LINUX.ORG.RU
ФорумAdmin

Защита ip6

 


1

3

В связи последними событиями включили на раутере ип6, где родной, где 6то4 и т.д. И вот интересно, раньше НАТ давал доп.защиту для локальных устройств. А чем достигается доп. защита теперь ? Только фиреваллами локальных устройств что ли ?

★★★★★

Ответ на: комментарий от MrClon

Ну да или фиревалом того же раутера ... Просто с НАТ обычно наоборот нужно специально открывать что то, а тут нужно специально закрывать что то.

mx__ ★★★★★
() автор топика

Ты для начала подробно почитай о ipv6. Там найдешь ответ на свой вопрос.

ZeroNight
()

И вот интересно, раньше НАТ давал доп.защиту для локальных устройств. А чем достигается доп. защита теперь ?

А чем тебе NAT не угодил теперь?

AS ★★★★★
()
Ответ на: комментарий от mx__

Он не является необходимым, так как не нужно решать проблему нехватки адресов. Но сделать его можно. Говорят, что кто-то даже использует.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

Я использовал чтобы контейнеры LXC законнектить, когда им реальные адреса давать заколебёшься (/64 делить).

anonymous
()
Ответ на: комментарий от mx__

Зависит от политики файрволла по-умолчанию. У OpenWRT из коробки порты для устройств в LAN закрыты снаружи.

Pravorskyi ★★★
()

И вот интересно, раньше НАТ давал доп.защиту для локальных устройств.

Всегда умиляло сравнение NAT==Защита. Нет никакой защиты, NAT не для того. Запомните это!

Только фиреваллами локальных устройств что ли ?

Нет, так же как и с v4, на роутере прописываете правила. ip6tables вам в помощь.

anc ★★★★★
()
Ответ на: комментарий от i-rinat

Да они НАТом в ип6 называют маскарад одного адреса в один. Какой же это нафиг НАТ ? Это только для домохозяек можно назвать НАТом и не больше.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от anc

Все кто пишет про ип6таблес прошу не писать здесь, я про это в курсе и тема не много не про это.

mx__ ★★★★★
() автор топика
Ответ на: комментарий от mx__

Пока ты пишешь коверкая слова и значения, только таких ответов и жди. Что за дополнительная защита, тем более с помощью nat. Это просто трансляция адресов. Путать такой костыль с обычным файрволом... И чем отличается защита ip6 от ip4?

stave ★★★★★
()
Ответ на: комментарий от mx__

Да они НАТом в ип6 называют маскарад одного адреса в один.

Ну блина расскажите как же у меня это работает? Вот сцуко врот работает же.

ip6tables -t nat -A POSTROUTING -o $IFNAME  -j MASQUERADE

У вас одного шоли не робит?

anc ★★★★★
()
Ответ на: комментарий от mx__

Насколько я понял в ип6 нет никакого НАТа.

Это всё слухи. А не слухи - диапазон даже выделен под это дело приватный fc00::/7. То, что кто-то где-то v6 NAT не умеет, это вовсе не значит, что на данную технологию забили везде.

AS ★★★★★
()
Ответ на: комментарий от anc

Всегда умиляло сравнение NAT==Защита. Нет никакой защиты, NAT не для того. Запомните это!

Нет. И для этого тоже. Тоже рекомендую запомнить. :-)

AS ★★★★★
()
Ответ на: комментарий от anc

поддержу этого господина. НАТ - это однозначно не файрвол. просто у нас любят сваливать всё в кучу.

и ip6tables полностью решает все вопросы защиты. хоть локально, хоть глобально.

Iron_Bug ★★★★★
()
Ответ на: комментарий от anc

Кто сказал nftables ?

Это всё одно и то же. Строго-то говоря, это всё юзерспейс утилиты для управления одной и той же подсистемой NetFilter.

AS ★★★★★
()
Ответ на: комментарий от AS

Ну если только так рассматривать. Так и ipfw и ipchains под эту категорию подходят.

anc ★★★★★
()
Ответ на: комментарий от AS

Простите убогого, но объясните как трансляция адресов может выполнять функцию защиты? Только не надо про «до меня не доберутся из этого вашего интернета». Более того, dnat как раз может стать очень большой дырой в безопастности.

anc ★★★★★
()
Ответ на: комментарий от anc

Простите убогого, но объясните как трансляция адресов может выполнять функцию защиты?
Только не надо про «до меня не доберутся из этого вашего интернета»

А вот именно так и может. Именно «не доберутся», так как правила NAT вовсе могут отсутствовать для домашних устройств, которым не положено в Интернет. А правила для файрвола могут сломаться и не примениться. Опять же, с маскарадингом доступа к устройству снаружи нет совсем, если это устройство само никогда не лезет в сеть.

В общем, файрвол плох тем, что его надо настраивать, а NAT именно этим и хорош.

AS ★★★★★
()
Ответ на: комментарий от AS

Давайте предположим «соседей» без настроенного fw они что не смогут к вам попасть? Смогут.
А если говорить про v6, так напомню про ff02::1. Как пример, (я уже писал про это) у меня в ДС где-то у «соседей» есть открытые роутеры с дефолтными логин-пароль на v6. При этом v4 закрыт.
Возвращаемся к слову «защита» - NAT никак не защищает, не его это тема. Если хотя бы один соседский «Васян» сможет получить доступ к вашей локалке, то о защите можно забыть.
И вы поскипали мой комментарий про dnat, мало кто задумывается какую дырищу устраивают благодаря ему.

anc ★★★★★
()
Ответ на: комментарий от anc

Давайте предположим «соседей» без настроенного fw они что не смогут к вам попасть? Смогут.

При чём тут соседи? Вот есть рабочая сеть. Если правил файрвола нет, а адреса реальные, то ходи - не хочу. А вот если устройства на приватных IP, на них не попадёшь без ряда дополнительных условий.

у меня в ДС где-то у «соседей» есть открытые роутеры с дефолтными логин-пароль на v6. При этом v4 закрыт.

И что? Как это относится к NAT?

Если хотя бы один соседский «Васян» сможет получить доступ к вашей локалке, то о защите можно забыть.

А файрвол от этого защитит что ли?

И вы поскипали мой комментарий про dnat.

Да, так как это к делу не относится.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

При чём тут соседи? Вот есть рабочая сеть. Если правил файрвола нет, а адреса реальные, то ходи - не хочу. А вот если устройства на приватных IP, на них не попадёшь без ряда дополнительных условий.

Не поняли. Внешняя сеть ведь тоже существует. И можно прописать роутинг к внутренней сети через ваш внешний ip. Сеть подобрать не так уж и сложно.

И что? Как это относится к NAT?

Никак. Это только про то что fw должен быть.

А файрвол от этого защитит что ли?

Да, смотри выше.

Да, так как это к делу не относится.

Еще как относиться. Ведь речь про NAT вроде.
ЗЫ Походу вы отдыхаете :) Зная вас по другим темам, так бы не высказывались :)
Хорошего отдыха! (реально и без подколов)

anc ★★★★★
()
Ответ на: комментарий от anc

И можно прописать роутинг к внутренней сети через ваш внешний ip. Сеть подобрать не так уж и сложно.

Это надо уж совсем соседом быть, а это не у всех так. Многие операторы PPPoE используют, там /32 раздаётся. И где соседа искать (можно попробовать статическую ARP-таблицу замутить, но тут тоже только в пределах одного VLAN)? То есть, этот хак только оператору доступен. И даже с соседями - это не весь интернет с кучей ботов. И соседа отловить проще, в конце концов.

ЗЫ Походу вы отдыхаете :)

Не то, чтобы. Просто, к примеру, абонентские камеры за NAT хлопот не доставляют, а которые на реальных IP - только в путь. :-)

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Многие операторы PPPoE используют,

А многие и l2tp - «пчелы» маленькая контора? С сетью в 255.255.192.0 ? Вот теперь посчитаем «васянов» из этой сети.

И соседа отловить проще, в конце концов.

Когда поломали? Т.е. постфактум. Потрясающе! Ловите вора, когда он что-то уже украл
Мы вроде о защите говорили. А не преследовании «воров»

anc ★★★★★
()
Ответ на: комментарий от AS

Ну, если совсем точно, то NAT — это определённая технология, а MASQUERADING — один из элементов её реализации.

redgremlin ★★★★★
()
Ответ на: комментарий от AS

ЗЫ Просто повторюсь. Я не случайно про ff02::1 написал. Долбодятлов хватает. А работы поймать их на пять минут. Ладно я такой добрый, никого ломать не собираюсь, только ради развлечения знать/проверить что такие есть, но ведь могут быть и другие люди... кому скучно...и привет ботнет....

anc ★★★★★
()

Никогда не понимал эту манию закрывать порты фаерволами. Зачем на них вообще вешать то, что не хочется отдавать наружу? Защита того же уровня, что смена ssh-порта или запрет входа по паролю.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 2)
Ответ на: комментарий от anc

А многие и l2tp - «пчелы» маленькая контора?

Если Ростелеком + Эр-Телеком, да про провод? Да, «пчёлы» - маленькая контора. Их и не слышно, как проводных, даже против одного Эр-Телеком. Сотовые, да магистрал - это да.

А там по l2tp в каком виде всё раздаётся, кстати?

Вот теперь посчитаем «васянов» из этой сети.

Всё равно это частный случай.

Мы вроде о защите говорили. А не преследовании «воров»

Одно другое не исключает: одно дело если ты кому-то нужен, а совсем другое - это когда за тобой бот охотится, как за кем-то в массе. Боту шаманить с машрутизацией смысла нет. А охотиться за тобой из той же сети - это приключения искать. Тоже, как бы, ступень защиты.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Да, «пчёлы» - маленькая контора.

Нуу наверное они на вас могут и обидится, за такое сравнение :)

А там по l2tp в каком виде всё раздаётся, кстати?

Хм... как обычно... l2tp в чистом виде.

Одно другое не исключает: одно дело если ты кому-то нужен, а совсем другое - это когда за тобой бот охотится, как за кем-то в массе. Боту шаманить с машрутизацией смысла нет. А охотиться за тобой из той же сети - это приключения искать. Тоже, как бы, ступень защиты.

А если «васе» просто скучно? Ну вот реально. Посто скучно. И он вам «дарит» ботнет. Несложно же.

anc ★★★★★
()
Ответ на: комментарий от AS

Если правил файрвола нет, а адреса реальные, то ходи - не хочу.

Что значит правил файервола нет?

Если это покупной роутер, то дефолтные правила файервола вполне имеют место быть (тот же NAT в IPv4 роутерах без этого тоже не работал бы из коробки). Я не знаю как обстоят дела сейчас, но адекватный производитель бы по дефолту запретил форвардинг входящих коннектов из внешней сети и оставил бы интерфейс вроде того как сейчас пробрасывают порты через NAT, чтобы разрешить коннекты к отдельным клиентам. Только в отличии от IPv4 также возможна опция «разрешить все коннекты», но она должна быть по умолчанию выключена и если кто-то её включил, то он ССЗБ - точно также можно оставить заводской пароль от админки и выставить её во внешнюю сеть.

Если это самодельный Linux-роутер, то опять же без настроек оно работать не будет. Нужно поставить DHCP (даже если state-less - кто-то должен намекнуть клиентам, в какой они подсети), нужно включить ip_forward через sysctl - из коробки Linux ничего во внутреннюю сеть пропускать не будет. А раз так, то можно и файервол настроить (и в нормальном туториале это будет следующим шагом после проверки того, что форвардинг в принципе работает). Linux-роутеры должны настраивать квалифицированные специалисты, для всех остальных есть изкоробочные решения в ближайшем компьютерном магазине. Что значит «забыл»? Так можно поставить root пароль qwerty и поднять демон SSH без отключенной авторизацией по паролю. В этом тоже IPv4/IPv6 виноват?

Правильно настроенный файерволл (через всякие там демоны systemd/sysvinit, а не через самописные скрипты в rc.local и аналогах) не отваливается (iptables имеет очень хорошую обратную совместимость) и гарантированно применяется до любой попытки инициализировать любое сетевое подключение. Если же что-нибудь сломают в systemd, то система в принципе не загрузится (ибо есть куча юнитов посложнее iptables.service и они тоже отвалятся). Если что-нибудь сломают в sysctl (уже было однажды, слава systemd), то активируются дефолтные значения ip_forward. А дефолтное значение таково, что ничего никуда форвардиться не будет.

Так что при любом сбое (из-за обновления) в худшем случае сеть вообще перестанет работать, чтобы включился неконтролируемый форвардинг входящих коннектов в локалку надо быть полным идиотом. А полные идиоты должны не умничать, а покупать изкоробочные решения. Они именно для того и созданы, чтобы не нужно было читать тонны манов и копаться в консоли.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 3)
Ответ на: комментарий от Legioner

Когда у тебя дома компы с вендой, телевизоры, ip камеры и прочие дырявые вещи, то лучше из интернетов к ним никого не пускать.

redixin ★★★★
()
Ответ на: комментарий от anonymous

Чтобы на Linux заработал NAT (изкоробочные решения с завода содержат в себе файервол любой сложности в зависимости от модели) нужно написать одну команду sysctl и одну команду iptables.

Чтобы на Linux заработала раздача IPv6 интернета нужно написать одну команду sysctl и одну другую команду iptables.

В чём проблема? Количество действий абсолютно одинаково. Отличие только в том, что при IPv6 теоретически можно забить на вторую команду и получить дыру в безопасности.

В то же время NAT даёт только половинчатую защиту (то есть по-хорошему одной командой iptables не обойдёшься в первом случае), поскольку уязвим к атакам из локалки провайдера.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Очевидно, что NAT позволяет исключить саму возможность адресации тазиков, находящихся за шлюзом.
Т.о. даже если по каким-то причинам будет полностью отключен файервол, то достучаться до дырявых тазиков, сидящих за шлюзом, не получится.

anonymous
()
Ответ на: комментарий от anonymous

Очевидно, что NAT позволяет исключить саму возможность адресации тазиков, находящихся за шлюзом.

Совсем нет. Просто транслирует адрес шлюза и порты на нём в адреса компов за натом и порты на них. Т. о. благодаря нату из внешнего мира вся сеть видна как один комп, и это немного усложняет задачу взломщику. Но и только.

aureliano15 ★★
()
Ответ на: комментарий от aureliano15

Вот херню мне всякую не рассказывай, Кэп.
На открытые порты тазика ты через NAT не попадёш, если сам тазик не приложит к этому определённых усилий.

anonymous
()
Ответ на: комментарий от anonymous

На открытые порты тазика ты через NAT не попадёш, если сам тазик не приложит к этому определённых усилий.

Ну, если у тебя никакие серверы не смотрят в Интернет через НАТ и никакие клиенты не открывают соединения и не кидают никуда пакеты, то да. Но тогда проще отключить вай-фай, выдернуть витую пару или что там связывает тебя с внешним миром, и получишь абсолютную защиту от любых сетевых атак вообще безо всяких натов и файрволов. А если ещё и комп выключить, то и от уже установленных троянов тоже. Но мы же предполагаем, что компьютер подключён к Сети и активен в ней.

aureliano15 ★★
()
Ответ на: комментарий от aureliano15

Чувак, попробуй сначала настроить SIP на приём за NAT-ом, без STUN-ов и ICE-ов, а потом будешь кукарекать.

А то развелись вас тут, мамкиных хацкеров.

anonymous
()
Ответ на: комментарий от aureliano15

Вот реально же нихрена не понимаешь, как это всё работает.
Вот полез тазик в интернет, на Google, например. С чем ты будешь устанавливать соединение?

anonymous
()
Ответ на: комментарий от anonymous

Вот полез тазик в интернет, на Google, например. С чем ты будешь устанавливать соединение?

А потом перешёл на мой заражённый или кулхацкерский сайт. Тут-то я его и поймаю. Или ты на сайты не переходишь, а только кэш гугла просматриваешь?

Ну и в случае наличия сервера за натом проблема остаётся. Например, какой-нибудь sshd висит для удалённой работы. С помощью iptables ты можешь ограничить входящие соединения определённым диапазоном адресов, а с помощью ната — нет.

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

Я же не говорю, что НАТ вообще не помогает и нужен исключительно для экономии адресов. Но файрвол по-любому гибче и лучше защищает. А у ната перед ним только одно преимущество: сокрытие структуры твоей сети.

aureliano15 ★★
()
Ответ на: комментарий от aureliano15

Тут-то я его и поймаю.

И что ты сделаешь с его браузером?

Ну и в случае наличия сервера за натом проблема остаётся.

А ты ещё хочешь выставить голый зад в интернет и чтоб тебе в него не въехали? Нет это фантастика.

С помощью iptables ты можешь ограничить входящие соединения определённым диапазоном адресов,

А ты там почитай, что дяди-аноны выше пишут. А они пишут, что файервол ТОЖЕ необходим.
Мало того, помимо шлюза он необходим и на том тазике, который принимает какие-либо соединения из интернета.

И если сосед сломал твой вай-фай и подключился к твоей локальной сети, то нат от него тебя никак не защитит.

И файервол на шлюзе от этого тоже не спасёт. Трафик будут гонять просто по L2.

Я тебе повторяю, возьми и настрой SIP клиента, находящегося за NAT-ом, который может принимать звонки, без серверов, STUN-а, ICE-а или TURN-а. Тогда разговор будет предметным.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.