Айболит-66

[furrry]

Ну что, кто страдал без NAT в IPv6? Любой ваш каприз за ваши деньги. Встречайте: NAT66

P.S. "the IETF does not recommend the use of NAT"(c). Хоть кто-то меня поддерживает.

P.P.S. Раздел "Motivation" прекрасен:
"We are documenting NAT66 because we believe that some people will
choose to implement and deploy IPv6 NAT, in spite of our
recommendation not to do so.....Our goal is to define an IPv6-to-
IPv6 NAT mechanism, NAT66, that will minimize the negative impacts of
IPv6 NAT, in the event that some implementers do choose to implement
an IPv6 NAT mechanism, and some network administrators do choose to
deploy it."

Comments

[iskatel.livejournal.com]

Сети без NAT'а - это черт те что, а не сети.
Каждая кофеварка должна иметь внешний Ip, да ? нет уж, нафиг такое счастье.
Пока не придумают аналоги, будем так транслировать.

[furry.livejournal.com]

[хватается за голову] не, по N-ному разу я излагать не буду. Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне, не путайте NAT с безопасностью.

[iskatel.livejournal.com]

>>[хватается за голову] не, по N-ному разу я излагать не буду.

ну извини, мы тёмные.

>> Вкратце - да, таки у каждой кофеварки IP. И в приведенном стандарте наконец-то большими буквами написали - что и при NAT устройство доступно извне

За это надо прибивать.
Ничего, в Линуксе что-то да придумают.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?

[furry.livejournal.com]

>
>>[хватается за голову] не, по N-ному разу я излагать не буду.

>ну извини, мы тёмные.


Я просто именно в этом ЖЖ уже все пальцы стерла о клавиатуру, излагая свою точку зрения. Видимо, надо написать один раз и вывесить наверху.

>>не путайте NAT с безопасностью.

мне ли тебе объяснять, насколько прост и эффективен nat, и насколько сложнее организовать систему безопасной работы в сети, где у всех нешние ip?


Мне это объяснять не надо, ты меня все равно в этом не убедишь. NAT - не прост, не эффективен, не является мерой обеспечения безопасности, вредит работе сети и не упрощает никоим образом ничего - особоенно обеспечение безопасности.

Если ты хочешь продолжить дискуссию - дай знать, я сначала еще раз обобщу то, что я уже писала, дабы не повторять миллион раз.

[iskatel.livejournal.com]

Если будет время - обощи. ВДруг я пойму.
---------------
З.Ы. Не надо убеждать меня в том, что nat очень плох, например, как мера изоляции больших voip сетей. Были такие сети, с кучей шлюзов и ГК за Пиксом, и проблемы там тоже были.

[iskatel.livejournal.com]

Собственно, в большинстве случаев поставившие навороченный фарйволл, тот же Pix/asa, включают на нем nat и минимум прочих настроек безопасности - а что они будут делать без nat ? труба им будет..

[furry.livejournal.com]

Скажи, а что навело тебя на мысль, что NAT на PIX/ASA относится к "настройкам безопасности", а не к обеспечению работы компании, которой нужно экономить публичное адресное пространство?

[iskatel.livejournal.com]

Строго говоря - и то, и другое.
Публичный адрес ни 99% рабочих компов в конторах, ни более чем половине домашних устройств совершенно не нужен, даже при условии, что он будет бесплатным.
А вот запрет входящих соединений одним движением, и легкое ограничение исхода при том, что производится маскировка источника запроса (все через 1 ip ходят) - нужны.