годилось для массового потребителя - ибо было очень сложно и для избранных.
А модельер, ну никак не был замешан в этих игрищах и мало что понимал в инженерии - разработал работающее решение. И главное - простое !!!!!!
И еще. Помните развитие процессоров?
c 16-ти на 32 разрядную архитектуру перешли просто - добавив старшие 16 битов в регистры.
для 64-разрядной архитектуры стали уже мудрить. Куча математиков и кого то там еще. Родили ia64
Да, беспорно. Красиво. Лет 6-7 народ пытался как-то что то с этим сделать - да не шло. Сложно это. Затем AMD не долго думая еще расширила регистры и рынок это воспринял на УРА!
Так что ждем ipv6ng.
P.S.: Про эффект второй системы не зря на семинаре вспомнили
no subject
Date: 14 Nov 2008 20:30 (UTC)Называется как птицы в воде.
Айзек Азимов
http://lib.ru/FOUNDATION/11-63.txt
no subject
Date: 16 Nov 2008 09:03 (UTC)Думаю, тут будет так же.
no subject
Date: 14 Nov 2008 19:09 (UTC)Каждая кофеварка должна иметь внешний Ip, да ? нет уж, нафиг такое счастье.
Пока не придумают аналоги, будем так транслировать.
no subject
Date: 14 Nov 2008 19:12 (UTC)no subject
Date: 14 Nov 2008 19:16 (UTC)ну извини, мы тёмные.
>> Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне
За это надо прибивать.
Ничего, в Линуксе что-то да придумают.
>>не путайте NAT с безопасностью.
мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?
no subject
Date: 14 Nov 2008 19:20 (UTC)>>[хватается за голову] не, по N-ному разу я излагать не буду.
>ну извини, мы тёмные.
Я просто именно в этом ЖЖ уже все пальцы стерла о клавиатуру, излагая свою точку зрения. Видимо, надо написать один раз и вывесить наверху.
>>не путайте NAT с безопасностью.
мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?
Мне это объяснять не надо, ты меня все равно в этом не убедишь. NAT - не прост, не эффективен, не является мерой обеспечения безопасности, вредит работе сети и не упрощает никоим образом ничего - особоенно обеспечение безопасности.
Если ты хочешь продолжить дискуссию - дай знать, я сначала еще раз обобщу то, что я уже писала, дабы не повторять миллион раз.
no subject
Date: 14 Nov 2008 19:40 (UTC)---------------
З.Ы. Не надо убеждать меня в том, что nat очень плох, например, как мера изоляции больших voip сетей. Были такие сети, с кучей шлюзов и ГК за Пиксом, и проблемы там тоже были.
no subject
Date: 14 Nov 2008 19:18 (UTC)no subject
Date: 14 Nov 2008 19:22 (UTC)no subject
Date: 14 Nov 2008 19:38 (UTC)Публичный адрес ни 99% рабочих компов в конторах, ни более чем половине домашних устройств совершенно не нужен, даже при условии, что он будет бесплатным.
А вот запрет входящих соединений одним движением, и легкое ограничение исхода при том, что производится маскировка источника запроса (все через 1 ip ходят) - нужны.
no subject
Date: 14 Nov 2008 19:26 (UTC)no subject
Date: 14 Nov 2008 19:27 (UTC)no subject
Date: 14 Nov 2008 17:44 (UTC)no subject
Date: 14 Nov 2008 17:48 (UTC)Ура! NAT должен быть всегда !
Date: 14 Nov 2008 19:06 (UTC)Re: Ура! NAT должен быть всегда !
Date: 16 Nov 2008 00:31 (UTC)"Я - офицер ФСБ. И когда мне говорят, что ФСБ зомбирует своих сотрудников, я смеюсь до слёз. Хотя мне совсем не смешно. Но я не могу ничего с собой поделать"
Кажется, любители ната тоже просто не могут ничего с собой поделать.
Re: Ура! NAT должен быть всегда !
Date: 16 Nov 2008 09:01 (UTC)---
Да не заклинание это. Просто нет пока полноценной замены этому механизму.
Re: Ура! NAT должен быть всегда !
Date: 17 Nov 2008 15:45 (UTC)А то, что замены механизма нет - так и IPv6 ещё нет :) Но вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...
Re: Ура! NAT должен быть всегда !
Date: 17 Nov 2008 15:50 (UTC)>>вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...
Нет нормальных app-proxy под всеми ОС даже для наиболее массовых и важных протоколов. Так, http еще проксируют - а дальше всё.
Проблемы, порождаемые nat, мне прекрасно известны, но без него их будет сильно больше.
no subject
Date: 16 Nov 2008 00:34 (UTC)Для решения предложенной задачи в условиях end-to-end архитектуры нужны application proxies. А нат - чувство ложной защищённости.
no subject
Date: 18 Nov 2008 14:01 (UTC)расскажи чем современный нат принципиально в этом отличается от app proxy.
ему и так нужно всякие tcp пересобирать, при этом сделать нужную анонимизацию и рандомизацию -- уже совершенно фигня. а если учесть, что 99% всех натов сейчас это линукс, то новая фича пройдет очень быстро, если еще не.
100% верно
Date: 17 Nov 2008 15:52 (UTC)А от этого уважаемые гуру брезгливо отмахиваются.
Это провайдерам потом выслушивать потоки 'щщастья' от осчастливленных юзверей.
no subject
Date: 15 Nov 2008 00:03 (UTC)no subject
Date: 15 Nov 2008 22:11 (UTC)no subject
Date: 16 Nov 2008 08:28 (UTC)http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf
no subject
Date: 8 Dec 2008 10:10 (UTC)про Ваше мнение о псевдобезопасности ната и его непотребности в 6 я понял.
а что Вы думаете про такой известный плюс ната для любой частной сети, как возможность смены провайдера без перенастройки кучи всего внутри?
имхо, "каждому хосту - по вшешнему адресу" это будет хорошо только для mobile/residential, и то, когда ясный всем и простой ENUM и DDNS будут реализованы стандартно.
а вот энтерпрайз админы - первые, кто и к шестерке его прикрутят.
no subject
Date: 21 Dec 2008 01:24 (UTC)О да, с мультихоумингом есть некие трудности, факт..Навскидку мне приходят в голосу следующие соображения:
для кучи всего внутри - если это именно "внутри" и наружу ходить не должно - есть ULA. В допущении, что default address selection доведут до ума - всем будет счастье. "Внутри" у нас ULA, наружу мы ходим с Glbal IP, выделенных провайдером и получаемых через RA. То, что должно быть при этом доступно "снаружи" - и так потребует ренамберинга.
О, кстати, надо проверить - если современные стеки позволяют нам зафиксировать host ID - для любого сетевого префикса - то ренамберинг становится значительно менее болезненным - меняется только сеть.
Впрочем, я умубрилась провести два ренамберинга в LIR'е - и на второй раз кажется, что третий ренамьеринг проведем перловыми скриптами за выходные ;-))
no subject
Date: 21 Dec 2008 10:13 (UTC)из предисловия rfc4193 Unique Local IPv6 Unicast Addresses следует что оно вообще придумано с целью, чтоб никакого НАТа не было. и для isp и internet это несомненное благо.
а с шестерочным пространством адресов, действительно нат вырождается в трансляцию только net-id, что хорошо, но архитектурно жизнь не упростит.
вот это не понял
"современные стеки позволяют нам зафиксировать host ID - для любого сетевого префикса"