Зачем нужен ip6?

http://lmgtfy.com/?s=d&q=ipv6

количество адресов четвертой версии ограничено, а учитывая что сейчас даже вибраторы имеют веб-интерфейс, то в скором времени адреса закончатся, если уже не.

Это я знаю. Я спрашиваю про конкретное использование уже сегодня.

Можно ли с помощью него решить задачу объединения локальных сетей в разных местах, которые имеют небелые адреса?

через vpn конечно можно

Сейчас полтора крупных провайдера в РФ ipv6 подсети позволяют настроить. У меням ipv6 трафик в разы превышает ipv4. Динамические, но можно к DDNS подцепить. Хотя, я предпочитаю tor HS.

На сколько я знаю нового функционала этот протокол не вносит.

Локалки без VPN объединять нельзя по соображениям безопасности.

Если ip не белый, то он не белый, а если белый, то белый.

С серого адреса получить белый можно. Без разницы какой версии, но шестой должно быть дешевле.

Один из главных популяризаторов ipv6 свернул свой проект. S**X, вроде. Писал, что цель достигнута.

Локалки без VPN объединять нельзя по соображениям безопасности.

Еще один считающий NAT мерой безопасности, понятно.

У всех должны быть белые адреса, по задумке и потому что почему бы, блин, и нет.

Разве я употребил слово NAT?

Я сказал что сидеть опой на муравейнике опасно, можно испортить муравейник...

Немного вносит. Что-то про юни/мультикасты, упрощение маршрутизации и структуры пакета, нормальная автоконфигурация. STCP под него делался, вроде, но не сильно привязан. Часть портировали обратно на ipv4.

Нет, если всем компам в локалках раздать ip6 адреса, они смогут общаться? Ведь уже есть ip6 маршрутизация в интернет? А на шифрование трафика можно наплевать.

Если провайдеры для обоих локалок умеют в IPv6, то да

Ведь уже есть ip6 маршрутизация в интернет?

если есть

Аналогично с ipv4. Для ipv6 можно такие же межсетевые экраны и nat, vpn, маршрутизацию сделать. IPv6 решает не проблему связанности, а количества адресов.

Можно ли с помощью него решить задачу объединения локальных сетей в разных местах, которые имеют небелые адреса?

Можно.

Нет, если всем компам в локалках раздать ip6 адреса, они смогут общаться?

Если у обеих сторон есть IPv6 связанность, смогут, конечно.

Можно, но не нужно, потому что есть более правильные способы, ipsec например.

ipv6 нужен чтобы каждой ссаной тряпки был свой адрес по которому её можно попинговать. Это сильно упрощает взаимодействие клиент-сервер, особенно по udp

ipsec не решает проблемы, что хосты в локалках остаются с небелыми адресами и произвольно обратится к ним из интернета нельзя. И вроде там надо отдельные гейты делать для клиентов с поддержкой разных версий протокола.

Ты определись, тебе локалки обьеденить или хосты в интернет выгнать.

если все хосты вылезут в интернет, они автоматически окажутся связанными.

Еще один считающий NAT мерой безопасности, понятно.

А чем это не мера безопасности? Свою часть работы нат вполне себе делает. И в IPv6 и нат есть, и диапазон приватных адресов тоже.

А чем это не мера безопасности?

Никакого отношения к безопасности он не имеет. Атаковать могут и из локальной сети, причем с гораздо большей вероятностью.

Никакого отношения к безопасности он не имеет.

Имеет самое прямое. Это просто вам с t184256 лапши кто-то на уши навешал, а вы повторяете. Ну, не вы одни, на самом деле.

Атаковать могут и из локальной сети, причем с гораздо большей вероятностью.

В локальной сети на порядки меньше источников возможной атаки. И файрвол, ровно так же, от этого не защищает.

В локальной сети на порядки меньше источников возможной атаки

Откуда это следует? Скажем nat делает провайдер, у которого тысячи клиентов. Предлагаешь всем доверять? Даже в твоей подконтрольной сети могут оказаться взломанные машины.

Скажем nat делает провайдер

Во-первых, не скажем. Речь про то, что подконтрольно лично тебе.

у которого тысячи клиентов.

Во-вторых, даже если скажем, тысячи, даже сотни тысяч, это это не сотни миллионов. Интенсивность брутфорса, например, снижается на порядки, плюс оператор брутфорсерам в своей сети может лично сделать замечание с занесением.

Даже в твоей подконтрольной сети могут оказаться взломанные машины.

В-третьих, файрвол тут чем поможет? Или речь про каждую, отдельно взятую, машину? Ну так про персональный файрвол вообще никто речи не ведёт, это совсем отдельный момент.

На занятиях про это говорили, что нат к безопасности отношения не имеет, она обеспечивается другим комплексом мер. Настройка пакетного фильтра туда входит.

На занятиях про это говорили, что нат к безопасности отношения не имеет, она обеспечивается другим комплексом мер.

Ну такие занятия. А на деле одно другого не исключает и вполне себе имеет.

Нас учили, что комплекс мер должен быть один и тот же, вне зависимости стоит сервер за нат, или смотрит прямо в интернет. Наверное это логично.

Свою часть работы = затруднить, но не предотвратить, установление нового соединения в случае stateful NAT, отсуствия нужной записи в таблице и отсутствия IPv6?

Тогда да, технически SNAT все же защищает от узенького класса атак. То же можно сказать, например, и о блокировании одного рандомного порта. На практике SNAT больше предает ложной уверенности в защищенности, нежели от чего-то защищает. Хвала современным уеб-технологиям, достаточно заманить тебя на правильную страницу, чтобы узнать твой внутренний IP или просканировать твою локалку изнутри. Достаточно твоему провайдеру вспомнить, что на дворе 21 век и выдать тебе IPv6-префикс, чтобы твоя локалочка оказалась у всего мира как на ладони.

NAT идеологически преступен, а в IPv6 еще и не нужен. DHCPv6, например, тоже есть, а вот нужность его много меньше таковой у старого DHCP.

Правильно вас учили, хвалю.

Роскомнадзор не умеет еще ip6 блокировать)

вне зависимости стоит сервер за

Вот. Речь про индивидуальную защиту сервера/хоста. Но есть ещё общая для всех граница сети, и там тоже не плохо что-то ставить.

Роскомнадзор не умеет еще ip6 блокировать

Уже умеет. Несколько месяцев как. Странно было бы всё ещё не уметь, раз такой шум пошёл. А за язык никто никого не тянул.

достаточно заманить тебя на правильную страницу

Ну иди, замани холодильник.

Когда холодильник будет торчать с голой жопой в интернете с прошивкой которая давно не обновляется и ещё какой-нибудь дырой в ней. То лучше тут будет хоть какой-то нат, чем ничего. Не думаю что кофеварка захочет хакнуть холодильник из-за того что заревнует хозяина.

Не думаю что кофеварка захочет хакнуть холодильник из-за того что заревнует хозяина.

SoT? Sex of Things?

Да откуда вы лезете! Заходишь в совершенно любой IPv6-тред и можно прямо ставки делать, сколько NAT-это-файрволл-людей туда прибежит.

Да откуда вы лезете!

Иди говsystemd занимайся и не суйся туда, где не понимаешь нихрена. А ещё читать научись на всякий случай.

Туда, где я нихрена не понимаю, я и не суюсь.

На внешний интерфейс твоего роутера никогда не прилетали пакеты с dst IP из RFC1918? Попробуй пологировать трафик, много нового узнаешь.

А чем грозит? Расскажи подробно. Все хомяки за натом сидят, братья вроде все ещё живы

Ничем не грозит. Но это не заслуга NAT. Просто в каждой консьюмерской железке рядом с NAT есть ещё и обычный stateful firewall, который делает всю работу.

К сожалению, многие этого не понимают и отождествляют оба понятия, а потом пытаются перенести свою вредительскую картину мира на IPv6.

P. S. Хамить будешь в другом месте.

Уже умеет.

Чтож, печально. Понятно.

На внешний интерфейс твоего роутера никогда не прилетали пакеты с dst IP из RFC1918?

На внешний интерфейс моего нет конечно. Но я понял, что ты хотел сказать.

Чтобы на внешний интерфейс клиентского роутра прилетели пакеты с dst IP из RFC1918 (кстати, этот RFC сейчас не полон), они должны лететь на MAC внешнего интерфейса из этой же ethernet-сети. А это всё очень близко и не всегда возможно. Либо я сам должен на клиента приватную сетку зароутить, что я делать, конечно же, не буду.

P. S. Хамить будешь в другом месте.

Так то ты первый начал, причём не зная, про что пишешь.

На внешний интерфейс моего нет конечно.

Вряд ли ты живёшь на работе. Очевидно, у тебя дома тоже есть какая-то сеть и какой-то роутер, и речь о нём.

Чтобы на внешний интерфейс клиентского роутра прилетели пакеты с dst IP из RFC1918 (кстати, этот RFC сейчас не полон), они должны лететь на MAC внешнего интерфейса из этой же ethernet-сети. А это всё очень близко и не всегда возможно

Да, такую атаку устроить сложнее, чем атаку на незащищённую клиентскую IPv6-подсеть, и тем не менее это регулярно случается. Но такие атаки не работают по одной простой причине, и по этой же причине никакой NAT в IPv6 не нужен.

P. S.

не зная, про что пишешь

Прекрасно знаю, о чём пишу. Попробуй продемонстрировать обратное.

Да, такую атаку устроить сложнее, чем атаку на незащищённую клиентскую IPv6-подсеть, и тем не менее это регулярно случается.

Расскажи, как это сделать в случае PPPoE, либо в случае подключения клиента в индивидуальный VLAN.

Но такие атаки не работают по одной простой причине, и по этой же причине никакой NAT в IPv6 не нужен.

Ну расскажи мне, как это не работает, когда ты файрвол случайно отключил. А если ты случайно отключишь нат... Ну, ты понял.

Нас учили

Где проходило обучение? Кто конкретно тебя учил? Фамилию, имя и отчество обучащего, пожалуйста, в студию.

Зачем его используют? Можно ли с помощью него решить задачу объединения локальных сетей в разных местах, которые имеют небелые адреса?

С помощью него весь мир в одной сети

Расскажи, как это сделать в случае PPPoE, либо в случае подключения клиента в индивидуальный VLAN.

Никак.

Ну расскажи мне, как это не работает, когда ты файрвол случайно отключил.

А ещё можно дверью яйца прищемить и всем рассказывать, что дверь неправильная.

А ещё можно дверью яйца прищемить и всем рассказывать, что дверь неправильная.

Ты представляешь количество пользователей в сети? Думаешь, все поголовно знают, что они делают?

прилетали пакеты с dst IP из RFC1918

мне очень интересно, а как они попадают на внешний интерфейс? По моим представлениям они не маршрутизируются в интернете.