История изменений
Исправление KivApple, (текущая версия) :
Если правил файрвола нет, а адреса реальные, то ходи - не хочу.
Что значит правил файервола нет?
Если это покупной роутер, то дефолтные правила файервола вполне имеют место быть (тот же NAT в IPv4 роутерах без этого тоже не работал бы из коробки). Я не знаю как обстоят дела сейчас, но адекватный производитель бы по дефолту запретил форвардинг входящих коннектов из внешней сети и оставил бы интерфейс вроде того как сейчас пробрасывают порты через NAT, чтобы разрешить коннекты к отдельным клиентам. Только в отличии от IPv4 также возможна опция «разрешить все коннекты», но она должна быть по умолчанию выключена и если кто-то её включил, то он ССЗБ - точно также можно оставить заводской пароль от админки и выставить её во внешнюю сеть.
Если это самодельный Linux-роутер, то опять же без настроек оно работать не будет. Нужно поставить DHCP (даже если state-less - кто-то должен намекнуть клиентам, в какой они подсети), нужно включить ip_forward через sysctl - из коробки Linux ничего во внутреннюю сеть пропускать не будет. А раз так, то можно и файервол настроить (и в нормальном туториале это будет следующим шагом после проверки того, что форвардинг в принципе работает). Linux-роутеры должны настраивать квалифицированные специалисты, для всех остальных есть изкоробочные решения в ближайшем компьютерном магазине. Что значит «забыл»? Так можно поставить root пароль qwerty и поднять демон SSH без отключенной авторизацией по паролю. В этом тоже IPv4/IPv6 виноват?
Правильно настроенный файерволл (через всякие там демоны systemd/sysvinit, а не через самописные скрипты в rc.local и аналогах) не отваливается (iptables имеет очень хорошую обратную совместимость) и гарантированно применяется до любой попытки инициализировать любое сетевое подключение. Если же что-нибудь сломают в systemd, то система в принципе не загрузится (ибо есть куча юнитов посложнее iptables.service и они тоже отвалятся). Если что-нибудь сломают в sysctl (уже было однажды, слава systemd), то активируются дефолтные значения ip_forward. А дефолтное значение таково, что ничего никуда форвардиться не будет.
Так что при любом сбое (из-за обновления) в худшем случае сеть вообще перестанет работать, чтобы включился неконтролируемый форвардинг входящих коннектов в локалку надо быть полным идиотом. А полные идиоты должны не умничать, а покупать изкоробочные решения. Они именно для того и созданы, чтобы не нужно было читать тонны манов и копаться в консоли.
Исправление KivApple, :
Если правил файрвола нет, а адреса реальные, то ходи - не хочу.
Что значит правил файервола нет?
Если это покупной роутер, то дефолтные правила файервола вполне имеют место быть (тот же NAT в IPv4 роутерах без этого тоже не работал бы из коробки). Я не знаю как обстоят дела сейчас, но адекватный производитель бы по дефолту запретил форвардинг входящих коннектов из внешней сети и оставил бы интерфейс вроде того как сейчас пробрасывают порты через NAT, чтобы разрешить коннекты к отдельным клиентам. Только в отличии от IPv4 также возможна опция «разрешить все коннекты», но она должна быть по умолчанию выключена и если кто-то её включил, то он ССЗБ - точно также можно оставить заводской пароль от админки и выставить её во внешнюю сеть.
Если это самодельный Linux-роутер, то опять же без настроек оно работать не будет. Нужно поставить DHCP (даже если state-less - кто-то должен намекнуть клиентам, в какой они подсети), нужно включить ip_forward через sysctl - из коробки Linux ничего во внутреннюю сеть пропускать не будет. А раз так, то можно и файервол настроить. Linux-роутеры должны настраивать квалифицированные специалисты, для всех остальных есть изкоробочные решения в ближайшем компьютерном магазине. Что значит «забыл»? Так можно поставить root пароль qwerty и поднять демон SSH без отключенной авторизацией по паролю. В этом тоже IPv4/IPv6 виноват?
Правильно настроенный файерволл (через всякие там демоны systemd/sysvinit, а не через самописные скрипты в rc.local и аналогах) не отваливается (iptables имеет очень хорошую обратную совместимость) и гарантированно применяется до любой попытки инициализировать любое сетевое подключение. Если же что-нибудь сломают в systemd, то система в принципе не загрузится (ибо есть куча юнитов посложнее iptables.service и они тоже отвалятся). Если что-нибудь сломают в sysctl (уже было однажды, слава systemd), то активируются дефолтные значения ip_forward. А дефолтное значение таково, что ничего никуда форвардиться не будет.
Так что при любом сбое (из-за обновления) в худшем случае сеть вообще перестанет работать, чтобы включился неконтролируемый форвардинг входящих коннектов в локалку надо быть полным идиотом. А полные идиоты должны не умничать, а покупать изкоробочные решения. Они именно для того и созданы, чтобы не нужно было читать тонны манов и копаться в консоли.
Исправление KivApple, :
Если правил файрвола нет, а адреса реальные, то ходи - не хочу.
Что значит правил файервола нет?
Если это покупной роутер, то дефолтные правила файервола вполне имеют место быть (тот же NAT в IPv4 роутерах без этого тоже не работал бы из коробки). Я не знаю как обстоят дела сейчас, но адекватный производитель бы по дефолту запретил форвардинг входящих коннектов из внешней сети и оставил бы интерфейс вроде того как сейчас пробрасывают порты через NAT, чтобы разрешить коннекты к отдельным клиентам. Только в отличии от IPv4 также возможна опция «разрешить все коннекты», но она должна быть по умолчанию выключена и если кто-то её включил, то он ССЗБ - точно также можно оставить заводской пароль от админки и выставить её во внешнюю сеть.
Если это самодельный Linux-роутер, то опять же без настроек оно работать не будет. Нужно поставить DHCP (даже если state-less - кто-то должен намекнуть клиентам, в какой они подсети), нужно включить ip_forward через sysctl - из коробки Linux ничего во внутреннюю сеть пропускать не будет. А раз так, то можно и файервол настроить. Linux-роутеры должны настраивать квалифицированные специалисты, для всех остальных есть изкоробочные решения в ближайшем компьютерном магазине. Что значит «забыл»? Так можно поставить root пароль qwerty и поднять демон SSH без отключенной авторизацией по паролю. В этом тоже IPv4/IPv6 виноват?
Правильно настроенный файерволл (через всякие там демоны system.d/sysvinit, а не через самописные скрипты в rc.local и аналогах) не отваливается (iptables имеет очень хорошую обратную совместимость) и гарантированно применяется до любой попытки инициализировать любое сетевое подключение. Если же что-нибудь сломают в systemd, то система в принципе не загрузится (ибо есть куча юнитов посложнее iptables.service и они тоже отвалятся). Если что-нибудь сломают в sysctl (уже было однажды, слава systemd), то активируются дефолтные значения ip_forward. А дефолтное значение таково, что ничего никуда форвардиться не будет.
Так что при любом сбое (из-за обновления) в худшем случае сеть вообще перестанет работать, чтобы включился неконтролируемый форвардинг входящих коннектов в локалку надо быть полным идиотом. А полные идиоты должны не умничать, а покупать изкоробочные решения. Они именно для того и созданы, чтобы не нужно было чинать тонны манов и копаться в консоли.
Исходная версия KivApple, :
Если правил файрвола нет, а адреса реальные, то ходи - не хочу.
Что значит правил файервола нет?
Если это покупной роутер, то дефолтные правила файервола вполне имеют место быть (тот же NAT в IPv4 роутерах без этого тоже не работал бы из коробки). Я не знаю как обстоят дела сейчас, но адекватный производитель бы по дефолту запретил форвардинг входящих коннектов из внешней сети и оставил бы интерфейс вроде того как сейчас пробрасывают порты через NAT, чтобы разрешить коннекты к отдельным клиентам. Только в отличии от IPv4 также возможна опция «разрешить все коннекты», но она должна быть по умолчанию выключена и если кто-то её включил, то он ССЗБ - точно также можно оставить заводской пароль от админки и выставить её во внешнюю сеть.
Если это самодельный Linux-роутер, то опять же без настроек оно работать не будет. Нужно поставить DHCP (даже если state-less - кто-то должен намекнуть клиентам, в какой они подсети), нужно включить ip_forward через sysctl - из коробки Linux ничего во внутреннюю сеть пропускать не будет. А раз так, то можно и файервол настроить. Linux-роутеры должны настраивать квалифицированные специалисты, для всех остальных есть изкоробочные решения в ближайшем компьютерном магазине. Что значит «забыл»? Так можно поставить root пароль qwerty и поднять демон SSH без отключенной авторизацией по паролю. В этом тоже IPv4/IPv6 виноват?
Правильно настроенный файерволл (через всякие там демоны system.d/sysvinit, а не через самописные скрипты в rc.local и аналогах) не отваливается (iptables имеет очень хорошую обратную совместимость) и гарантированно применяется до любой попытки инициализировать любое сетевое подключение.