Evropě došly IPv4 adresy

http://www.lupa.cz/zpravicky/evrope-dosly-ipv4-adr esy/

Zdroj: http://www.lupa.cz/zpravicky/evrope-dosly-ipv4-adresy/

Jsou zobrazeny jen nové komentáře. Zobrazit všechny

Předmět	Autor	Datum
Můj (lokální) provider problém nemá, veřejnou IPv4 dává každému. Dotazem na něj jsem zjistil, že na… L-Core 15.09.2012 17:11	L-Core	15.09.2012 17:11
No vidis, s IPv6 to je jeste jednodussi. Pravidla firewallu jsou porad stejna a odpada NAT. Muj pro… JR_Ewing 15.09.2012 17:13	JR_Ewing	15.09.2012 17:13
Pravidla firewallu jsou porad stejna a odpada NAT. to jako že vystrčím kompy rovnou do netu? Děkuji… mia 15.09.2012 23:47	mia	15.09.2012 23:47
Ty to evidentne nechapes :-) Nastinim stejny scenar, vnitrni sit -> vnejsi sit povoleno, vnejsi sit… JR_Ewing 16.09.2012 07:36	JR_Ewing	16.09.2012 07:36
Znamena to, ze nadale muzu zcela bezpecne pouzivat pocitac bez nainstalovaneho firewallu stejne jako… kubik 16.09.2012 19:53	kubik	16.09.2012 19:53
Ano, pod podminkou, ze mas firewall na routru (nevidim duvod, proc by ho tam vyrobci meli prestat da… JR_Ewing 16.09.2012 21:47	JR_Ewing	16.09.2012 21:47
1. Bude mnohem jednodussi vysledovat konkretni IP, protoze nebude schovana za NATem ani tveho router… Jan Fiala 17.09.2012 13:33	Jan Fiala	17.09.2012 13:33
AD 1) konkretni IP v lokalni siti za jednim NATem vysledujes podle verejne adresy v podstate az ke d… poslední JR_Ewing 17.09.2012 14:36	JR_Ewing	17.09.2012 14:36

Můj (lokální) provider problém nemá, veřejnou IPv4 dává každému. Dotazem na něj jsem zjistil, že na IPv6 máme (jeho klienti) ještě několik let čas. A přidávám na základě svých chabých síťařských znalostí, že o přechod na IPv6 vůbec nestojím (jednoduché routování LAN za NATem, jednoduchá firewallí pravidla atd.)

No vidis, s IPv6 to je jeste jednodussi. Pravidla firewallu jsou porad stejna a odpada NAT.

Muj provider je plne IPv6 ready, uz mam i prideleny segment pomalicku pripravuju sve site na plny IPv6, tedy pro pristupove site klientu, servery zustanou dualhomed.

Pravidla firewallu jsou porad stejna a odpada NAT.

to jako že vystrčím kompy rovnou do netu? Děkuji nechci, radši budu mít jednu IPv4 venku a zbytek za NAT.

Ty to evidentne nechapes

Nastinim stejny scenar, vnitrni sit -> vnejsi sit povoleno, vnejsi sit -> vnitrni sit zakazano, rekneme presmerovany jeden port na nejaky server na port 80, takze web. Bavime se opravidlech na routru

Soucasna sitauce:

Tabulka filter:
Vnitri sit -> vnejsi sit - vsechno povolit
Vnejsi sit -> server - povolit port 80
Vnejsi sit -> vnitrni sit - vsechno zakazat

Tabulka NAT:
Vnitrni sit -> vnejsi sit - vsechno prekladej na verejnou adresu
Vnejsi sit -> verejna adresa port 80 - preloz na adresu serveru

(sitari omluvi to zjednoduseni, takhle striktne by to nefungovalo v iptables, ale rozhrani SOHO routru uz maji automaticke pravidlo na related,established spojeni)

Situace v IPv6:

Tabulka filter:
Vnitrni sit -> vnejsi sit - povolit vsechno
Vnejsi sit -> server - povolit port 80
Vnejsi sit -> vnitrni sit - vsechno zakazat

A to je vsechno.

A ted mi rekni, co je jednodussi.

Znamena to, ze nadale muzu zcela bezpecne pouzivat pocitac bez nainstalovaneho firewallu stejne jako predtim?

Ano, pod podminkou, ze mas firewall na routru (nevidim duvod, proc by ho tam vyrobci meli prestat davat).

1. Bude mnohem jednodussi vysledovat konkretni IP, protoze nebude schovana za NATem ani tveho routeru, ani providera

2. Pro utocnika bude situace mnohem jednodussi - upravene packety, ktere firewall na routeru vyhodnoti jako odpoved a pusti.

AD 1) konkretni IP v lokalni siti za jednim NATem vysledujes podle verejne adresy v podstate az ke dverim domu

AD 2) tak stavovy firewall se opravdu tak snadno dneska uz oblafnout neda.

Zpět na aktuality Přidat komentář k aktualitě Nahoru