Айболит-66

[furrry]

Ну что, кто страдал без NAT в IPv6? Любой ваш каприз за ваши деньги. Встречайте: NAT66

P.S. "the IETF does not recommend the use of NAT"(c). Хоть кто-то меня поддерживает.

P.P.S. Раздел "Motivation" прекрасен:
"We are documenting NAT66 because we believe that some people will
choose to implement and deploy IPv6 NAT, in spite of our
recommendation not to do so.....Our goal is to define an IPv6-to-
IPv6 NAT mechanism, NAT66, that will minimize the negative impacts of
IPv6 NAT, in the event that some implementers do choose to implement
an IPv6 NAT mechanism, and some network administrators do choose to
deploy it."

Comments

[dbg.livejournal.com]

Я надеюсь, что этот порн хотя бы не в standards track пойдет.

[furry.livejournal.com]

Они же умыли руки - "мы, типа, против, но вы все равно сделаете - так хоть сделайте с наименьшими потерями.."

И вообще - ты бы слышал, как меня все убеждали неделю назад в необходимости и неизбежности NAT for IPv6

[dbg.livejournal.com]

> меня все убеждали неделю назад в необходимости и неизбежности NAT for IPv6

Покажи, а? А то я чего-то совсем выпал из ритма по понятным причинам.

[furry.livejournal.com]

Показать пока не могу, ибо видео с мероприятия (http://uneex.ru/Events/IPv6) пока нет, хотя обещают.

[dbg.livejournal.com]

Начинаю еще больше жалеть, что пропустил.

[ru-pchel.livejournal.com]

Там аргумент приводился простой
Провайдер домашников и pptp туннель до пользователя.
Пользователь понятно хочет подключить кроме своего компа еще ноут жены, ноуты всех детей стиралку и все такое прочее
провайдер понятно не хочет с этим париться (или просто давать бесплатно)
Как быть?
Вот так просто аргументировали что нужен ipv6 nat

[dbg.livejournal.com]

(пожимая плечами) у провайдера есть масса возможностей придумать и продавать сломанную услугу. на все воркэраундов не настандартизируешься. кривых воркэраундов, надо заметить.

[ru-pchel.livejournal.com]

:) Здесь дело не в провайдерах.
А в пользователях, которым нужна определенная и глубоко привычная функциональность.
А в стеке ipv6 об этом как то не задумались.

[dbg.livejournal.com]

Привычная функциональность - это потрахаться с пробросом портов для торрентов, например? Да пожалуйста, для специальных извращенцев йоблю можно эмулировать на CPE. Стандартизовать для этого ничего не надо.

[furry.livejournal.com]

Даня, скажи, ты еще не ощущаешь себя Дон Кихотом? Я - уже ;-)

[dbg.livejournal.com]

Я вот думаю, чтобы такое написать на майке, чтобы стало все понятно.

[ru-pchel.livejournal.com]

:) С мной не спорьте. Это не я сказал. Я вообще в ipv6 ничего не понял :)

[dbg.livejournal.com]

Я бы даже сказал так: "привычную дисфункциональность".

[furry.livejournal.com]

Ну да, все так привыкли держаться за этот костыль, что на предложение побегать - забиваются в угол и в ужасе машут руками, призывая во весь голос Святую Инквизицию ;-))

[ru-pchel.livejournal.com]

Уже 10 лет человечество ждет когда же им дадут побегать на этих ходулях. А желающих все нет и нет. Только какие то энтузиасты
В году так 89 был фантастический рассказ в ЮТ. Там про модельера которого потащили на какую то планету разрабатывать устройство для полетах в условиях этой самой планеты.
То что разработали лучшие светлые умы человечества - компьютерщики и инженеры - мало годилось для массового потребителя - ибо было очень сложно и для избранных.

А модельер, ну никак не был замешан в этих игрищах и мало что понимал в инженерии - разработал работающее решение. И главное - простое !!!!!!

И еще. Помните развитие процессоров?

c 16-ти на 32 разрядную архитектуру перешли просто - добавив старшие 16 битов в регистры.
для 64-разрядной архитектуры стали уже мудрить. Куча математиков и кого то там еще. Родили ia64
Да, беспорно. Красиво. Лет 6-7 народ пытался как-то что то с этим сделать - да не шло. Сложно это. Затем AMD не долго думая еще расширила регистры и рынок это воспринял на УРА!

Так что ждем ipv6ng.

P.S.: Про эффект второй системы не зря на семинаре вспомнили

[ru-pchel.livejournal.com]

ЮТ 1990 2-й номер. :)
Называется как птицы в воде.
Айзек Азимов
http://lib.ru/FOUNDATION/11-63.txt

[iskatel.livejournal.com]

сравнение с процессорами очень в тему.
Думаю, тут будет так же.

[iskatel.livejournal.com]

Сети без NAT'а - это черт те что, а не сети.
Каждая кофеварка должна иметь внешний Ip, да ? нет уж, нафиг такое счастье.
Пока не придумают аналоги, будем так транслировать.

[furry.livejournal.com]

[хватается за голову] не, по N-ному разу я излагать не буду. Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне, не путайте NAT с безопасностью.

[iskatel.livejournal.com]

>>[хватается за голову] не, по N-ному разу я излагать не буду.

ну извини, мы тёмные.

>> Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне

За это надо прибивать.
Ничего, в Линуксе что-то да придумают.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?

[furry.livejournal.com]

>
>>[хватается за голову] не, по N-ному разу я излагать не буду.

>ну извини, мы тёмные.


Я просто именно в этом ЖЖ уже все пальцы стерла о клавиатуру, излагая свою точку зрения. Видимо, надо написать один раз и вывесить наверху.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?


Мне это объяснять не надо, ты меня все равно в этом не убедишь. NAT - не прост, не эффективен, не является мерой обеспечения безопасности, вредит работе сети и не упрощает никоим образом ничего - особоенно обеспечение безопасности.

Если ты хочешь продолжить дискуссию - дай знать, я сначала еще раз обобщу то, что я уже писала, дабы не повторять миллион раз.

[iskatel.livejournal.com]

Если будет время - обощи. ВДруг я пойму.
---------------
З.Ы. Не надо убеждать меня в том, что nat очень плох, например, как мера изоляции больших voip сетей. Были такие сети, с кучей шлюзов и ГК за Пиксом, и проблемы там тоже были.

[iskatel.livejournal.com]

Собственно, в большинстве случаев поставившие навороченный фарйволл, тот же Pix/asa, включают на нем nat и минимум прочих настроек безопасности - а что они будут делать без nat ? труба им будет..

[furry.livejournal.com]

Скажи, а что навело тебя на мысль, что NAT на PIX/ASA относится к "настройкам безопасности", а не к обеспечению работы компании, которой нужно экономить публичное адресное пространство?

[iskatel.livejournal.com]

Строго говоря - и то, и другое.
Публичный адрес ни 99% рабочих компов в конторах, ни более чем половине домашних устройств совершенно не нужен, даже при условии, что он будет бесплатным.
А вот запрет входящих соединений одним движением, и легкое ограничение исхода при том, что производится маскировка источника запроса (все через 1 ip ходят) - нужны.

[furry.livejournal.com]

Знаешь, пусть лучше войдет так - со словами "MUST NOT perform port translation" ;-)

[furry.livejournal.com]

...хотя, конечно, допущение про доступность битов с 49-ого по 64-й - сильное

[ex-ivlad.livejournal.com]

неееееетттттт!!!111одинодинодин

[furry.livejournal.com]

Мне приснилась двойка!

Ура! NAT должен быть всегда !

[iskatel.livejournal.com]

NAT должен быть всегда. Как минимум до тех пор, пока не придумают адекватную замену - а её пока на горизонте не видно.

Re: Ура! NAT должен быть всегда !

[semenyaka.livejournal.com]

Я понял, что мне заклинание "нат должен быть всегда" напоминает. Вот этот анекдот:

"Я - офицер ФСБ. И когда мне говорят, что ФСБ зомбирует своих сотрудников, я смеюсь до слёз. Хотя мне совсем не смешно. Но я не могу ничего с собой поделать"

Кажется, любители ната тоже просто не могут ничего с собой поделать.

Re: Ура! NAT должен быть всегда !

[iskatel.livejournal.com]

За сравнение с ФСБ спасибо, улыбнулся.
---
Да не заклинание это. Просто нет пока полноценной замены этому механизму.

Re: Ура! NAT должен быть всегда !

[semenyaka.livejournal.com]

Ну, ФСБ там не по сути, просто к слову.
А то, что замены механизма нет - так и IPv6 ещё нет :) Но вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...

Re: Ура! NAT должен быть всегда !

[iskatel.livejournal.com]

IPv6 уже есть в некот. образовательных учреждениях, насколько я знаю. некот. провайдеры тестируют.

>>вместо того, чтобы с умом потратить оставшееся время на app-proxy под нужные протоколы - придумывается троцкизм в виде NAT66...

Нет нормальных app-proxy под всеми ОС даже для наиболее массовых и важных протоколов. Так, http еще проксируют - а дальше всё.
Проблемы, порождаемые nat, мне прекрасно известны, но без него их будет сильно больше.

[semenyaka.livejournal.com]

Замечу в скобках, что статей из серии "как определить, кто и что за натом прячет" - в ассортименте.

Для решения предложенной задачи в условиях end-to-end архитектуры нужны application proxies. А нат - чувство ложной защищённости.

[http://users.livejournal.com/_slw/]

этот ассортимент ассортиментен тоько на первый взгляд.

расскажи чем современный нат принципиально в этом отличается от app proxy.

ему и так нужно всякие tcp пересобирать, при этом сделать нужную анонимизацию и рандомизацию -- уже совершенно фигня. а если учесть, что 99% всех натов сейчас это линукс, то новая фича пройдет очень быстро, если еще не.

100% верно

[iskatel.livejournal.com]

>>А про IP-стек у прозводителей кофеварок?

А от этого уважаемые гуру брезгливо отмахиваются.
Это провайдерам потом выслушивать потоки 'щщастья' от осчастливленных юзверей.

[tarantul.livejournal.com]

Мне кажется всем любителям ната пора выделиться в отдельный интернет. Изолированный. Дабы не загрязнять окружающую среду...

[ru-pchel.livejournal.com]

http://habrahabr.ru/blogs/google/44647/#habracut

[furry.livejournal.com]

Ну тогда уж лучше ссылаться на оригинал:
http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf

[tmin.livejournal.com]

я тут случайно.
про Ваше мнение о псевдобезопасности ната и его непотребности в 6 я понял.

а что Вы думаете про такой известный плюс ната для любой частной сети, как возможность смены провайдера без перенастройки кучи всего внутри?

имхо, "каждому хосту - по вшешнему адресу" это будет хорошо только для mobile/residential, и то, когда ясный всем и простой ENUM и DDNS будут реализованы стандартно.

а вот энтерпрайз админы - первые, кто и к шестерке его прикрутят.

[furry.livejournal.com]

Ой, sorry, коммент как-то потерялся в почте...
О да, с мультихоумингом есть некие трудности, факт..Навскидку мне приходят в голосу следующие соображения:
для кучи всего внутри - если это именно "внутри" и наружу ходить не должно - есть ULA. В допущении, что default address selection доведут до ума - всем будет счастье. "Внутри" у нас ULA, наружу мы ходим с Glbal IP, выделенных провайдером и получаемых через RA. То, что должно быть при этом доступно "снаружи" - и так потребует ренамберинга.

О, кстати, надо проверить - если современные стеки позволяют нам зафиксировать host ID - для любого сетевого префикса - то ренамберинг становится значительно менее болезненным - меняется только сеть.

Впрочем, я умубрилась провести два ренамберинга в LIR'е - и на второй раз кажется, что третий ренамьеринг проведем перловыми скриптами за выходные ;-))

[tmin.livejournal.com]

надо сказать, наверное, что я тупой ccie, родом из ентерпрайзов, не более того, и вся isp кухня и осмысленный bgp уже за рамками моего понимания. то, что надо было, я к экзамену заучивал, но практическая применимость всего, что к v6 по мере развития прикручивают, ускользает. ну, не пользуюсь и не помню нихрена.

из предисловия rfc4193 Unique Local IPv6 Unicast Addresses следует что оно вообще придумано с целью, чтоб никакого НАТа не было. и для isp и internet это несомненное благо.
а с шестерочным пространством адресов, действительно нат вырождается в трансляцию только net-id, что хорошо, но архитектурно жизнь не упростит.

вот это не понял
"современные стеки позволяют нам зафиксировать host ID - для любого сетевого префикса"