Представлен черновик IPv8

Назначаете у себя адреса из fc00::/7 с любой длиной префикса, котрый можете маршрутизировать или транслировать только явно — ничем не отличается от «серых» v4.

Так я что - спорю что ли? Разговор же не о том что локальные адреса в IPv6 невозможны. Технически они естественно возможны. Хотя к используемому по умолчанию методу из присвоения есть вопросы, см.выше что я про MAC писал. То есть это тоже нуждается в ручной перенастройке.

И NAT в IPv6 тоже технически возможен. Я лишь возражаю тем кто утверждает что он не нужен и якобы надо выдавать глобально маршрутизируемые адреса всем устройствам подряд, безотносительно реальной их надобности. Именно эту идею продвигают производители прошивок некоторых продаваемых роутеров. Там если руками не запретишь - они готовы раздать глобальные адреса каждому пылесосу. И это поведение опять надо вручную перенастараивать. То есть пользователю от IPv6 больше неудобств чем какого-то профита, возникающего в весьма небольшом числе случаев.

Даже упомянутая выше интернет-телефония обычно использует asterisk (или что-то аналогичное проприетарное), и внешние соединения происходят только к этому телефонному серверу, а не к каждому рабочему месту в сети. Тем более что местная телефония должна оставаться работающей вне зависимости от наличия соединения с интернетом. Кстати, к видеонаблюдению это тоже применимо.

NAT в v6 очень редко решает настоящие задачи и чаще парирует ошибки в архитектуре сети.

Задача скрытия внутренней структуры сети решается NATом всегда. Задача создания собственного независимого от провайдеров адресного пространства - тоже всегда. Внутри сети пользуемся локальными адресами, наружу транслируем во внешний(-ие). Как вы совершенно правильно сказали - это не зависит от IPv4 или IPv6.

Но и случаи с не то чтобы ошибками, а неоптимальностью структуры сети тоже бывают. Сети крупнее домашней обычно растут эволюционно, в течении многих лет, и заранее предсказать будущее чтобы сразу спроектировать сеть идеально - это нужна очень высокая квалификация и опыт админа прямо на старте проекта. Не факт что у небольшого начинающего предприятия такой админ сразу найдется.

Что же касается домашних сетей то я вообще с трудом могу хотябы умозрительно изобрести случай когда мне бы не хватило ОДНОГО белого IP адреса на входном роутере (в предположении что этот роутер сделан из какого-нибудь одноплатного компа на линуксе). В своей сети я бы в любом случае стал использовать статически назначаемые локальные адреса, что IPv4, что IPv6 - без разницы. Ну разве что v4 адреса удобнее запоминать. Основная проблема в том, что от большинства провайдеров не получить хотябы один доступный снаружи адрес. Причем это опять малозависимо от IPv4 или IPv6. Даже там где v6 дают - оно снаружи не работает или работает неполноценно. Если к примеру ssh или веб-сервер можно перевесить на тот порт на который соединения снаружи проходят, то например с почтовиком такое не проделать потому что другие почтовые сервера будут всё равно обращаться на стандартный порт. И мне даже бывали известны случаи когда провайдер выдавал белый v4 адрес (за деньги!) а почтовые порты на нем всё равно не работали. Правда это лет двадцать назад было.

Я лишь возражаю тем кто утверждает что он не нужен и якобы надо выдавать глобально маршрутизируемые адреса всем устройствам подряд, безотносительно реальной их надобности.

Вы свои анекдотические и воображаемые случаи натягиваете на общую практику и распространяете мифы.

Security through obscurity даже обсуждать всерьёз не будем.

Но почему то как это кто-то сделал на практике не попадалось.

Можно подумать, те кто этим занимаются будут всем рассказывать как именно и что они там раскопали чтобы спереть очередные гигабайты конфиденциальных данных. Однако факт что данные у разных компаний воруют много и регулярно. И ботнетов из вломанных устройств меньше тоже не становится.

В качестве аналогии - я еще помню времена когда даже в городах двери в квартирах были фанерные. А сейчас железные двери ставят даже те у кого казалось бы и воровать-то нечего.

Учёные не такие дураки.

А потом программирование ради программирования...

Именно эту идею продвигают производители прошивок некоторых продаваемых роутеров. Там если руками не запретишь - они готовы раздать глобальные адреса каждому пылесосу.

И что? Эти роутеры же не идиоты делают, и там по умолчанию фильтруются входящие подключения к адресам за роутером. Так что наоборот, руками открывается что надо, а не закрывается.

NAT это треш и костыль, придуманный, чтобы оттянуть переход на версию IP протокола, где адресов хватит всем. Бабки жмотят на обновление оборудование и настройку сети, и бабки рубят на продаже IP поштучно)

Задача создания собственного независимого от провайдеров адресного пространства - тоже всегда. Внутри сети пользуемся локальными адресами, наружу транслируем во внешний(-ие).

Нет. IPv6 поддерживает несколько адресов у одного линка, так что транслировать ничего не обязательно. Локальный адрес остаётся всё тем же локальным адресом, меняется только внешний.

LLA можно просканировать на соседей

и считают что стало ваааще защищенно

А местные «телепаты» уже считали их мысли и «знают», кто и что «считает».... :)

Но им и в голову не приходит, что это может делаться по каким-то другим причинам...

чуть сложнее :), как и найти ssh на 65502 порту :) но давно уже не актуально, ибо сколь помню даже в nmap встроена такая возможность.
это не защита и прятание ключика от замка под коврик.

опять же никто не запрещает не давать глобальные ipv6 адреса устройствам и использовать для связи ULA или LLA ipv6-адреса, с этих адресов «наружу» можно будет выйти только по NAT. NAT в ipv6 не запрещен. коль сильно уверен в правильности сей технологии - пользуйся.
но это не защита, это прикрывание занавеской двери :)

вдиать не застал :) было одно время рекомендация выносить ssh на сторонний порт «для защиты от сканирования» :)

локальные адреса в ipv6 есть смотри феррум-диапазон fe80:: :)

Это линк-локал, а не локальные адреса (которые fc00::/7).

Нет. IPv6 поддерживает несколько адресов у одного линка,

Это не ipv6 поддерживает а операционная система. От ipv6 для этого никакой поддержки не требуется. Так же как и для натов.

меняется только внешний.

Суть в том что внешнему незачем меняться, ему незачем даже существовать, он просто не нужен.

вдиать не застал :) было одно время рекомендация выносить ssh на сторонний порт «для защиты от сканирования» :)

Вполне нормальная рекомендация, если у тебя вообще ssh открыт наружу, количество спама в логах сильно уменьшается.

давно уже нет… сканеры слишком умные давно :)

одни тут полгода долбили ssh, с кучи адресов… потом вродеб успокоились.

нужен защита внутренней сети - ставь запрет на входящие пакеты.
и разрешай только то что нужно.
защита будет абсолютной.
нужен защищенный доступ внутрь сети ставь порт/пинг-кнокинг.

Суть в том что внешнему незачем меняться, ему незачем даже существовать, он просто не нужен.

Если внешний адрес не существует, тогда и NAT не нужен, так как ничто никуда не транслируется. Если же внешний адрес существует, то тогда его можно присвоить конкретному линку.

В чем воображаемость желания сделать невидимой снаружи внутреннюю структуру своей локальной сети? В чем воображаемость желания иметь постоянную независимую от провайдера адресацию в ней же? Если лично вам это не надо - не значит что этого не хотят другие люди.

Security through obscurity даже обсуждать всерьёз не будем.

И напрасно. Ибо это ОДИН ИЗ методов. Да, на него нельзя полагаться как на ЕДИНСТВЕННЫЙ, но в комплекте с другими он вполне полезен. Будь оно не так - не было бы закрытого софта. Это не говоря о например отсутствии либо труднодоступности схем всяких электронных устройств, где открытость это вообще довольно редкое исключение.

нужна скрытность внутренней структуры сети - не раздавай глобальные ипв6 на роутере. никто сие не запрещает. и делай всё по старинке.

Вместо того чтобы спорить проведи хотя бы опыт - сравни количество логов за месяц на 22 порту и на каком-нить 57587, подняв на обоих ssh без файрволла. В первом случае их будет сильно больше.

Чего? Есть внутренний адрес для локалки, никак не связанный с интернетом. Есть нат, который может опционально пробрасывать на него коннекты из интернета, подключающиеся к определённому внешнему адресу и порту. Устройство про внешний адрес ничего не знает, нат от него эти ненужные подробности прячет.

вполне верю что будет меньше, ибо в приоритете первые 1024 порта, они системные !! :) но и старшие порты отлично сканят.
коль нравится - используй. но это не защита, а ИБД… занавеска на двери…

ну а логи, коль их много, надо уже обработчика заводить и настраивать парсинг, статистики, и прочую автоматическую обработку.

Эти роутеры же не идиоты делают, и там по умолчанию фильтруются входящие подключения к адресам за роутером.

Но как правило не фильтруются ИСХОДЯЩИЕ соединения. В результате стиральная машина может накачать гигабайты трафика. Реальный случай кстати, в новостях было пару лет назад - качала себе обновление прошивки и никак не могла скачать. А также любое устройство может стучать на своего владельца кому угодно. Например в сети была [заблюреная] фотка хозяйки на унитазе, которую сделал и отослал ее робот-пылесос. Телевизоры, стучащие правоторговцам на тему просмотра «пиратского» контента тоже уже были. Да, пока это всё же случаи довольно экзотические. А вот например окирпичивание всяких девайсов в процессе автоматического апгрейда - вовсе не редкость. Или урезание функций в новых версиях прошивок, как это с смарт-телевизорами уже случалось.

Потому я и говорю, что выдача глобально машрутизируемых адресов всем подряд устройствам - это зло.

NAT это треш и костыль, придуманный, чтобы оттянуть переход на версию IP протокола, где адресов хватит всем.

Как выше уже написали, изначально NAT был придуман для разрешения конфликтов адресации при объединении разных сетей. Для получения бабла его уже позже провайдеры стали использовать. Самое же главное, что NAT позволяет использовать в локальной сети локальную независимую от провайдеров адресацию и лишь при необходимости транслировать ее в «провайдерозависимую» только там и тогда когда это действительно необходимо.

Ну и плюс нежелание людей выставлять на всеобщее обозрение потроха своей локальной сети. Хотябы даже из тех же соображений приватности что люди вешают на окна шторы и жалюзи если напротив близко чужие окна находятся. И видеокамеры на каждом столбе тоже очень у многих восторга не вызывают.

Вот для уменьшения спама это и используют, это тоже называется защитой. О том, что это непреодолимая преграда от взлома, никто вроде и не заявлял.

транслировать ничего не обязательно.

Никто и не говорит что обязательно. Можно вообще все свои домашние устройства голой попой в интернет выставить - тоже никто не запрещает. Но если хочется некоторой ПРИВАТНОСТИ то лучше бы глобально маршрутизируемые адреса в своей сети не раздавать за исключением случаев когда это действительно необходимо. А вот случаев такой необходимости - крайне мало. В абсолютном большинстве случаев достаточно ровно ОДНОГО внешнего адреса - на роутере. В случае IPv6 можно и несколько адресов на одном внешнем интерфейсе роутера иметь, что покрывает вообще все мыслимые потребности.

и даже в случае троянского коня в сети ipv4 c nat тебя не спасет :) предположу во всех описанных случаях аккурат ипв4 с натом и использовался.
и наличие (или отсутствие) глобально маршрутизируемых адресов в таком варианте до лампочки. троян работает изнутри.

а вот то что обыватель весьма глуп в технических вопросах сложных устройств это уже глобальный вопрос, оно такое везде… что жаль.
но «это другое»…

достаточно дефолтного правила не роутить «ничего в сеть» и «ничего из сети» и потом доделывать правила «пустить ноут наружу».
но это сложно.
виндовозники вон до сих пор плачутся что теперича нельзя сделать беспарольного пользователя. ну привыкли они так и так действительно проще :) мы за них говорим ??

найти ssh на 65502 порту :) но давно уже не актуально, ибо сколь помню даже в nmap встроена такая возможность

Теперь прикиньте сколько надо времени чтобы проверить 22 порт у нескольких десятков хостов и сколько надо чтобы проверить все порты до 65502 у тех же десятков хостов.

было одно время рекомендация выносить ssh на сторонний порт «для защиты от сканирования»

Немного не то сканирование имелось в виду. Это защита от полчищ ботов, которые ломятся именно на 22 порт по вышеуказанной причине. Если бы бот сканировал все порты до 65502 - его производительность стала бы дико низкой.

это не защита, это прикрывание занавеской двери

Так я уже несколько раз написал что NAT это не замена файрвола. Тем не менее определенную степень ПРИВАТНОСТИ он обеспечивает - вот как раз как та самая занавеска, которую нередко вешают на межкомнатную дверь с прозрачным стеклом. Не всем нравится когда любому проходящему мимо по коридору видно как он переодевается. Хотя казалось бы кто там чего не видел. Но вот - большинству неприятно. При этом существуют и всякие нудисты, которым пофиг, но они всё же в меньшинстве.

никто не запрещает не давать глобальные ipv6 адреса устройствам

Понятно что не запрещают. Но при этом находится много тех кто агитирует глобальные адреса бесконтрольно раздавать. Хуже всего то, что эти «агитаторы» встречаются среди авторов прошивок роутеров где это не отключено по умолчанию. Чуть ли не здесь на ЛОРе человек писал как подключил себе IPv6, роутер раздал глобальные адреса в его домашнюю локалку, в которой был довольно старый но сильно брендовый NAS-файлопомойка. Он радостно схватил себе IPv6 адрес и тут же полез обновляться, в результате чего и окирпичился. Очевидно что сам по себе IPv6 протокол тут не виноват, а виноват производитель роутера, оставивший по умолчанию включенной раздачу глобальных адресов в локальную сеть и не запретивший исходящие соединения с них.

локальные адреса в ipv6 есть

Можно подумать я не знаю. Я говорил о том что выступаю против бесконтрольной раздачи глобальных адресов в локальную сеть. И эта моя позиция не зависит от того какие это адреса. v4 я тоже без очень крайней необходимости внутрь сети раздавать не стану.

внешнему незачем меняться, ему незачем даже существовать, он просто не нужен.

Внешний адрес нужен только если действительно требуются обращения снаружи. Причем для домашней сети хватит одного - на роутере. Опять же безотносительно - v4 или v6

Чуть ли не здесь на ЛОРе человек писал как подключил себе IPv6, роутер раздал глобальные адреса в его домашнюю локалку, в которой был довольно старый но сильно брендовый NAS-файлопомойка. Он радостно схватил себе IPv6 адрес и тут же полез обновляться, в результате чего и окирпичился. Очевидно что сам по себе IPv6 протокол тут не виноват, а виноват производитель роутера, оставивший по умолчанию включенной раздачу глобальных адресов в локальную сеть и не запретивший исходящие соединения с них.

Эти ваши анекдоты удручающе однообразные. Как и во всех остальных выше, устройство так же подключится к Интернету в подавляющем числе домашних сетей IPv4 с NAT.

Даже вашем примере NAT ничего не решает, имеет значение только фаервол. Q.E.D.

нужна скрытность внутренней структуры сети - не раздавай глобальные ипв6 на роутере

Так я именно об этом и говорю. И не раздаю. Но вот авторы прошивок некоторых роутеров оставляют раздачу глобальных адресов включенной по умолчанию. И это плохо.

Теперь прикиньте сколько надо времени чтобы проверить 22 порт у нескольких десятков хостов и сколько надо чтобы проверить все порты до 65502 у тех же десятков хостов.

чуть немножко дольше :) о том и говорю.
при скоростях современных сетей, параллельной работе на современных компах где имеются гигабайты памяти и десятки ядер и т.д. опрашивать десятки хостов по тыщщам портов одновременно… это вообще не нагрузка :)
это «Имитация Бурной Деятельности», это занавеска на двери… все равно просканят.

во времена толстого эзернета по коаксиналу на 10мбс с одним ядром и памятью размером с гулькин нос это еще имело значение…

пардон подскажите, кто сведущ, какое ограничение сейчас в ядре на количество открытых tcp-соединений ?? дефолтное и максимальное.

производитель балансирует между защитой и удобством %) иначе никак
к примеру вводим правило «запрет всего и разрешение только по команде оператора» и весь мир обывателей взвоет: теперь чтобы другу дать вайфай на телефон надо кроме пароля еще и лезть в роутер и давать разрешение на выход в тырнет для этого устройства СЛОЖНААААА !!!

в случае троянского коня в сети ipv4 c nat тебя не спасет

Мне не придет в голову открывать nat для стиральной машины или пылесоса. Не обязательно же писать правило вида «транслируем всё для всех».

достаточно дефолтного правила не роутить «ничего в сеть» и «ничего из сети»

Вот и скажите это авторам прошивок некоторых роутеров, у которых второй половины этого правила по умолчанию нет.

А также возникает вопрос: если мы не роутим ничего лишнего в сеть и не роутим ничего лишнего из сети - то зачем тогда давать глобальный адрес стиральной машине или пылесосу? Чтобы что? Чтобы в случае человеческой ошибки в настройке правил им было проще в интернет вылезти?

а вот то что обыватель весьма глуп в технических вопросах сложных устройств это уже глобальный вопрос

И это надо учитывать. Также как существуют всякие мероприятия по технике безопасности, заранее ориентированые на то что пользователь потенциально опасных вещей именно глуп. Вон в современную электророзетку даже скрепку хрен засунешь:)

виндовозники вон до сих пор плачутся что теперича нельзя сделать беспарольного пользователя. ну привыкли они так и так действительно проще

Смысл пароля как способа аутентификации юзера на рабочем месте довольно давно уже утерян. Ибо если пароль может запомнить человек - то он слишком прост для автоматического подбора. А если пароль сложный и трудноподбираемый - то он быстро оказывается на приклееной к монитору бумажке. Или как вариант - на бумажке с обратной стороны клавиатуры. Там где не хватает административных методов ограничения доступа (физически в помещение с компами например) - надо использовать какие-либо варианты электронных ключей,карточек и тому подобных носителей.

Эти ваши анекдоты удручающе однообразные.

Так и инциденты удручающе однообразные. Не я же их придумываю.

Даже вашем примере NAT ничего не решает

Возможно вы не знаете, что NAT бывает не только вида «транслируем всё для всех», а с конкретными правилами что и для кого. И естественно, необходимость файрвола никто не отменял. Но разговор-то был не об этом, а о нужности выдачи глобальных адресов стиральным машинам, пылесосам и телевизорам. Если у нас и так выход наружу закрыт файрволом - то зачем они этим устройствам? Чтобы в случае человеческой ошибки в написании правил файрвола им было легче в интернет вылезти? Ну или из интернета в них залезть.

Мне не придет в голову открывать nat для стиральной машины или пылесоса. Не обязательно же писать правило вида «транслируем всё для всех».

«nat наружу» по дефолту открыт для всех локальных адресов на всех ipv4 роутерах, насколь мне известно конечно же…
«что ты на это скажешь Илон Маск» :) так что это не защита.

Смысл пароля как способа аутентификации юзера на рабочем месте

смысл просты пароля для входа на комп на рабочем месте в том что для подбора пароля надо получить физический доступ к онном компу, а это сложно :)
сетевые подключения, которые быстро можно просканить и быстро подобрать пароль, эффективно закрываются большими ключами.

опрашивать десятки хостов по тыщщам портов одновременно… это вообще не нагрузка

Это не нагрузка, это ВРЕМЯ. При правильной настройке файрвола в случае обращения к неиспользуемому порту в ответ не придет ничего и сканирующий бот будет вынужден ждать какой-то таймаут. Вот из этих таймаутов время сканирования и складывается.

это занавеска на двери… все равно просканят.

Практика показывает что сервисы на нестандартных портах сканят очень намного меньше.

производитель балансирует между защитой и удобством %) иначе никак

Это общая проблема абсолютно всех мероприятий по технике безопасности. Тем не менее постепенно безопасные решения продавливаются. Вон telnet на ssh с ключами заменили же. И в smtp добавили столько всего что теперь свой почтовик настроить и содержать стало ну очень неудобно. Чуть что не так - и отправляемые с него письма валятся в спам на всяких гуглопочтах.

теперь чтобы другу дать вайфай на телефон надо кроме пароля еще и лезть в роутер и давать разрешение на выход в тырнет для этого устройства СЛОЖНААААА

Значит надо сделать чтобы по вводу пароля давалось временное разрешение на выход в интернет для этого устройства. Причем может быть еще и с ограничением например только на веб-страницы но ничего более.

Раздавать внешние адреса или нет не зависит от NAT'а. Он нужен лишь для той специфической ситуации, когда тебе нужны подключения извне, но при этом ты не хочешь давать отдельный внешний адрес той машине, к которой пойдут подключения. Но это странный юзкейс.

«nat наружу» по дефолту открыт для всех локальных адресов на всех роутерах

И я также не вижу в этом ничего хорошего как и в выдаче глобальных адресов всему подряд. Если что-то сделано плохо/криво - это совершенно не значит что и другое надо делать плохо.

смысл просты пароля для входа на комп на рабочем месте в том что для подбора пароля надо получить физический доступ к онном компу

Если физический доступ к компу хорошо ограничен то желание виндовых юзеров не набирать каждый раз [примитивный] пароль - вполне разумно. Ибо этот пароль ни от чего не защищает, а только мешает. А если ограничения физического доступа нет то пароль не спасёт так как обычный человек не способен запомнить достаточно сложные пароли.

когда тебе нужны подключения извне

Если нужны подключения изнутри наружу то тоже требуется NAT.

ты не хочешь давать отдельный внешний адрес той машине, к которой пойдут подключения. Но это странный юзкейс.

Вполне возможный если внутренняя сеть сложнее чем единственный сегмент eternet с единственным коммутатором. Например та машина может находиться в другом подразделении, подключенном сюда через туннель. Да, решение кривое, но в случае например слияния предприятий (и их сетей соответственно) - не такое уж редкое. Раньше там собственный выход в интернет был, теперь все ходят через один который в центральном офисе.

И я также не вижу в этом ничего хорошего как и в выдаче глобальных адресов всему подряд. Если что-то сделано плохо/криво - это совершенно не значит что и другое надо делать плохо.

но он есть !! (с) ДМБ.

ipv6 есть технология, которая решает проблемы ipv4.
а не универсальная дырка для всех хаккиров тырнета.
дырки к сожалению идут от глупостей и хотелок обывателя а они универсальны что для ipv4 что для ipv6…
что для ipv8 :) кстати давайте не офтопничать.

Это не нагрузка, это ВРЕМЯ.

послать одновременно 65535 * 10 хостов =~ 650 тыщ пакетов SYN и подождать секунд эдак десять ACK это не время :)

Значит надо сделать чтобы по вводу пароля давалось временное разрешение на выход в интернет для этого устройства. Причем может быть еще и с ограничением например только на веб-страницы но ничего более.

и да, самая главная проблема «делать», а потом еще и объяснять обывателю зачем так сложно сделали :) нельзя ли простую кнопошку «сделать все хорошо»

надо сделать чтобы по вводу пароля давалось временное разрешение на выход в интернет для этого устройства.

А потом разделывать обратно, так как робопылесос не может прочитать настройки из облака и не включается.

Нынче столько всякого, что без Интернета не работает или работает в очень урезанном режиме.

А если принципиально не давать доступ бытовой технике, так достаточно DHCP поднять без указания шлюза.

временное разрешение на выход в интернет

Это разрешение всегда заканчивается в самый неподходящий момент.

А если принципиально не давать доступ бытовой технике

Ты всё упорствуешь в покупке зондов вместо нормальных товаров. Бытовой технике вообще никакая сеть не нужна.

но это не защита

Ну так а никто, кроме тебя, и не называл тут это «защитой»...

ну а логи, коль их много, надо уже обработчика заводить и настраивать парсинг, статистики, и прочую автоматическую обработку

Только вот чем поможет тебе «автоматическая обработка» логов при кратном разрастании занимаемого ими места на диске при «выставлении» SSH «наружу» на «стандартном» порте 22?? Ничем же...

А вот если его «вывесить», скажем, на порт 22222 ;), объём логов сильно уменьшается... А место на диске, как правило, ограничено и занимать его этим мусором как-то жалко....

Бытовой технике вообще никакая сеть не нужна

А это смотря что относить к «бытовой технике»... ;))

неа, ни в коем случае не называл защитой :) это не защита, это ИБД - иммитацией бурной деятельности, «бессмысленная и беспощадная», это ровно также как прикрыть занавесочкой открытую дверь или вынести ssh на 65502 :) да, слехка замедлит вскрытие, но один фих ИБД :)

и про объем логов тож ИБД :) если объем логов для твоего разумения сильно много, прикручивай автоматизацию, как минимум дропание допустимых ситуаций и т.д. но это сложна муторно и долго.

То есть, ты мне вместо так называемой (тобой, что характерно) «ИБД» предлагаешь заняться откровенным «самообладанием», то есть - откровенным «онанизмом», тратя на моём сервере моё время на так милое твоему сЭРЦУ «сложна муторно и долго» вместо того, что мне реально нужно сделать...

Не, «внах!» такую «автоматизацию» в версии «онанизмизация». :)

Не буду я такой дурью маяться, когда простая смена «стандартного» порта SSH снижает размер логов до приемлемого...

неа, ни в коем случае не называл защитой :)

Ну, не буквально, но...

для примера это похоже на «филькину защиту» когда sshd вешают не на 22 на какойнить иной порт и считают что стало ваааще защищенно.

Представлен черновик IPv8 (комментарий)

Ещё раз, цель переноса ssh на другой порт - снизить размер логов. И эту задачу перенос прекрасно выполняет. Всякие имитации деятельности, «защиты от вскрытия» итд - это твои фантазии, которые ты сам придумал и сам теперь с ними споришь.

Ещё раз, цель переноса ssh на другой порт - снизить размер логов. И эту задачу перенос прекрасно выполняет.

Причём это самый простой из всех доступных способов.

А чел почему-то и зачем-то настойчиво предлагает наиболее затратный, по его же признанию. Но все все же тут такие мазохисты, чтобы предпочитать настойчиво предлагаемую им «автоматизацию», которая, по его же словам, «сложна муторно и долго», простому изменению номера порта - секундному делу, никаких дополнительных затрат времени и сил не требующему, но нужный результат дающему... :)

Безо всякой хлопотной и трудозатратной «автоматизации», что важно. :))

Всякие имитации деятельности, «защиты от вскрытия» итд - это твои фантазии, которые ты сам придумал и сам теперь с ними споришь.

«Прости им, ибо не ведают, что творят»... :))

Используй ipv6 и логи будут ещё чище, так как это ещё более нестандартно, чем перенести порт.

Используй ipv6 и логи будут ещё чище

Сам используй, а меня «люди не поймут», которым тоже доступ нужен...

так как это ещё более нестандартно, чем перенести порт

Что за бред?? Это стандартная настройка порта в «конфиге» ssh. RTFM...:))

так просвети нас современными данными а то я примитивно по whois'ил и там даже на мин /24 для AS большинство их никто не дробил