Devil&#39;s Advocate

Я надеюсь, что этот порн хотя бы не в standards track пойдет.

From:

Они же умыли руки - "мы, типа, против, но вы все равно сделаете - так хоть сделайте с наименьшими потерями.."

И вообще - ты бы слышал, как меня все убеждали неделю назад в необходимости и неизбежности NAT for IPv6

From:

> меня все убеждали неделю назад в необходимости и неизбежности NAT for IPv6

Покажи, а? А то я чего-то совсем выпал из ритма по понятным причинам.

From:

Показать пока не могу, ибо видео с мероприятия (http://uneex.ru/Events/IPv6) пока нет, хотя обещают.

From:

Начинаю еще больше жалеть, что пропустил.

From:

Там аргумент приводился простой
Провайдер домашников и pptp туннель до пользователя.
Пользователь понятно хочет подключить кроме своего компа еще ноут жены, ноуты всех детей стиралку и все такое прочее
провайдер понятно не хочет с этим париться (или просто давать бесплатно)
Как быть?
Вот так просто аргументировали что нужен ipv6 nat

From:

(пожимая плечами) у провайдера есть масса возможностей придумать и продавать сломанную услугу. на все воркэраундов не настандартизируешься. кривых воркэраундов, надо заметить.

From:

:) Здесь дело не в провайдерах.
А в пользователях, которым нужна определенная и глубоко привычная функциональность.
А в стеке ipv6 об этом как то не задумались.

From:

Привычная функциональность - это потрахаться с пробросом портов для торрентов, например? Да пожалуйста, для специальных извращенцев йоблю можно эмулировать на CPE. Стандартизовать для этого ничего не надо.

From:

Даня, скажи, ты еще не ощущаешь себя Дон Кихотом? Я - уже ;-)

From:

Я вот думаю, чтобы такое написать на майке, чтобы стало все понятно.

From:

:) С мной не спорьте. Это не я сказал. Я вообще в ipv6 ничего не понял :)

From:

Я бы даже сказал так: "привычную дисфункциональность".

From:

Ну да, все так привыкли держаться за этот костыль, что на предложение побегать - забиваются в угол и в ужасе машут руками, призывая во весь голос Святую Инквизицию ;-))

From:

Уже 10 лет человечество ждет когда же им дадут побегать на этих ходулях. А желающих все нет и нет. Только какие то энтузиасты
В году так 89 был фантастический рассказ в ЮТ. Там про модельера которого потащили на какую то планету разрабатывать устройство для полетах в условиях этой самой планеты.
То что разработали лучшие светлые умы человечества - компьютерщики и инженеры - мало годилось для массового потребителя - ибо было очень сложно и для избранных.

А модельер, ну никак не был замешан в этих игрищах и мало что понимал в инженерии - разработал работающее решение. И главное - простое !!!!!!

И еще. Помните развитие процессоров?

c 16-ти на 32 разрядную архитектуру перешли просто - добавив старшие 16 битов в регистры.
для 64-разрядной архитектуры стали уже мудрить. Куча математиков и кого то там еще. Родили ia64
Да, беспорно. Красиво. Лет 6-7 народ пытался как-то что то с этим сделать - да не шло. Сложно это. Затем AMD не долго думая еще расширила регистры и рынок это воспринял на УРА!

Так что ждем ipv6ng.

P.S.: Про эффект второй системы не зря на семинаре вспомнили

From:

ЮТ 1990 2-й номер. :)
Называется как птицы в воде.
Айзек Азимов
http://lib.ru/FOUNDATION/11-63.txt

From:

сравнение с процессорами очень в тему.
Думаю, тут будет так же.

From:

Сети без NAT'а - это черт те что, а не сети.
Каждая кофеварка должна иметь внешний Ip, да ? нет уж, нафиг такое счастье.
Пока не придумают аналоги, будем так транслировать.

From:

[хватается за голову] не, по N-ному разу я излагать не буду. Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне, не путайте NAT с безопасностью.

From:

>>[хватается за голову] не, по N-ному разу я излагать не буду.

ну извини, мы тёмные.

>> Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне

За это надо прибивать.
Ничего, в Линуксе что-то да придумают.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?

From:

>
>>[хватается за голову] не, по N-ному разу я излагать не буду.

>ну извини, мы тёмные.

Я просто именно в этом ЖЖ уже все пальцы стерла о клавиатуру, излагая свою точку зрения. Видимо, надо написать один раз и вывесить наверху.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?

Мне это объяснять не надо, ты меня все равно в этом не убедишь. NAT - не прост, не эффективен, не является мерой обеспечения безопасности, вредит работе сети и не упрощает никоим образом ничего - особоенно обеспечение безопасности.

Если ты хочешь продолжить дискуссию - дай знать, я сначала еще раз обобщу то, что я уже писала, дабы не повторять миллион раз.

From:

Если будет время - обощи. ВДруг я пойму.
---------------
З.Ы. Не надо убеждать меня в том, что nat очень плох, например, как мера изоляции больших voip сетей. Были такие сети, с кучей шлюзов и ГК за Пиксом, и проблемы там тоже были.

From:

Собственно, в большинстве случаев поставившие навороченный фарйволл, тот же Pix/asa, включают на нем nat и минимум прочих настроек безопасности - а что они будут делать без nat ? труба им будет..

From:

Скажи, а что навело тебя на мысль, что NAT на PIX/ASA относится к "настройкам безопасности", а не к обеспечению работы компании, которой нужно экономить публичное адресное пространство?

From:

Строго говоря - и то, и другое.
Публичный адрес ни 99% рабочих компов в конторах, ни более чем половине домашних устройств совершенно не нужен, даже при условии, что он будет бесплатным.
А вот запрет входящих соединений одним движением, и легкое ограничение исхода при том, что производится маскировка источника запроса (все через 1 ip ходят) - нужны.

From:

Знаешь, пусть лучше войдет так - со словами "MUST NOT perform port translation" ;-)

From:

...хотя, конечно, допущение про доступность битов с 49-ого по 64-й - сильное

From:

ex-ivlad.livejournal.com

неееееетттттт!!!111одинодинодин

From:

Мне приснилась двойка!

From:

NAT должен быть всегда. Как минимум до тех пор, пока не придумают адекватную замену - а её пока на горизонте не видно.

From:

semenyaka.livejournal.com

Я понял, что мне заклинание "нат должен быть всегда" напоминает. Вот этот анекдот:

"Я - офицер ФСБ. И когда мне говорят, что ФСБ зомбирует своих сотрудников, я смеюсь до слёз. Хотя мне совсем не смешно. Но я не могу ничего с собой поделать"

Кажется, любители ната тоже просто не могут ничего с собой поделать.

From:

За сравнение с ФСБ спасибо, улыбнулся.
---
Да не заклинание это. Просто нет пока полноценной замены этому механизму.

From:

semenyaka.livejournal.com

Ну, ФСБ там не по сути, просто к слову.
А то, что замены механизма нет - так и IPv6 ещё нет :) Но вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...

From:

IPv6 уже есть в некот. образовательных учреждениях, насколько я знаю. некот. провайдеры тестируют.

>>вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...

Нет нормальных app-proxy под всеми ОС даже для наиболее массовых и важных протоколов. Так, http еще проксируют - а дальше всё.
Проблемы, порождаемые nat, мне прекрасно известны, но без него их будет сильно больше.

(deleted comment)

From:

semenyaka.livejournal.com

Замечу в скобках, что статей из серии "как определить, кто и что за натом прячет" - в ассортименте.

Для решения предложенной задачи в условиях end-to-end архитектуры нужны application proxies. А нат - чувство ложной защищённости.

From:

http://users.livejournal.com/_slw/

этот ассортимент ассортиментен тоько на первый взгляд.

расскажи чем современный нат принципиально в этом отличается от app proxy.

ему и так нужно всякие tcp пересобирать, при этом сделать нужную анонимизацию и рандомизацию -- уже совершенно фигня. а если учесть, что 99% всех натов сейчас это линукс, то новая фича пройдет очень быстро, если еще не.

From:

>>А про IP-стек у прозводителей кофеварок?

А от этого уважаемые гуру брезгливо отмахиваются.
Это провайдерам потом выслушивать потоки 'щщастья' от осчастливленных юзверей.

From:

tarantul.livejournal.com

Мне кажется всем любителям ната пора выделиться в отдельный интернет. Изолированный. Дабы не загрязнять окружающую среду...

From:

http://habrahabr.ru/blogs/google/44647/#habracut

From:

Ну тогда уж лучше ссылаться на оригинал:
http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf

From:

tmin.livejournal.com

я тут случайно.
про Ваше мнение о псевдобезопасности ната и его непотребности в 6 я понял.

а что Вы думаете про такой известный плюс ната для любой частной сети, как возможность смены провайдера без перенастройки кучи всего внутри?

имхо, "каждому хосту - по вшешнему адресу" это будет хорошо только для mobile/residential, и то, когда ясный всем и простой ENUM и DDNS будут реализованы стандартно.

а вот энтерпрайз админы - первые, кто и к шестерке его прикрутят.

From: