Начало агонии IPv4: last /8

    (и ещё немного желтизны: Ужасная смерть IPv4! Шок! Видео! Скрытая камера. Скачать без СМС)


    Если же серьёзно, то, о чём так долго пугала общественность RIPE NCC (а общественность не воспринимала в серьёз), случилось.

    Началась фаза «last /8». У RIPE NCC осталась последняя нераспределённая /8 сеть (16 миллионов адресов).

    В чём состоит эта фаза? Каждому LIR (локальному регистратору) будет выдано по /22 (1024) адреса, даже если ему нужно больше.

    И всё. Совсем всё. Подробнее тут: www.ripe.net/internet-coordination/ipv4-exhaustion. А PI-адреса (провайдеро-независимые) больше не выдаются. Уже сейчас.

    Останутся только резервы самих LIR'ов (понятно, что последние месяцы все хомячили как не в себя, но надолго ли этого хватит?).

    Это означает, что в ближайшее время новых IPv4 адресов не будет. Рой не сможет рости дальше. Старые адреса будут работать как работали, а вот новые…

    Номер этой сети — 185.0.0.0/8. Так что если увидите IP'шник на 185 — знайте, это проедается последнее.



    Заметим, речь идёт про Европу и кусочек Азии (RIPE). Остальные регионы пока ещё (вроде бы?) держатся, но и у них скоро всё закончится. Очевидно, трансфер с других зон осуществляться не будет (может, только с Африки, да и у них тоже, внезапно, есть интернет.)

    Что дальше? Прогнозы точные давать никто не берётся, но:
    1) Примерно в течение полугода (вероятнее всего, меньше) закончатся нормальные запасы адресов LIR'ов
    2) Потом пойдут в запас высвобождаемые за счёт консолидации адресных пространств.
    3) «Своя сеть» будет становиться экзотикой, так как там теряются драгоценные IP на сеть и бродкаст. Всех будут стараться упихать в большие /24 (а то их /22) сети.
    4) Провайдеры перестанут выдавать белые IP бесплатно — и всё больше будет тех, кто натит.
    5) Рынок юрлиц, у которых из активов только печать, да блок PI/LIR-статус станет расти (передача IP между компаниями не является продажей и может быть завёрнута RIPE NCC)
    6) Всё чаще будут появляться шлюзы, которые по domain name проксируют запросы на разные серверы (по серым адресам и IPv6). Возможно, даже как отдельная услуга.

    Для интересующихся:

    на 8.8.11 было свободно: 58932064 адресов. (58 миллионов)
    14.09.12 осталось только 17532480 (17 миллонов)

    Как считать свободные адреса: habrahabr.ru/post/96079

    А вот и список _ВСЕХ_ оставшихся свободными сетей (первое адрес сети, второе — число свободных адресов)
    5.250.232.0|6144
    5.254.128.0|98304
    91.248.0.0|524288
    176.126.40.0|120832
    * * * 185.0.0.0|16777216 <- вот она, последняя. Остальное - резервы RIPE NCC и мелкие ошмётки.
    193.43.0.64|32
    193.58.0.0|48
    193.58.0.64|192
    193.164.232.160|32
    193.188.134.168|32
    193.192.12.128|128
    193.201.147.160|32
    193.201.148.0|64
    193.201.149.192|64
    193.201.150.64|128
    193.201.151.0|64
    193.201.157.0|128
    193.218.205.64|160
    193.218.207.80|48
    194.0.51.0|3328
    194.42.55.32|128
    194.117.52.0|128
    194.153.156.64|192
    194.153.157.192|64
    195.60.81.192|128
    195.60.83.64|32
    195.60.83.160|32
    195.60.84.0|128
    195.60.87.128|128
    195.60.93.0|64
    195.60.93.192|64
    195.60.95.0|128
    
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 348

      0
      апокалибздец
        +14
        Ну хоть не останемся в 2012-м без обещанного апокалипсиса
          +10
          Вот мне и интересно, а не закончатся ли они случаем 21 декабря 2012?
            +7
            У меня день рождения в этот день.
              +10
              А у меня 22ого… :(
                +34
                У меня для вас плохие новости
                  +1
                  Вы постареете на один год
              +2
              Нет, политика 'last /8' приведёт к крайне медленному исчерпанию резервов RIPE NCC. Зато приведёт к острой нехватке адресов у некоторых организаций.

              Процесс исчерпания адресов будет очень плавным и очень неизбежным.
                +1
                Hапрашивается объяснение, что жрецы майя связывали с окончанием бактуна кардинальное обновление мироздания, а не его гибель
                Вот вам и обновление мироздания.
            • UFO just landed and posted this here
                +4
                Во-первых, у них не так уж и много адресов. Условно говоря, плюс пол-года год. Во-вторых уйдёт оно в американский сегмент, а не в европейский. В третьих — а с какой стати они должны отдавать эти адреса? Они их получали наравне с остальными — и я уверен, что они легко предъявят списки оборудования для каждого из выделенных IP-адресов. (одно из условий RIPE для выделения новых адресов — что ранее выделенные используются на оборудовании).
                  +2
                  Там далеко не только IBM и Microsoft. Куча преимущественно американских корпораций плюс военные.
                  en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks

                  Ни за что не поверю, что хотя бы 1% всех некогда распределённых им адресов используется по прямому назначению и для общедоступных ресурсов, а не в качестве замены приватным.
                    +4
                    Полностью согласен.
                    В начале 90-е годы сети класса А раздавали налево и направо корпорациям, а сети В вообще никто не считал.
                    Потом спохватились, когда они понадобились тем, кому действительно нужно — провайдерам.
                    А половину адресов уже разбазарили…
                    Раскулачить буржуев и раздать страждущим — и наступит счастливая жизнь!
                    Ура, товарищи!
                      0
                      Когда ещё только начинали говорить про смерть IPv4 слышал что 85% IP-шников просто банально проданы организациям, свободны и не используются. Напрашивается мысль: а так ли всё плохо? Просто коммерческие организации начнут торговать IP-адресами.
                        +3
                        не используются != свободны.

                        Посмотрите на свой ip адрес. Если маска сети 255.255.255.0, то адрес .0 и .255 не используется. Но при этом, они не свободны. В мелкопровайдерском бизнесе раздача /29 — норма, а там степень «просёра» адресов составляет 25%.
                          +2
                          Имел ввиду не используются, конечно.
                          Я о чём, в данный момент к примеру, HP принадлежат 2 сети класса «A»:
                          15.0.0.0/8
                          16.0.0.0/8
                          При том, что сотрудников всего 350 тысяч. Имеет ли смысл говорить о том, что вероятнее всего, более 30 млн IP-адресов тупо не используются?
                          Сверху выкладывали списки крупнейших компаний-владельцев подобных сетей. Тот же Ксерокс, к примеру. Зачем им 16 млн IP-адресов, если основное их направление — принтеры и копиры, а штат всего 136 тыс человек?
                          Не знаю как вы, а у меня складывается впечатление что крупнейшие компании держат такие диапазоны IP только с одной целью — продать их подороже когда закончатся IP-адреса.
                          Не могут 4 млрд IP-адресов просто взять и кончиться, скорее создают искусственный дефицит.
                            +5
                            А теперь рассказываю как эти адреса распределяются (это не факты, это пример того, что «число IP-адресов не равно числу узлов сети):

                            Допустим, у HP 30 филиалов. С учётом, что число филиалов может возрасти, мы зарезервируем один бит из номера сети и пять бит из подсети для номера филиала.

                            Каждый филиал получает, таким образом, сеть размера /12. Такие же сети получает IT-департамент для связи с внешним миром и прочих нужд типа веб-сайтов, центральных серверов и т.д.

                            Внутри филиала мы разделяем сети по кампусам. Мы полагаем, что в филиале не может быть больше 16 кампусов (если так, филиалу выделяется 2 и более филиальные сети). Таким образом, кампус получает сеть /16.

                            Внутри кампуса сеть делится 16 сетей (маска /20). Нулевая сеть уходит на внутренние management-интерфейсы оборудования, последняя сеть резервируется для временных коммуникаций. Каждому этажу назначается своя /20, которая делится по числу помещений, полагаем, что число помещений не больше 128. Таким образом, на каждое помещение выделяется /27 (то есть всего лишь 30 IP-адресов). А что там в бухгалтерии не 30 компьютеров, а всего 4, плюс два принтера, плюс пара резервных розеток — это никого не волнует.

                            Это нормальный numbering plan. Именно такие сейчас пишутся (я сам такой писал) для IPv6. Когда грамотность планирования инфраструктуры и агрегация значат больше, чем консолидация.

                            И никто против такого numbering plan'а не возразит. Особенно те, кто по крохам резал 10/8 по куче филиалов и матерился на нехватку битов.
                              0
                              План хороший, конечно. Но вот смысл всем железкам в огромной организации иметь белые адреса? Никакого!
                              Что еще более обидно — таки оно в таком виде и не используется. А куда используется — хрен знает.
                              Вот у меня в относительно крупной организации на мою подсеть было выделено два блока /24. Пару лет назад меня урезали до одного /25. С одной стороны мне пофик, у меня внешних адресов надо штук 30, если по-хорошему. С другой — куда и зачем ушло почти 400 адресов я не знаю. Внутри все сети серые. белые адреса нужны только внешним серверам и столько их явно не надо (учитывая, что у компании их таки было много, не зря мне изначально 500 адресов отвалили).

                              Так что раскулачивать крупные компании таки можно. Возможно, имеет смысл выделить еще одну сеть /8 под серые адреса. Но как подумаешь сколько всего для этого надо переделать (переписать RFC, переписать весь софт, переписать все конфиги) — проще перейти на IPv6.

                                +7
                                Что значит «белые адреса»? Организации были выделены блоки IP-адресов для нумерации устройств в сети, подключенной к Интернет. Что они и делают.

                                А вам наты и серые IP, которые ломают коннективити в сети, мозг съели.

                                Ничего, несколько лет реабилитации с IPv6 и вы вполне поймёте, что в интернете все адреса должны быть белыми.
                                  0
                                  Так в том-то и дело, что НЕ делают. Организации, которым хватает «белых» адресов на все устройства в сети все равно используют «серые» адреса. И не просто используют между делом, а 95% всех устройств таки живут с серыми адресами. А для выхода в Интернет (который большому количеству устройств все равно не нужен) таки используют nat. Даже если нет проблем с белыми адресами.
                                    +7
                                    Это последствия консолидации. Если бы не NAT'ы, адерса были бы исчерпаны (не помню цифру, но где-то к 2000ому, кажется).

                                    В случае с ipv6 никаких серых адресов не будет. Будут link-local и global. site-local выпилили из стандарта, к счастью.

                                    Идеей интернета была возможность связаться «каждого с каждым». Можете ли вы сидя за натом связаться с своей рабочей станцией на работе? Нет, нужно городить стопятьсот выпыэнов. И это зло, которое сдерживает адекватную IP-телефонию, кучу других сервисов, которые могли бы рассчитывать на возможность адекватного callback на клиента, а не гадания «туда ли я попаду?».

                                    Собственно, задумайтесь: все IM-протоколы держат TCP-соединение. Всегда. Нахрена, спрашивается? Потому что иначе сервер не может сказать клиенту, что пришло новое сообщение.

                                    А ведь могла бы быть куда более культурная схема — когда сервер обращается к клиенту с новым сообщением. Без «TCP с keepalive'ами».
                                      0
                                      Будут серые адреса, называются они unique-local (fc00::/7), их ввели вместо site-local.
                                      tools.ietf.org/html/rfc4193
                                      Префикс будет псевдо рандомный для того, чтобы в случае extranet VPN не было проблем с совпадающими префиксами.
                                        0
                                        Будут серые адреса, называются они unique-local (fc00::/7), их ввели вместо site-local.

                                        Их теоретически не предполагается NATить. На данный момент не существует стандарта по трансляции v6 адреса в v6 адрес.
                                        Что, конечно, не значит, что NAT 6to6 не будет поддерживаться всем сетевым железом…
                                          0
                                          Я нигде и не говорил, что их будут NATить.
                                          Просто если у вас все адреса — глобальные, то как между собой будут общаться устройства в домашней LAN? Через домашний роутер всегда? Это диапазон играет ту же роль, что и site-local или Private сети в IPv4.
                                          А NAT не имеет смысла для IPv6, потому что интерфейсу по стандарту разрешено иметь несколько IPv6 адресов одновременно.
                                            +4
                                            как между собой будут общаться устройства в домашней LAN?

                                            Не понял, в чем проблема.
                                            Для общения в пределах VLAN предполагается всегда использовать link-local адреса, и роутер при этом вообще никак не задействован, его может и не быть вовсе.
                                            А роутить между VLANами — какая разница, какая там будет сеть?
                                            Ничто не мешает вам и сейчас использовать дома 1.1.1.0/24 вместо 192.168.0.0/24. Просто это засорит вам чакры, а также если вдруг в интернете кто-то задействует эту сеть, то для вас она будет недоступной.
                                            интерфейсу по стандарту разрешено иметь несколько IPv6 адресов одновременно.

                                            Да и IPv4 такое никто не запрещал, любая ОС позволяет назначить адаптеру хоть сколько адресов.
                                              0
                                              Если у вас организация и LAN, вы хотите контролирумую раздачу адресов по DHCP. И вы хотите знать, какому имени хоста какой IPv6 адрес соответствует. И вы хотите дипазон, который вы контролируете.
                                              Link-local вы вообще не можете задать.
                                              Я вообще даже в своей домашней IPv6 сети хочу иметь unique-local адреса, чтобы знать, где у меня NAS, где сетевой МФУ и у какого компьютера и гаджета дома какой IPv6 адрес.

                                              В IPv4 нет возможности выдать больше одного IPv4 адреса по DHCP. То есть можно ручками можно рисовать secondary. но вы теряете возможность автоматизированного управления.
                                                0
                                                Если у вас организация и LAN, вы хотите контролирумую раздачу адресов по DHCP.

                                                DHCP — протокол класса «мне плевать, какая машина какой адрес получит». Можно делать резервации, но лучше не делать. В моей организации неважно, какой у кого IP адрес, в том числе адреса принтеров и прочего. Во всех известных мне организациях — аналогично.
                                                В IPv6 DHCP нужен лишь по одной причине: иных способов выдать компьютеру адреса DNS серверов почему-то не придумали (и меня это удивляет: почему нельзя было включить соответствующее поле в RA?). В отдельных случаях нужно дать и другие опции, но как правило обходятся без них.
                                                Я вообще даже в своей домашней IPv6 сети хочу иметь unique-local адреса, чтобы знать, где у меня NAS, где сетевой МФУ и у какого компьютера и гаджета дома какой IPv6 адрес.

                                                Необоснованные хотелки. За исключением одного случая — когда нужно проковырять дырку в файрволе для доступа снаружи. В случае корпоративной сети такая задача исключена, все доступные снаружи машины находятся в DMZ и, разумеется, имеют статически заданные адреса.
                                                И почему именно unique-local? Домашнему пользователю примерно всегда будут давать /64 сеть, вполне себе глобально маршрутизируемую. У меня такая уже есть — бесплатно, от Hurricane Electric. Адресного пространства там вдоволь, развлекайтесь как хотите — хоть по SA, хоть по DHCP, хоть статикой, неважно.
                                                В IPv4 нет возможности выдать больше одного IPv4 адреса по DHCP.

                                                В IPv6 тоже.
                                                Еще раз: в стандарте IPv6 предполагается, что все общение между хостами в одном широковещательном домене будет идти по link-local адресам. Не вижу смысла отказываться от такого.
                                                  0
                                                  Имхо же было расширение, позволяющее в RA включить данные о DNS.
                                                    0
                                                    Не видел. Везде говорят «хочешь дать клиентам DNS? Подымай DHCP». Причем DHCPv6, если мне память не изменяет, может выдавать клиентам исключительно одну опцию, адреса при этом не трогая.
                                                      0
                                                      Stateless DHCP
                                                        0
                                                        Просто Windows его не умеет.
                                                        +1
                                                        Есть такое расширение, но на нем свет клином не сошелся. DHCP передает кучу другой полезной информации типа — имени домена, адреса SIP сервера, адреса шлюза и прочая.
                                                        RA полезен, но он кроме IA_NA и DNS ничего не передает.
                                                        А если у вас абоненты с маршрутизаторами, то там /64 или /128 не обойдешься, нужно делегировать префикс. А это делается только через DHCP опцию IA_PD.
                                                        +1
                                                        1. DHCP расшифровывается как Dynamic Host Configuration Protocol. Именно поэтому IETF решила не плодить сущностей и оставить все сверх анонса префиксов в DHCP
                                                        2. Хотелка вполне обоснованная, пусть даже у вас таких задач нет — в жизни они встречаются. И это — удобно. Тем более, что когда у вас вживую будет IPv6 адресация в сети, вам очень захочется привести адреса к человеческому и читаемому виду. Link-local имеют неудобоваримый suffix сляпанный из MAC адреса. А DHCP позволяет выдавать адреса линейно, начиная с prefix + ::0001.
                                                        3. Абонентам (если мы говорим про операторский бизнес, а не про компы) выдают /56, для того, чтобы вы могли иметь несколько подсетей в своем домене (не говорю про всякий геморрой типа 4o6 решений)
                                                        4. /64 выдается хосту или его конкретному интерфейсу.
                                                          0
                                                          DHCP расшифровывается как Dynamic Host Configuration Protocol. Именно поэтому IETF решила не плодить сущностей и оставить все сверх анонса префиксов в DHCP

                                                          Но ведь теперь роутер сам сообщает клиенту, в какую тот попал сеть. Клиент сам назначает себе адрес. Половина задачи конфигурирования клиента уже выполнено. Так почему бы не добавить в RA указание на DNS сервера (критический параметр) и сделать DHCP ненужным в большинстве случаев?
                                                          Можно назначать клиентам адреса по DHCPv6, но зачем?
                                                          Хотелка вполне обоснованная

                                                          Не увидел, чем таким она обоснованная.
                                                          вам очень захочется привести адреса к человеческому и читаемому виду.

                                                          Зачем?
                                                          Link-local имеют неудобоваримый suffix сляпанный из MAC адреса.

                                                          Еще раз: link local является штукой обязательной. Любой v6 интерфейс ОБЯЗАН иметь link-local адрес. И этот адрес не может маршрутизироваться за пределы сети.
                                                          DHCP позволяет выдавать адреса линейно, начиная с prefix + ::0001.

                                                          Еще раз: DHCP принято использовать там, где абсолютно неважно, какой адрес схватит клиент. Резервация — костыль.
                                                          Абонентам (если мы говорим про операторский бизнес, а не про компы) выдают /56, для того, чтобы вы могли иметь несколько подсетей в своем домене

                                                          На здоровье.
                                                          /64 выдается хосту или его конкретному интерфейсу.

                                                          Хосту или его интерфейсу можно выдать хоть /126. В пределах выделенного вышестоящим оператором блока владелец — полный хозяин. Он может задействовать EUI-64, а может и нет.
                                                            0
                                                            Еще раз. Link-local имеет scope не выходящий за рамки link.
                                                            link-local вы не знаете. Он просто есть. Вы будете читать arp таблицу компов? Переписывать MAC адреса?
                                                            А если у вас несколько линков или несколько LAN, которые вы хотите единообразно администрировать?
                                                            И если вы гарантированно не хотите утечки внутренного обмена данными в интернет?
                                                            Inter-LAN/VLAN маршрутизацию на link-local вы не сделаете.
                                                            unique-local — это отличное решение проблемы:
                                                            1. Диапазон известный
                                                            2. Его легко фильтровать на border маршрутизаторах не допуская утечки
                                                              +1
                                                              link-local вы не знаете.

                                                              Я и глобальный знать не должен.
                                                              Но ipconfig подскажет.
                                                              А если у вас несколько линков или несколько LAN, которые вы хотите единообразно администрировать?

                                                              Не понял вопрос. Сформулируйте пожалуйста поточнее. И скажите — с какой стати меня должно заботить, у какого из внутренних компьютеров какой будет адрес (разумеется, в пределах заданной мной подсети)?
                                                              И если вы гарантированно не хотите утечки внутренного обмена данными в интернет?

                                                              А файрволы на что?
                                                              Вы ведь понимаете, что NAT ни в коей мере не является средством безопасности, верно? Максимум — сокрытия адресации, не более того.
                                                              Inter-LAN/VLAN маршрутизацию на link-local вы не сделаете.

                                                              Конечно.
                                                              Допустим, я отжал себе PI блок /48. Что конкретно помешает мне разбить его на массу более мелких блоков и распихать их по разным VLANам?
                                                              Я просто честно не понимаю, что вы хотите сказать…
                                                              unique-local — это отличное решение проблемы:
                                                              1. Диапазон известный
                                                              2. Его легко фильтровать на border маршрутизаторах не допуская утечки

                                                              Свой собственный блок еще проще зафильтровать на периметре: он один. Но в каком смысле зафильтровать? Не принимать анонсы его снаружи?
                                                              0
                                                              DHCP принято использовать там, где абсолютно неважно, какой адрес схватит клиент

                                                              У нас DHCP выдаёт фиксированный адрес (соответствующий MAC).
                                                              Иначе как реализовывать хотелки начальства типа «А закрой (открой) ЭТОМУ компу в отделе полный доступ в инет»

                                                              Неизвестным MAC-ам выдаётся адрес из пула, который никуда не имеет доступ.
                                                                0
                                                                У нас DHCP выдаёт фиксированный адрес (соответствующий MAC).

                                                                На IPv4? Все скопы состоят из резерваций? Охренеть дизайн…
                                                                Иначе как реализовывать хотелки начальства типа «А закрой (открой) ЭТОМУ компу в отделе полный доступ в инет»

                                                                Никак — это глупая хотелка. Доступы должны выдаваться-отбираться не компьютерам, а пользователям.
                                                                  0
                                                                  На IPv4? Все скопы состоят из резерваций? Охренеть дизайн…

                                                                  Конечно, v4. Я сейчас не скажу точное название технологии, но DHCP-сервер один, а свичи умеют его как бы проксировать в сети отделов.

                                                                  Доступы должны выдаваться-отбираться не компьютерам, а пользователям.

                                                                  И как это сделать, если клиенты — Windows, а шлюз — FreeBSD либо RouterOS?
                                                                    0
                                                                    DHCP-сервер один, а свичи умеют его как бы проксировать в сети отделов.

                                                                    Все так делают.
                                                                    (хотя обычно серверов все-таки две штуки ставят)
                                                                    И как это сделать, если клиенты — Windows, а шлюз — FreeBSD либо RouterOS?

                                                                    Вопрос неправильный. Правильный вопрос — «что поставить, чтобы оно заработало как надо». Вариантов много. Для HTTP без вариантов NTLM аутентификация, по остальным протоколам у всех свое придумано. Хотя в случае подавляющего большинства пользователей других протоколов не потребуется.
                                                                    Подход «у меня есть две чайные ложки и тапки, как мне используя все это открыть банку килек?» малость ущербен :)
                                                                      –1
                                                                      Значит, примерно то на то и выходит.

                                                                      Юс-кейсы типа «дружбану Васе надо открыть Квейк и Старкрафт» приводят к тому, что потребуется-таки фиксировать его IP в DHCP

                                                                      http-прокси привязывать к IP легче, чем к NTLM.
                                                                      Потому что каждый второй автор опен-сорс мнит себя супер-кодером и http-стек делает сам на сокетах, вместо вызова неправославного WinInet.DLL. в итоге, если поддержка прокси и есть, то либо basic, либо md5 digest.
                                                                        +1
                                                                        Юс-кейсы типа «дружбану Васе надо открыть Квейк и Старкрафт» приводят к тому, что потребуется-таки фиксировать его IP в DHCP

                                                                        Поставить нормальный прокси/файрвол — и не придется фиксировать IP пользователей в DHCP.
                                                                        http-прокси привязывать к IP легче, чем к NTLM

                                                                        Нет.
                                                                        каждый второй автор опен-сорс

                                                                        Вывод — использовать нормальный софт, а не наколенные поделки. У компании должна быть выработана политика, в которой перечислены разрешенные к употреблению приложения.

                                                                        Всегда есть вариант SOCKS proxy клиента, который прозрачно для конечного приложения перенаправит любой трафик на сервер, да еще и аутентифицируется доменной УЗ. Есть варианты, связанные с агентом на компьютере, который будет сообщать файрволу «сейчас за таким-то IP адресом сидит Вася Пупкин», и файрвол в зависимости от этого настроит правила для IP адреса компьютера. Вариантов полно. И наверняка многие можно даже на опенсорсе настроить.
                                                                          0
                                                                          У компании должна быть выработана политика, в которой перечислены разрешенные к употреблению приложения.

                                                                          Политика вырабатывается не админом, а спускается сверху.
                                                                          Есть установка делать хорошо работнику, а не превращать рабочее место в тюрьму, особенно когда ничего секретного нет. Оплата за качество и количество сделанной работы, плюс комфорт (всегда можно отвлечься и отдохнуть) делают чудеса: юзеры не отсиживают с 9 до 18 и галопом по звонку домой, а могут без напряга и до 22 поработать. В результате все в выигрыше.

                                                                          Вариантов полно

                                                                          Не понимаю, в чём зло фиксированных адресов, что вы готовы столько костылей нагородить в их защиту. При заведении рабочео места просто адрес берётся из соответствующего диапазона, который везде прописан для какой-то политики и всё. Единственный минус, когда за компом могут работать в разные смены, но как правило политика для таких юзеров общая (а если нет, дешевле отдельный комп поставить, и работнику будет комфортнее)
                                                                            0
                                                                            Политика вырабатывается не админом, а спускается сверху.

                                                                            Политика вырабатывается руководством IT и IT Security.
                                                                            Есть установка делать хорошо работнику, а не превращать рабочее место в тюрьму

                                                                            Отлично — работник может залогиниться на любом компьютере и получить одни и те же права. Причем тут тюрьма?
                                                                            Не понимаю, в чём зло фиксированных адресов, что вы готовы столько костылей нагородить в их защиту.

                                                                            А зачем тогда вообще DHCP?

                                                                            И какие еще костыли? Есть задача: пользователю (человеку) предоставить определенные права. Правильное решение — назначить права его учетке. Костыль — работать на уровне IP адресов. Это просто нелогично.
                                                                            Единственный минус, когда за компом могут работать в разные смены
                                                                            Ага. А еще пользователь может сесть за чужой компьютер по какой-либо причине. И много других сценариев. Работа на уровне IPшников добавляет массу головной боли и убирает всякую гибкость.
                                                                            В моей компании нет резерваций в DHCP пулах. Совсем нет. Неважно, какой адрес схватит компьютер, принтер и т.д. Это называется «грамотный дизайн».
                                                                              0
                                                                              Отлично — работник может залогиниться на любом компьютере и получить одни и те же права. Причем тут тюрьма?
                                                                              И какие еще костыли? Есть задача: пользователю (человеку) предоставить определенные права. Правильное решение — назначить права его учетке. Костыль — работать на уровне IP адресов. Это просто нелогично.
                                                                              Я не спорю, что правильная аутентификация — по учётке. На внутренних сервисах (Exchange, Sharepoint) так и есть. Но для доступа в сеть из зоопарка кривых программ (настройте-ка uTorrent по NTLM) фильтр по IP подходящий компромис.
                                                                              А зачем тогда вообще DHCP?
                                                                              Наверное, чтобы не бегать по машинам, переконфигурируя интерфейс, если внезапно PDC и DNS перенесли в другую сеть.
                                                                                0
                                                                                а? что? торренты? на работе? торренты на работе идут лесом, да.
                                                                                Кроме особо выделенных случаев.
                                                                                  0
                                                                                  uTorrent по NTLM

                                                                                  Я не ослышался?
                                                                                    0
                                                                                    ок, пусть будет не торрент.
                                                                                    Чисто по работе. Есть такие тётеньки гуманитарные — контент-менеджеры, и они хотят заливать картинки по FTP на хостинг. Про SOCKS они слышать не хотят, админу тоже нежелательно локально что-то настраивать. Поэтому политика по IP
                                                                                      0
                                                                                      Есть такие тётеньки гуманитарные — контент-менеджеры, и они хотят заливать картинки по FTP на хостинг.

                                                                                      Как ни странно, любой файрвол умеет аутентифицировать не только HTTP, но и FTP. И NTLM везде подерживается для него.
                                                                                      Про SOCKS они слышать не хотят

                                                                                      Администратору должно быть плевать на мнение пользователей по поводу дизайна инфраструктуры. Как хочет, так и делает. Пользователь тут априори некомпетентен.
                                                                                      SOCKS — штука прозрачная.
                                                                                        0
                                                                                        Как ни странно, любой файрвол умеет аутентифицировать не только HTTP, но и FTP. И NTLM везде подерживается для него.

                                                                                        Вообще для меня новость. Не подскажете, какой RFC регламентирует применение NTLM в FTP-прокси?

                                                                                        SOCKS — штука прозрачная.

                                                                                        Вообще-то, Socks это протокол.

                                                                                        Видимо подразумевается какое-то решение типа sockscap (проприетарное, x86-only) может прозрачно заставить некоторые tcp-приложения юзать socks-прокси (и то, если протокол требует несколько согласованных tcp-соединений, как ftp в активном режиме, работать не будет)
                                                                                          0
                                                                                          Не подскажете, какой RFC регламентирует применение NTLM в FTP-прокси?

                                                                                          Разумеется, понятия не имею.
                                                                                          Вообще-то, Socks это протокол.

                                                                                          Это отменяет тот факт, что транспорт данных приложения поверх данного протокола может происходить прозрачно для приложения?
                                                                                          Видимо подразумевается какое-то решение типа sockscap (проприетарное, x86-only) может прозрачно заставить некоторые tcp-приложения юзать socks-прокси (и то, если протокол требует несколько согласованных tcp-соединений, как ftp в активном режиме, работать не будет)

                                                                                          По опыту, 100% проверенных приложений работали либо посредством похожей программы, либо заданием настроек SOCKS в самом приложении.
                                                                                          0
                                                                                          Как ни странно, любой файрвол умеет аутентифицировать не только HTTP, но и FTP. И NTLM везде подерживается для него.

                                                                                          Стоп-стоп. Firewall или Proxy?

                                                                                          Firewall ничего не может аутентифицировать, потому что в трафике ftp-протокола нет аутентифицирующей информации (там логин на удалённый хост).

                                                                                          С заходом на ftp в IE через прокси у меня был такой опыт: можно скачивать, но нельзя закачивать. Браузер кидает в проксю обычный HTTP GET но с ftp-шным url-ом (HFTP)

                                                                                          Следовательно, полноценная работа контент-менеджера с ftp через http-прокси с NTLM-авторизацией невозможна
                                                                                            +1
                                                                                            Стоп-стоп. Firewall или Proxy?

                                                                                            habrahabr.ru/post/151518/#comment_5142094
                                                                                            Следовательно, полноценная работа контент-менеджера с ftp через http-прокси с NTLM-авторизацией невозможна

                                                                                            supportforums.cisco.com/thread/2050857
                                                                                              0
                                                                                              1) Ну как бы Microsoft не называл свой продукт «проксифаирволом», а проксирование и firewall — это разные технологии (firewall не модифицирует трафик, он только запрещает/разрешает), нежелательно смешивать их в одну кучу, иначе мы друг друга не поймём

                                                                                              2) Вот оно как. Теперь я понял, почему у меня не upload работал. Дело в том, что https-прокси это фактически socks, т.е. проксирует любой tcp-коннект. Чтобы юзеры не использовали его не по назначению для другого софта, админ запретил все порты для https, кроме 443.
                                                                                      0
                                                                                      Если нашлись деньги на Exchange с Sharepoint и управляемые коммутаторы, то почему не поставить TMG?
                                                                                      Кроме авторизации на уровне пользователей и приложений, сможете проверять трафик антивирусом и мониторить SSL. Всяко лучше костыля с резервацией.
                                                                                        0
                                                                                        Несколько лет назад, когда были квоты у работника на кол-во трафика, не смогли настроить квоты в TMG
                                                                                          0
                                                                                          А сейчас то же самое с пайпами.
                                                                                          На unix-like роутерах легко давать правила типа «эта группа (ip-адресов) в этом пайпе и в сумме у них 1 мегабит», «а каждый юзер из это группы — по 2 мбита»
                                                                                            0
                                                                                            На unix-like роутерах легко давать правила типа «эта группа (ip-адресов) в этом пайпе и в сумме у них 1 мегабит», «а каждый юзер из это группы — по 2 мбита»

                                                                                            Тоже некрасиво. Скорость должна не рубиться, а гарантироваться. Тому юзеру гарантируем столько-то процентов от полосы, той группе — столько. Ваша схема приводит к неоптимальному использованию полосы. Если канал на 10мбит загружен на 1мбит, и юзер хочет что-то скачать или закачать, надо предоставить ему ширину, максимально близкую к 9мбит/с/ но он сразу подвинется, как только кто-то еще начнет качать. С исходящим трафиком это проще пареной репы, со входящим сложнее, но тоже реализуемо.
                                                                                            +1
                                                                                            Существуют расширения для TMG, умеющие что угодно.
                                                                                            0
                                                                                            Любопытно, а если на машине запущено несколько сетевых программ под разными учётками, TMG сможет понять, какой трафик от какой учётки, чтобы применить политики?
                                                                                              0
                                                                                              Не знаток этой системы, но на терминальных серверах оно работает и пользователей различает.
                                                                              +1
                                                                              Вы путаете протокол DHCP (неуправляемая выдача айпишников всем подряд) и протокол DHCP (автоматическая, централизованная выдача сетевых настроек нужным устройствам)
                                                                                +1
                                                                                С чем-чем путаю? :)
                                                                                Мы сейчас говорим про IPv4, или про IPv6? В IPv4 работа DHCP сервера является неуправляемой by design, с исключениями в виде резерваций.
                                                                                  0
                                                                                  Не ваша правда, забыли опции :)
                                                                                +1
                                                                                компьютерам тоже. Бывают системные процессы с правом лимитированного выхода куда-то за обновлениями.
                                                                                  0
                                                                                  У Microsoft для обновлений свой корпоративный велосипед — WSUS.
                                                                                  Софт, который не поддерживает WSUS, идёт лесом
                                                                          0
                                                                            0
                                                                            November 2010
                                                                            Да, я малость устарел :)
                                                                    0
                                                                    Это где такое написано? (Я без наезда, просто прочитать).

                                                                    А то половина литературы про Ipv6 намертво устарела и те фичи были выпилены до приёма в продакт. А книжки про них остались.
                                                                +1
                                                                Можете ли вы сидя за натом связаться с своей рабочей станцией на работе?

                                                                В любой нормальной компании доступ напрямую из интернета до рабочей станции будет запрещен вне зависимости от наличия или отсутствия NATа…
                                                                Кроме того, наличие приватной адресации скрывает внутреннюю топологию сети. Сомнительный, но все же элемент безопасности.
                                                                Хотя я знаю одну средних размеров компанию, где все (или по крайней мере многие) пользовательские компьютеры имеют глобально маршрутизируемые адреса. Буржуи…
                                                                А ведь могла бы быть куда более культурная схема — когда сервер обращается к клиенту с новым сообщением. Без «TCP с keepalive'ами».

                                                                Кипалайвы полезны. Без них сервер будет долго слать сообщения в пустоту, если клиент закрыл аську, или выключил компьютер.
                                                                TCP предоставляет какую-никакую, но защиту от спуфинга.
                                                                TCP хорош для сообщений тем, что дает гарантию доставки. Да, можно реализовать ACKи на уровне приложения, работающего поверх UDP — чтобы обнаружить, что изобретен велосипед.
                                                                В общем, так себе пример :)
                                                                  0
                                                                  Да кто-бы спорил? Конечно, прямая адресация всего и везде — это удобно. И это так должно быть.
                                                                  Я о том, что даже в организациях, где белых адресов достаточно — все равно используют серые. Это такая сложилась good practice. И все ей следуют.

                                                                  Лично я всеми руками за полноценный переход на IPv6. Но давайте не будем это обосновывать тем, что IPv4 закончились. Проблема не в том, что они закончились, а в том, что их не хватает для прямой адресации. С NAT-ами мы на IPv4 можем еще много лет протянуть. Но таки неудобно, да. И тянуть это за собой смысла нет. Потому надо переходить. Просто потому, что надо.
                                                                    +2
                                                                    даже в организациях, где белых адресов достаточно — все равно используют серые. Это такая сложилась good practice.

                                                                    На самом деле паршивая практика. Любая NATилка обязана понимать на уровне приложения десятки различных протоколов, иначе они сломаются в процессе трансляции.
                                                                      0
                                                                      Во-первых, НАТилки прекрасно (почти) всё понимают, во-вторых, не работают через НАТ только изначально ущербные протоколы, вроде FTP/SIP/RTSP.
                                                                      Что-то вот не припомню никаких проблем ни у DNS, ни у HTTP, ни у XMPP.
                                                                        +1
                                                                        не работают через НАТ только изначально ущербные протоколы, вроде FTP/SIP/RTSP

                                                                        А почему ущербные? Под «SIP» можно понимать весь VOIP. Протоколы на самом деле отличные, просто не предназначенные для NATа.
                                                                        Они работают, но с костылями. Однажды я столкнулся с тем, что h.323 отказался работать — немного некорректно отрабатывало инспектирование h.245 на NATилке…

                                                                        На самом деле организации, имеющие PI блоки достаточных размеров, предпочитают выдавать глобально маршрутизируемые адреса всем системам, которые будут общаться с внешним миром по каким-либо протоколам, более сложным, чем HTTP. Ну или просто всем тем, к которым может быть осуществлен доступ снаружи. NAT не является средством безопасности ни под каким видом — так зачем лишние сложности?
                                                                          0
                                                                          NAT не является средством безопасности ни под каким видом — так зачем лишние сложности?

                                                                          JDima — Я бы так не сказал — это один из дополнительных методов не пускать нежелательный трафик
                                                                            0
                                                                            это один из дополнительных методов не пускать нежелательный трафик

                                                                            Ни в малейшей степени.
                                                                              –1
                                                                              Если я не хочу, чтобы десктопные машинки попадали в инет мимо прокси — я выключаю нат.
                                                                              если я хочу чтобы машинка с клиентбанком напрямую лазяла только на хост сервера КБ — я её это разрешу.

                                                                              почему это не элемент безопасности?
                                                                              как минимум защита от того, что даже если на рабочей станции есть вирус. станция не будет заниматься ddos'ом или рассылкой спама…
                                                                                +3
                                                                                Если я не хочу, чтобы десктопные машинки попадали в инет мимо прокси — я выключаю нат.

                                                                                А просто правила файрвола — это уже не модно? Они малость функциональнее будут.
                                                                                почему это не элемент безопасности?

                                                                                По той причине, что любые правила доступа настраиваются файрволом. Если вы отключаете NAT и выпускаете наружу нетранслированные пакеты, и таким образом ограничиваете доступ — ну что же, в мире много всяких извращений, так что я не особо удивлен.
                                                                                  0
                                                                                  политики фаервола на рабочих станциях это одно, а политика фаервола на роутере и политика NAT'е это всё же немного другое, не находите?
                                                                                    0
                                                                                    политики фаервола на рабочих станциях

                                                                                    Зачем? Он там вообще не нужен. Защиту рабочих станций должны осуществлять периметровые файрволы и понатыканные тут и там IPSы.
                                                                                    а политика фаервола на роутере и политика NAT'е это всё же немного другое

                                                                                    И по-моему, очевидно, что предоставлением доступов должен заниматься именно периметровый файрвол, на котором нередко и NAT поднимают.
                                                                                    Или вы прямо на компьютере пользователя говорите «запретить одноклассников»? Тогда все еще более печально.
                                                                                      0
                                                                                      я не считаю, что firewall на рабочих станциях не нужен.
                                                                                      Точно так же не считаю что стоит пускать кого попало в мир через NAT.
                                                                                      а для закрытия одноклассников есть прокси, логи прокси по части разных попыток добраться туда, куда не надо и выписанные пилюли от начальства
                                                                                        0
                                                                                        Точно так же не считаю что стоит пускать кого попало в мир через NAT.

                                                                                        Конечно нельзя.
                                                                                        Но правила NATа всегда должны быть максимально разрешающими (т.е. если гипотетически при обращении из сети А в сеть Б нужно будет транслировать адреса, то NAT обязательно должен быть включен). А затем на уровне политик файрвола решать, чей пакет пропустить, а чей — нет.
                                                                                        а для закрытия одноклассников есть прокси

                                                                                        Для закрытия или открытия любых доступов есть прокси/файрвол.
                                                                                        У вас что, прокси (который на самом деле является и файрволом) не в inline стоит?
                                                                                          –1
                                                                                          Сколько живу, сколько администрирую, но про «максимально разрешающий NAT» от Вас слышу впервые.
                                                                                          И считаю это идиотизмом и нарушением единственного правила Unix, которое мне вдолбили еще 10 лет назад, которое гласит что запрещено делать всё, что не разрешено.
                                                                                          Так вот чисто по моему опыту — чем меньше открыто, тем меньше геморроя.
                                                                                            +2
                                                                                            Сколько живу, сколько администрирую, но про «максимально разрешающий NAT» от Вас слышу впервые.

                                                                                            Учитесь дальше.
                                                                                            Скажите — вам доводилось изучать best practices, design guide'ы и тому подобное по части организации сетевого периметра? Не обязательно привязанные к конкретному вендору (ибо общие принципы везде одинаковые). Мне кажется, что не доводилось ни разу, и дизайн вы разрабатываете по наитию, соответственно — дизайн выходит корявый.
                                                                                            Еще раз: NAT абсолютно ни в коей степени не является средством ограничения доступа. Не знаю, чья больная фантазия придумала такую глупость. Назначение NAT — как раз обеспечение доступа, и его правила должны быть такими, чтобы при наличии «permit ip any any» на файрволе у всех все работало. Для настройки запретов есть единая точка администрирования — файрвол. Высшая степень идиотизма еще и NAT под это задействовать.
                                                                                            Так вот чисто по моему опыту — чем меньше открыто, тем меньше геморроя.

                                                                                            NAT не имеет отношения к открытию/закрытию доступов.
                                                                                              0
                                                                                              Кстати да, спасибо. На предудущей работе у меня был acl на IN на локальный интерфейс и такой же acl на nat. Задалбывался разрешения на nat прописывать дважды. А такой простой вещи, как «достаточно одного acl'а» не подумал.

                                                                                              Правда, уже поздно.
                                                                                            0
                                                                                            Прокси это прошлый век, постепенно все откажутся от этого кривого аппендикса, в пользу DPI технологий.
                                                                                              0
                                                                                              Прокси это прошлый век, постепенно все откажутся от этого кривого аппендикса, в пользу DPI технологий.

                                                                                              Заблуждаетесь.
                                                                                              На самом деле все современные прокси/файрволы имеют функционал DPI. Некоторые еще и IPS с обновляемыми сигнатурами. Но они все равно остаются прокси.
                                                                                                +1
                                                                                                Вы заблуждаетесь :)

                                                                                                Именно потому, что все вендоры, встраивают поддержку DPI в свои устройства, отпадает необходимость в ответвлении трафика (а если еще требуется SSL, то прописывание браузерных политик). И proxy != firewall, фаерволы ничего не проксируют.
                                                                                                  0
                                                                                                  proxy != firewall, фаерволы ничего не проксируют.

                                                                                                  Ох…
                                                                                                  Продукция Check Point, Blue Coat, MS TMG и так далее — файрволы, попутно прокси, попутно частично DPI. Они могут стоять в inline, могут — out of band. Они могут читать SSL методом спуфинга сертификатов (какие еще браузерные политики?), а могут и не читать.
                                                                                                  Современные файрволы — весьма навороченные комбайны. Уже давно нет разделения.
                                                                                                    +1
                                                                                                    в мелких и средних конторах ни чек поинт, ни иса/tmg почти не используются, в отличие от сквида.
                                                                                                      +1
                                                                                                      в мелких и средних конторах ни чек поинт, ни иса/tmg почти не используются, в отличие от сквида.

                                                                                                      Мне нет дела до говнорешений.
                                                                                                        –1
                                                                                                        Когда аргументы заканчиваются, переходим на личности и обливание какашками?
                                                                                                        ок. отсутствие аргументов засчитано. Нить разговора считаю утерянной и в дальнейшем продолжении смысла не вижу
                                                                                                          –1
                                                                                                          Когда аргументы заканчиваются, переходим на личности и обливание какашками?

                                                                                                          Но это и есть говнорешение. Ни одна более-менее крупная компания не использует сквид.
                                                                                                      0
                                                                                                      Ну вот видите, вы видимо обслуживая только 1 сеть, стали забывать что такое прокси и зачем изначально адреса прокси прописывались в браузерах :)

                                                                                                      И наверно не можете себе представить то, что представляет себе любой консультант, когда заказчик начает говроить о proxy. Поэтому не нужно отождествлять и подменять данные термины между собой.
                                                                                                        0
                                                                                                        вы видимо обслуживая только 1 сеть, стали забывать что такое прокси и зачем изначально адреса прокси прописывались в браузерах :)

                                                                                                        Я понимаю. Вы — нет.
                                                                                                        Сейчас уже никто не ставит прокси в out of band. Однако, роль данного сервера не меняется. Я считаю, что различие между подходами к расположению сервера слишком мизерны, чтобы выдумывать новое слово, потому буду дальше называть «проксей» решение, в том числе фильтрующее HTTP по категориям и прочему.
                                                                                                          0
                                                                                                          Ну вот видите, вы все таки не понимаете.

                                                                                                          Это нормально и отличает людей что-то эксплуатирующих и что-то интегрирующих. Как правило когда заказчик говорит о Proxy, он подразумевает что у него где-то стоит ISA (Squid, Kerio и т.п.) куда он средствами политик AD заворачивает трафик и фильтрует по категориями.

                                                                                                          А отличие от расположения (не будет брать сюда обратное проксирование трафика к веб-сервисам) все таки существенно, согласитесь, поддерживать сеть где трафик маршрутизируется только на основе L3 маршрутизации удобнее и проще, чем выяснять куда там бразуер\PBR заворачивает какой-то трафик и что там с ним присходит, почему больше ничего не работает.

                                                                                                          Впринципе называть проксей можете и дальше, просто я расстроился, подумав что вы используете классические прокси, хотя вроде бы в тематике подкованы.
                                                                                                            0
                                                                                                            А отличие от расположения (не будет брать сюда обратное проксирование трафика к веб-сервисам) все таки существенно

                                                                                                            Для сервера оно монописуально. Трафик входит с него с одной стороны и выходит с другой. То, что на входе был каким-либо образом туннелированный трафик, ничего не меняет для сервера, это мелочь.
                                                                                                            поддерживать сеть где трафик маршрутизируется только на основе L3 маршрутизации удобнее и проще, чем выяснять куда там бразуер\PBR заворачивает какой-то трафик и что там с ним присходит, почему больше ничего не работает.

                                                                                                            По опыту — добавляется лишний элемент в виде механизма autodiscover, который временами любит ломаться, но в общем и целом никакого радикального повышения сложности обслуживания нет.
                                                                                                    +1
                                                                                                    Странно, почему во всех сетях, начиная от рабочих групп без домена на 5 машин, кончая транснациональными сетями на сотни филиалов, с которыми я был связан напрямую или через знакомых админов, везде использовался squid из «прошлого века», по Вашей терминологии
                                                                                                      –1
                                                                                                      почему во всех сетях, начиная от рабочих групп без домена на 5 машин, кончая транснациональными сетями на сотни филиалов, с которыми я был связан напрямую или через знакомых админов, везде использовался squid из «прошлого века», по Вашей терминологии

                                                                                                      Про транснациональные компании явно врете.
                                                                                                      В моей компании сотни филиалов, и я знаю штук 5 других сравнимых или более крупных. Нигде нет никакого опенсорса на подобных направлениях.
                                                                                                        0
                                                                                                        Не вру, но в тех компаниях Windows практически не использовалось, в отличие от opensource, и продукции rhel, suse, oracle и других крупных Linux вендоров
                                                                                                          –1
                                                                                                          в тех компаниях Windows практически не использовалось

                                                                                                          И это — глупость.
                                                                                                          В крупных компаниях линукс как раз редко встречается. Клиентская часть на виндах. Сервера — на солярке, аиксе, край — фряхе. А вот линукс очень редкий гость.
                                                                                                            +1
                                                                                                            Да вы просто линуксоненавистник :)

                                                                                                            Исторически сложилось, что у нас все сервера были на фряхе, в том числе высоконагруженные СУБД на Firebird. Когда в линуксе анонсировали какие-то улучшения в I/O, мы протестировали производительность на типичной нагрузке и в линуксе получилось на 10% быстрее, перешли на линукс.

                                                                                                            Когда к нам в компанию пришли евангелисты микрософт, поднялся вопрос о переводе СУБД под венду. И что неожиданно — она на наших задачах оказалась на 20% (!!!) быстрее линукса, ещё один переход сделали. Благо, firebird многоплатформенный.
                                                                                                              0
                                                                                                              Когда к нам в компанию пришли евангелисты микрософт, поднялся вопрос о переводе СУБД под венду.

                                                                                                              Как правило, в крупных компаниях имеется множество разных СУБД. Например, оракл, MS SQL (из централизованных) и всякие мускулы (локально).
                                                                                                          +2
                                                                                                          Я поработал в двух компаниях из Fortune 100, и в обеих использовался squid.
                                                                                                            –1
                                                                                                            В моей тоже используется. Пользуется им от силы человек 20. На него уже года четыре никто не логинился. По хорошему, кансельнуть, да как-то никому не хочется руки пачкать, ничего критичного через него все равно не ходит.
                                                                                                            А чтобы центральным прокси в крупной компании был сквид — нет, такого не бывает. За исключением, может быть, компаний уровня гугла с превосходным штатом разработчиков, чей сквид наверняка напоминает общедоступный разве что названием и больше ничем.
                                                                                                          0
                                                                                                          Обычно Squid отваливается на стадии, когда обслуживать его становится дорого. Никому не интересно экономить 10 рублей на кешировании картинок, а для контроля WEB доступа есть более масштабируемые и централизованно управляемые средства.

                                                                                                          Короче Squid обычно у контор с недостатком финансирования.
                                                                                                            0
                                                                                                            Squid обычно у контор с недостатком финансирования.

                                                                                                            Т.е. «говнорешение», как я и говорил.
                                                                                                      +1
                                                                                                      Для закрытия или открытия любых доступов есть прокси/файрвол.
                                                                                                      У вас что, прокси (который на самом деле является и файрволом) не в inline стоит?


                                                                                                      с каких это пор прокси является фаерволом?
                                                                                                      Я не буду говорить про тех, кто функционал фаервола и прокси обьединяет в одну коробку — к сожалению в мелких конторах это в 90% чаще всего один пк на юниксе.

                                                                                                      Но если вы умудритесь на «фаерволе», например ASA5x или PIX'e настроить прокси — я Вас порекомендую вместо себя админом (смайлик)
                                                                                                      да, про прозрачный прокси я в курсе, но разговор сейчас не о прозрачном проксировании

                                                                                                        0
                                                                                                        Я не буду говорить про тех, кто функционал фаервола и прокси обьединяет в одну коробку

                                                                                                        Microsoft например, или тот же Check Point… Лучше как раз про них говорите.
                                                                                                        Но если вы умудритесь на «фаерволе», например ASA5x или PIX'e настроить прокси

                                                                                                        Угу, и прямо SSM не умеет делать URL filtering и тому подобное…
                                                                                                        я Вас порекомендую вместо себя админом

                                                                                                        Я лучше воздержусь.
                                                                                                        разговор сейчас не о прозрачном проксировании

                                                                                                        С какого перепуга?
                                                                                                          –1
                                                                                                          Насколько я помню по маркетинговой брошуре — MS TMG — ставится как на рабочие станции клиентская часть, так отдельно серверная часть и консоль управления.
                                                                                                          С логичным ограничением запрета установки TMG на AD DC, что, в принципе, логично.
                                                                                                          Опять же, ISA/TMG не отменяют аппаратного фаервола _до_ сервера vpn/tmg
                                                                                                            0
                                                                                                            MS TMG — ставится как на рабочие станции клиентская часть, так отдельно серверная часть и консоль управления.

                                                                                                            Может работать с клиентом. Может без. На любые сервера клиент никогда не ставят.
                                                                                                            ISA/TMG не отменяют аппаратного фаервола _до_ сервера vpn/tmg

                                                                                                            TMG прекрасно может работать в роли файрвола. Аппаратную железку можно ставить в виде грубого, но быстрого L3/L4 фильтра, отдав L7 на откуп TMG.
                                                                                                              0
                                                                                                              TMG прекрасно может работать в роли файрвола. Аппаратную железку можно ставить в виде грубого, но быстрого L3/L4 фильтра, отдав L7 на откуп TMG.

                                                                                                              У вас сейчас так работает в эксплуатации? Исторически сложилось или потому что Cisco не поддерживала данный функционал? Сейчас удобнее поддерживать одну железку, которая умеет фильтровать быстро на всех уровнях.
                                                                                                                0
                                                                                                                Исторически сложилось или потому что Cisco не поддерживала данный функционал?

                                                                                                                Ни то, ни то. Скорее — разделение обязанностей. TMG отлично работает на уровне приложения, но по производительности не бьет рекордов. ASA является первоклассной NATилкой, и очень быстро фильтрует на L3/L4. Кроме того, гипотетически ASAшку завалить куда сложнее, чем TMG. Потому логично расположить на внешнем периметре аппаратный файрвол, а позади него более нежное и чуткое программное решение.
                                                                                                                (у нас не TMG, но это ничего не меняет)
                                                                                                                Сейчас удобнее поддерживать одну железку, которая умеет фильтровать быстро на всех уровнях.

                                                                                                                Удобнее — да. Надежнее — не факт.
                                                                                                      –1
                                                                                                      Забыл:
                                                                                                      я не считаю, что firewall на рабочих станциях не нужен.

                                                                                                      А зачем он там?

                                                                                                      Ну и вспомните старый тезис: «Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живёте». Заменить «пишите код» на «стройте инфраструктуру», и получится настолько же верное утверждение. Ограничение доступа политиками NAT — чушь какая-то.
                                                                                                        0
                                                                                                        Для психопата, которые знает, где я живу есть замечательная штука — документирование, протоколирование и приказы по компании.
                                                                                                          –1
                                                                                                          Для психопата, которые знает, где я живу есть замечательная штука — документирование, протоколирование и приказы по компании.

                                                                                                          Если бы я был склонным к агрессии психопатом, и меня приняли бы поддерживать инфраструктуру, которую поднимали вы, и я увидел бы ограничения доступа NATом — ну что же, сочувствую :)
                                                                                                      0
                                                                                                      А то вообще весело, про фаеры на РС. Пусть любой инсайд резвится на полную катушку.
                                                                                                        0
                                                                                                        Расскажите мне, как локальный файрвол защитит от инсайда.
                                                                                                        А еще расскажите, зачем он нужен при правильном разграничении доступов к ресурсам, а также при наличии систем IPS, DLP, application-aware инспектирования трафика между периметрами, системы контроля подключения к сети (предоставление доступа к сети только если подключена доменная машина, и на ней аутентифицирован доменный пользователь; политики применяются прямо на порту) и так далее.
                                                                                                          +1
                                                                                                          А ещё расскажите мне, зачем конторе на 5 — 50 компов строить IPS, DLP, AA DPI, периметры и прочее.

                                                                                                          Так же расскажите, что будет если в замечательной сети с контроллем доступа появится вполне себе доверенная машина (доменная, с аутентифицированным пользователем и прочий 802.1x), с пользователем у которого evil intentions?

                                                                                                          А локальный фаервол может защитить от инсайда весьма банально — не давая светить работающие сервисы другим членам сети.

                                                                                                          JDima, у вас enterprise головного мозга, и если в случае с большим предприятием я с вами солидарен по всем пунктам сетевой безопасности (кроме локального FW), то для SMB — категорически нет.
                                                                                                            0
                                                                                                            расскажите, что будет если в замечательной сети с контроллем доступа появится вполне себе доверенная машина (доменная, с аутентифицированным пользователем и прочий 802.1x), с пользователем у которого evil intentions?

                                                                                                            Да ничего особенного на самом деле. Украсть информацию он сможет разве что фотографируя монитор. Ну, может, удалит те данные, к которым имеет доступ (бекапы).
                                                                                                            При этом пользователь не может подключить к сети ноутбук с backtrack или LAN-портом wi-fi роутер. А ведь последний пункт является исключительно стремным.
                                                                                                            А локальный фаервол может защитить от инсайда весьма банально — не давая светить работающие сервисы другим членам сети.

                                                                                                            Какие сервисы? RDP? SMB?
                                                                                                            Вы ведь понимаете, что все более-менее интересные для инсайдера файлы будут храниться не на соседнем компьютере, а на сервере? Ну запретили кому-то доступ файрволом — теперь он не может работать с шарой.
                                                                                                            у вас enterprise головного мозга

                                                                                                            Вовсе нет — я знаю одну контору на 20 человек, где подняты IPS (правда, снорт), 802.1x, а также весьма грамотно настроен периметр.
                                                                                                            то для SMB — категорически нет.

                                                                                                            Мелким фирмочкам не нужна безопасность? Сами ведь говорите, что боитесь инсайда. Так ведь системы контроля доступа к сети и DLP как раз могут быть весьма эффективны.
                                                                                                  +1
                                                                                                  Отключение ната не отключает маршрутизацию трафика.

                                                                                                  Внезапно: пакет, отправленный с 192.168.1.1 на маршрутизатор с выключенным натом уйдёт наружу, и дойдёт до получателя с 192.168.1.1 в src.
                                                                                              0
                                                                                              NAT не является средством безопасности, но при этом делает всю заNATенную сеть non-routeable, и для локальной сети предприятия меня это весьма устраивает, меньше возможности проникновения, меньше шансов на ошибку в конфигурации.
                                                                                              Ну и зачем рядовым ПК в организации global routeable адреса?

                                                                                              А кривые они именно из-за неподдержки НАТа, причем если для ФТП достачно тупо в PORT слать внешний айпишник, то с SIPом нужен inspection, и то, как сами знаете, не всегда работает.
                                                                                                0
                                                                                                меньше возможности проникновения, меньше шансов на ошибку в конфигурации.

                                                                                                Всегда нужны решения, осуществляющие compliance сканирование правил файрвола.
                                                                                                Если вы боитесь своих рук, то может, не стоит заниматься ответственными делами?
                                                                                                Ну и зачем рядовым ПК в организации global routeable адреса?

                                                                                                Отказ от NAT/PAT.
                                                                                                А кривые они именно из-за неподдержки НАТа

                                                                                                Т.е. не протокол кривой, а сама концепция NAT.
                                                                                                  0
                                                                                                  Угу, а маленькая фирма пусть ответственных дядек нанимает. Особенно если их рядом нет.

                                                                                                  Т.е. ради идеи? Вопрос не NÁT/PAT, вопрос в отсутствии необходимости.

                                                                                                  Коли сама концепция была кривой, почему же большинство протоколов прнкрасно работает чернз NAT
                                                                                                    –2
                                                                                                    Вопрос не NÁT/PAT, вопрос в отсутствии необходимости.

                                                                                                    А еще в красоте решения.
                                                                                                    Коли сама концепция была кривой, почему же большинство протоколов прнкрасно работает чернз NAT

                                                                                                    Чтобы понять ответ на этот вопрос, задайте себе следующие наводящие вопросы:
                                                                                                    1) Как работает NAT?
                                                                                                    2) Как работает VOIP (для примера)?
                                                                                                    3) Чем VOIP принципиально отличается от HTTP?
                                                                                                      0
                                                                                                      1) переписывает SRC IP и форвардит на нужный интерфейс. В случае PAT может и не переписывать, в обоих случаях требуется иметь connection state table.
                                                                                                      2) через жопу (памятуя сколько геммора я наслушался/поимел при настройке GW). А так — не сильно отличается от того же FTP, одно соединение на control, по одному отдельному соединению на поток. При PASV и разрешения коннектиться на все порты наружу для клиента за NATом даже ftp helper не нужен, само будет работать.
                                                                                                      Для активного режима и строгово фаера — нужен хелпер, но работает. Почему при наличии STUN, хелперов и прочего, это хозяйство всё равно работает через раз — выше моего понимания, потому и делаю вывод, что SIP и RTSP — уродские протоколы, которые ломаются при любом чихе.
                                                                                                      3) в эпоху web 2.0 — ничем наличием дополнительных потоков, которые ломятся в обе стороны как бог на душу положит.
                                                                                                        0
                                                                                                        одно соединение на control, по одному отдельному соединению на поток.

                                                                                                        Отлично — так зачем так сделали? Почему НЕВОЗМОЖНО пускать и сигнализацию, и медию в одном соединении?
                                                                                                        выше моего понимания

                                                                                                        И впрямь.
                                                                                                          0
                                                                                                          Потому что мультиплексирование в один поток — дикое усложнение протокола. Представьте себе какой-нибудь IM, который состоит из «звук», «чат», «видео», «рабочий стол».

                                                                                                          Ваше решение? Написать монстра на ASN.1? Или просто открыть четыре сокета? Лично мне второй вариант кажется куда более элегантным, чем любой, самый изощрённый, метод in-band мультиплексирования.
                                                                                                            0
                                                                                                            Слегка промазали, видимо :)
                                                                                                            Нет, причина, по которой SIP, H.323 и прочие открывают несколько потоков, куда банальнее и очевиднее (и на самом деле с мультиплексированием никаких проблем — взять хотя бы RDP).
                                                                                                            Могу намекнуть: дело не в L4, а в L3.
                                                                                                            0
                                                                                                            Потому что в результате эти соединения идут на разные хосты!

                                                                                                            В контексте SIP сигнализация идёт на сервер моего провайдера VoIP, оттуда к провайдеру второго абонента, оттуда к самому абоненту; а вот сами медиа-данные могут идти напрямую.

                                                                                                            FTP так же можно напрямую соединить — передать данные между серверами, а не транзитом через хост пользователя.
                                                                                                              –1
                                                                                                              Потому что в результате эти соединения идут на разные хосты!

                                                                                                              Бинго! И впрямь, нет ни малейшего смысла пускать голосовой трафик в сторону SIP-провайдера, если вызываемая сторона находится в интернете.
                                                                                                              И чтобы оно в таком виде хоть как-то могло проползти через NAT, требуются всякие костыли вроде STUN — который, как уже было замечено, работает не всегда и не везде.
                                                                                                –1
                                                                                                Именно это я и подразумеваю под «nat выел мозг». В чём ущербность ftp и sip? В том, что они через нат плохо ходят? А может это nat, как технология, ущебрен, а не протоколы?
                                                                                                  +1
                                                                                                  Посыл «nat, как технология, ущебрен» был бы верен, если бы через него нормально ходило бы только 5% протоколов, а всё остальноё требовало изъёбов. В ситуации, когда 95% протоколов прекрасно ходят через NAT, а изъёбов требуют 5% протоколов, вывод о том, кто ущербен — напрашивается сам.
                                                                                                    0
                                                                                                    Идеей IP (по сравнению со всякими IPX) была фундаментальная идея: каждый узел сети может обратиться к каждому. Там было ещё несколько идей — hop-based routing, агрегирование и т.д., но исходная идея Интернета именно в этом и состоит: каждый с каждым.

                                                                                                    Есть куча протоколов, в которых вызов идёт от клиента к серверу (ярчайший пример — HTTP). Но могут быть ситуации и обратные — когда вызов идёт от сервера к клиенту (и SIP отличный тому пример). А ещё может оказаться так, что серверу нужно установить несколько соединений с клиентом для разных субпротоколов.

                                                                                                    Считать, что такой подход ущербен можно только в одном случае — если мы признаём, что есть «особые» IP-адреса серверов, к которым можно подключаться, и есть массовые быдло-адреса клиентов, с которых можно только коннектиться, но к которым нельзя обратиться.

                                                                                                    Если так — да, любой протокол, обращающийся к клиенту пытается обратиться к быдлоадресу и очевидно ущербен.

                                                                                                    Если же мы говорим про Интернет, то тут нет «быдло-адресов», и сервер вполне может обратиться к клиенту.

                                                                                                    А вот технологии, которые переводят Интернет в сегрегированную сеть с «белыми» и «быдло-» IP-адресами — вот они-то как раз с точки зрения принципов Интернета ущербны.
                                                                                                      0
                                                                                                      Идеей IP (по сравнению со всякими IPX) была фундаментальная идея: каждый узел сети может обратиться к каждому

                                                                                                      Когда IP придумывался, небыло речи о кофеварках и холодильниках, подключенных к интернету.
                                                                                                      Но могут быть ситуации и обратные — когда вызов идёт от сервера к клиенту (и SIP отличный тому пример)

                                                                                                      Угу, только в FTP почему-то сделали PASV, а в SIP — нет. Это при том, что SIP делался 1996, когда уже были очевидны проблемы и с адресами и с NATом.

                                                                                                      А вот технологии, которые переводят Интернет в сегрегированную сеть с «белыми» и «быдло-» IP-адресами — вот они-то как раз с точки зрения принципов Интернета ущербны.

                                                                                                      Только идеологически.
                                                                                            0
                                                                                            Собственно, задумайтесь: все IM-протоколы держат TCP-соединение. Всегда. Нахрена, спрашивается? Потому что иначе сервер не может сказать клиенту, что пришло новое сообщение.

                                                                                            Это проблема TCP, а не IP.
                                                                                              0
                                                                                              Каким образом сервер может установить соединение с клиентом, если клиент за натом?
                                                                                                0
                                                                                                Исходящий UDP «пробивает дырку» в NAT со стороны клиента, после чего сервер может невозбранно слать клиенту UDP пакеты в любой момент. Клиенту нужно один раз в начале работы послать серверу пакет.
                                                                                                  0
                                                                                                  И как долго эта дырка держится? Через 4 дня входящий вызов можно прислать? Ну-ну.
                                                                                                    0
                                                                                                    Ничто не мешает дырочку обновлять хоть каждую минуту, заодно сервер будет в курсе, что мы живы.

                                                                                                    А еще спамботы со всего света не будут меня беспокоить. =)
                                                                                                      0
                                                                                                      >> обновлять хоть каждую минуту

                                                                                                      и вы изобрели TCP с его keep-alive ))
                                                                                                        +1
                                                                                                        На что только не пойдут люди, лишь бы протащить старый кривой костыль в будущее.
                                                                                                          –1
                                                                                                          Увы, это не совсем так. UDP пробивает в NAT именно дырочку, в которую может писать любой желающий. И эта дырочка сохраняется довольно долго, даже после физического разрыва связи.

                                                                                                          А TCP без keep-alive и пяти минут не проживет, не говоря уж о физических разрывах. =)
                                                                                                            0
                                                                                                            >> UDP пробивает в NAT именно дырочку, в которую может писать любой желающий

                                                                                                            Прочитайте про типы NAT (Full cone, address restricted и т.п.)
                                                                                                            ru.wikipedia.org/wiki/STUN

                                                                                                            Поведение NAT перпендикулярно протоколу (TCP/UDP).
                                                                                                            Мой роутер, например, не позволяет делать hole punching — если UDP-пакет приходит в дырку от другого IP, а не с того, с кем первоначально установлено соединение, он отбрасывается. Если же ваш роутер принимает в дырку UDP-пакеты с любого IP, вы уверены, что он не делает то же самое с TCP-пакетами?
                                                                                                              0
                                                                                                              * тут подробнее, чем wiki www.cyberguru.ru/networks/network-security/nat-details.html
                                                                                                                0
                                                                                                                Даже если роутер пропустит «чужой» TCP-пакет, его не примет ОС. Потому что TCP в принципе чисто сеансовый и принимает пакеты только от конкретного хоста и порта. И дырка закрывается сразу после сеанса. А с UDP все гораздо проще — он не сеансовый, там нет принципиальных различий между клиентом и сервером. Кто первый вякнул — тот и клиент. И дырка от UDP просто так не закроется, потому как нет «закрывающего» пакета.

                                                                                                                Full Cone NAT нужен только в случае, если оба хоста за NATами. И нужен он только на одной стороне. Для связи с публичным сервером это не требуется.
                                                                                                  –3
                                                                                                  Можете ли вы сидя за натом связаться с своей рабочей станцией на работе?
                                                                                                  Да, могу, потому что есть еще такая штука как порт. over 65000 рабочих станций на 1 белый айпи.

                                                                                                  Наивная, утопическая идея связать «каждый с каждым» натолкнулась на естественное желание обеспечить информационную безопасность. И потому идея эта сейчас объективно не востребована.
                                                                                                    +1
                                                                                                    Наивная, утопическая идея связать «каждый с каждым»

                                                                                                    И это говорит человек эпохи торрентов, VOIPа и так далее.
                                                                                                    естественное желание обеспечить информационную безопасность.

                                                                                                    NAT/PAT не имеет никакого отношения к информационной безопасности.
                                                                                                      –5
                                                                                                      Никогда не возьму на работу сетевика, который всем в офисе даст по белому IP адресу, откроет доступ к торрентам и вообще распахнет сети наружу: подключайтесь!

                                                                                                      Особенно эта фраза «радует»: NAT/PAT не имеет никакого отношения к ИБ… Хотел бы я знать, это позиция Cisco или личное мнение? Ведь по факту NAT обеспечивает некоторую, в ряде случаев достаточную защиту локальной сети. А при столкновении теории и практики — побеждает, как известно, практика.
                                                                                                        +2
                                                                                                        Никогда не возьму на работу сетевика, который всем в офисе даст по белому IP адресу, откроет доступ к торрентам и вообще распахнет сети наружу: подключайтесь!

                                                                                                        Значит, вы слишком мало знаете о сетях.
                                                                                                        Я бы с удовольствием выдал всем внутренним устройствам глобально маршрутизируемые адреса. Только у меня нет достаточного по размерам адресного пространства, только жалкая /22 сетка… И я знаю лишь одну коммерческую организацию, которая так делает, но она реально небольшая. А есть всякие мудаки вроде британского минобороны, которые отхапали себе /8, но ни одного, самого махонького префикса не выпускают…
                                                                                                        Торренты… А откуда они взялись? Как-то странно у вас работает логика… Из «я технически могу это сделать» не следует «я обязательно так сделаю». К сведению: у нас на много тысяч сотрудников лишь пара десятков мегабит трафика от/до внешних ресурсов.
                                                                                                        Хотел бы я знать, это позиция Cisco или личное мнение?

                                                                                                        Всеобщее мнение. Механизм PAT очень похож на крайней ущербности stateful файрвол, нередко пробиваемый без особых проблем (см. UDP hole punching). С таким же успехом можно включить файрвол и без PAT. Даже не с «тем же успехом», а «с лучшими результатами».
                                                                                                        Единственное, что делает PAT по сравнению с нормальным файрволом — маскирует адрес. Всё. Аргумент «не проделав статическую NAT трансляцию, к внутреннему хосту не подключиться» глуп, так как то же самое верно и про файрвол, если подменить «трансляция» на «правило». И если ваша сетевая безопасность построена на PAT (по желанию добавить роутерные ACL), тут уж проблема в ДНК того, кто это придумал.
                                                                                                        А при столкновении теории и практики — побеждает, как известно, практика.

                                                                                                        Вы не владеете ни тем, ни тем, как ни прискорбно об этом говорить.
                                                                                                        В принципе, можете почитать одного из практиков с четвертьвековым опытом — blog.ioshints.info/2011/12/is-nat-security-feature.html. Или вот, неплохая статья: habrahabr.ru/post/134638/ (хотя в ней делается допущение, которое маловероятно в реальной жизни, но все равно интересно).
                                                                                                          –1
                                                                                                          И если ваша сетевая безопасность построена на PAT (по желанию добавить роутерные ACL), тут уж проблема в ДНК того, кто это придумал.

                                                                                                          Эмм, бывают ситуации, когда по другому не сделаешь.
                                                                                                            0
                                                                                                            Дома? Возможно, если уж такое выбрано сетевое железо (вроде большинство хомячковых девайсов вообще не содержит функционала файрвола?), но там и требования соответствующие. На работе? Сомневаюсь. Всегда есть варианты. Даже опенсорсные.

                                                                                                            Вот я являюсь абонентом Онлайм. Они дают пять глобально маршрутизируемых адресов на порт. Счастье? Нет: тут только transparent файрвол будет работать, а мне это неинтересно по ряду причин. А вот если бы они выдавали ровно один адрес, параллельно делая на остальные маршрут в сторону этого адреса и сказав «распоряжайтесь ими как хотите», это было бы великолепно, и у всех моих домашних устройств были бы глобально маршрутизируемые адреса. Ну ладно, не у всех, а у части, если адресов будет всего 4, но все равно приятно :)
                                                                                                              –1
                                                                                                              На работе тоже. Например, если железка не тянет возросшую нагрузку при включении CBAC или стоит базовый IOS.
                                                                                                                0
                                                                                                                Грубый косяк архитектора. Если роутер не тянет CBAC/ZBPF, то значит, он и так работает с близкой к 100% утилизацией ЦП. Немного изменится характер трафика, и ЦП будет перегружен. Соответственно — закупить нормальное железо. Или хотя бы софтовым решением воспользоваться.
                                                                                                                По поводу «базовый IOS» — такие отмазки напоминают мне обсуждение после крупной аварии «ну да, данный критический сервис надо было резервировать, но для этого требовалось что-то докупать, потому я решил, что лучше не надо».
                                                                                                                  –1
                                                                                                                  Большинство софтовых решений не заглядывает выше 4 уровня.
                                                                                                                  А ситуации бывают разные, у кого-то уже есть оборудование, кому-то по тендеру закупили железки без секурных лицензий. Даже в экзамене CCIE есть подобный вопрос (кто-то из антицисковцев писал), правильным ответом на который является использование RACL.
                                                                                                                    0
                                                                                                                    Все файрволы обязаны смотреть выше L4, и хардварный файрвол вовсе не функциональнее софтового, скорее наоборот, сложная логика обработки пакетов не поддается записыванию в ASICи и требует задействования обычного процессора общего назначения.
                                                                                                                    В случае NAT/PAT надо активно изменять данные уровня приложения (без этого будут большие проблемы с тем же VOIP). В случае инспектирования файрволом — не изменять, но анализировать пакет и открывать динамические порты по мере надобности, увидев в заголовке уровня приложения успешное согласование портов обеими сторонами.
                                                                                                                    Но даже на L4 есть много такого, чего не делает PAT, но что делать надо с точки зрения безопасности.

                                                                                                                    «А ситуации бывают разные» — они все сводятся к «инженер просрал все полимеры». И снова: всегда есть обходные пути.

                                                                                                                    RACL — это то, с чем, опять же, не будет работать ни один более-менее сложный протокол. Все равно придется разрешать весь UDP.
                                                                                                                    По экзамену CCIE — почему «даже»? Там очень много извращений. Лаба CCIE — это пример того, как НЕ надо строить продуктивные сети. Слишком сложно, слишком неочевидно, слишком ненадежно. Там другая задача — проверить понимание кандидатом работы отдельных протоколов и их связок в экстремальной ситуации, т.е. чем навороченнее, тем лучше. Ну и раз в блюпринте есть ACLы, надо как-то проверить их знание кандидатом. Пусть даже в надуманном сценарии. В конце концов, application-aware инспектирование не везде доступно. Если надо на каталисте сделать базовую фильтрацию доступа, то о полноценном файрволинге речи нет. Но мы вроде говорили о PAT? Никто не делает PAT на каталистах. Ну и никто не использует каталист для фильтрации трафика там, где атаки действительно вероятны.
                                                                                              0
                                                                                              Что еще более обидно — таки оно в таком виде и не используется. А куда используется — хрен знает.

                                                                                              Вы заблуждаетесь, там все компьютеры имеют белый адрес из выделенных диапазонов.
                                                                                                0
                                                                                                Там — это где? в НР? Точно-точно?
                                                                                                  +1
                                                                                                  Ага, недавно был у них на курсах — все компьютеры в классе имели адрес из 15 подсети. Если не верите, можете спросить у них в блоге.
                                                                                          +1
                                                                                          Если бы 25% — обычно даже бывает, что целых 75%
                                                                                          Пример — клиенту дают «прямой» (то есть не через pppoe/pptp) IP-адрес в отдельном интерфейсе, для этого берется отдельная подсеть /30 — 4 адреса
                                                                                          1 — идентификатор сети (не используется)
                                                                                          2 — адрес его шлюза вешается на оборудование провайдера
                                                                                          3 — выдается клиенту
                                                                                          4 — броадкаст адрес (не используется)
                                                                                          Итого 3/4 адресов столь ценных уходит просто в «никуда». Сейчас конечно многое изменилось, но лет 5 назад такое было сплошь и рядом.
                                                                                            0
                                                                                            Есть сети /31, в которых нету броадкаста и его инверсии ;)
                                                                                    +1
                                                                                    Уж сколько на моей памяти было таких топиков, и каждый раз пророчили что вот-вот ещё чуть-чуть и адреса закончатся, интернет встанет и все виндоусы посыпятся синими окнами и вообще «проблема 2000» покажется детской забавой по сравнению с тем, что нам предстоит «вот буквально завтра».

                                                                                    Но месяцы переходят в годы, топики всё появляются, а IPv4 всё никак не кончается…
                                                                                      +15
                                                                                      Вы не понимаете. Это стадии происходящего.

                                                                                      Сначала все адреса раздали RIR'ам.
                                                                                      Потом RIR'ы ужесточили правила выдачи адерсов LIR'ам.
                                                                                      Теперь остались последние /8

                                                                                      Я лично год назад писал про скрипт для подсчёта числа свободных адресов. Год назад их было 57 миллионов. Прошло чуть-чуть больше года — и их осталось 16.7 миллионов.

                                                                                      Про дальнейшие рассчёты думайте сами.
                                                                                        +3
                                                                                        upd, ссылка не запостилась: habrahabr.ru/post/96079/
                                                                                        +7
                                                                                        Как же хочу ipv6 на домашнем провайдере. :(
                                                                                          0
                                                                                          Спросите. У меня уже почти три года как он есть (desunote.ru). Более того, именно ipv6 я использую для работы с гуглем и кучей других сайтов.
                                                                                            +2
                                                                                            Ответ: «Можем и выдавать, но пока всё это всё равно заворачивается в IPv4, ибо почти никто не поддерживает сие счастье =)». Так что вот. А хочется прямое, нативное такое… Мягкое, белое и пушистое! :)
                                                                                              +1
                                                                                              Ну… ютуб и гугль уже ipv6.

                                                                                              Вконтакт и фейсбук — вполне себе на ipv6 работает.

                                                                                              А это уже сила.
                                                                                                +3
                                                                                                Ох, я этих и так замучался в блеклист добавлять.
                                                                                                  0
                                                                                                  mirror.yandex.ru?
                                                                                                    0
                                                                                                    Не понял причем тут яндекс, но часть его доменов тоже забанена.
                                                                                                      +1
                                                                                                      Сайты, которые работают на ipv6. mirror.yandex.ru, в отличие от yandex.ru, таки работает на ipv6.
                                                                                                        +1
                                                                                                        yandex.com тоже

                                                                                                        host yandex.com
                                                                                                        yandex.com has address 100.43.87.3
                                                                                                        yandex.com has IPv6 address 2a02:6b8::11
                                                                                                        yandex.com mail is handled by 10 mx.yandex.ru.
                                                                                                    0
                                                                                                    не проще ли добавлять в блеклист по именам?
                                                                                                    0
                                                                                                    А как узнать, на v4 или на v6 сайт. Пингую, он мне v4 адреса выдаёт.
                                                                                                      +3
                                                                                                      ping6 вместо ping в юниксах. а вообще лучше смотреть на существование AAAA-записи в DNS:

                                                                                                      dig yandex.com AAAA

                                                                                                      ; <<>> DiG 9.7.3-P3 <<>> yandex.com AAAA
                                                                                                      ;; global options: +cmd
                                                                                                      ;; Got answer:
                                                                                                      ;; ->>HEADER<< — opcode: QUERY, status: NOERROR, id: 22931
                                                                                                      ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

                                                                                                      ;; QUESTION SECTION:
                                                                                                      ;yandex.com. IN AAAA

                                                                                                      ;; ANSWER SECTION:
                                                                                                      yandex.com. 5603 IN AAAA 2a02:6b8::11

                                                                                                      ;; AUTHORITY SECTION:
                                                                                                      yandex.com. 114474 IN NS ns2.yandex.net.
                                                                                                      yandex.com. 114474 IN NS ns1.yandex.net.

                                                                                                      ;; ADDITIONAL SECTION:
                                                                                                      ns1.yandex.net. 169267 IN A 213.180.193.1
                                                                                                      ns1.yandex.net. 3460 IN AAAA 2a02:6b8::1
                                                                                                      ns2.yandex.net. 171303 IN A 213.180.199.34

                                                                                                      ;; Query time: 60 msec
                                                                                                      ;; SERVER: 213.180.205.1#53(213.180.205.1)
                                                                                                      ;; WHEN: Sat Sep 15 10:35:52 2012
                                                                                                      ;; MSG SIZE rcvd: 162
                                                                                                  +3
                                                                                                  Как это выглядит технически? 2 PPP-соединения?
                                                                                                    0
                                                                                                    В теории поверх одного PPP — мультистек выходит ( на практике не видел реализаций ) или что то путаю?
                                                                                                      0
                                                                                                      Почему? PPP соединение одно. v4 адрес назначается IPCP, v6 — IPv6CP. Это на роутере. На компьютере dual stack, общение с роутером и по v4, и по v6. В чем проблема-то?
                                                                                                        +2
                                                                                                        Я не говорю, что есть какая-то проблема.
                                                                                                        Мне, как и другим здесь читателям, интересно узнать, как устроена раздача IPv6 у реального провайдера в реальной ситуации.

                                                                                                        Теоретизировать и цитировать документацию можно сколько угодно, но в реальности может быть совсем по-другому. Например, у покойного Волгателекома до запуска безлимитных тарифов было два PPP соединения (для внутреннего ФОСа и внешки), и абоненты сами мучались с маршрутизацией и оборудованием, не поддерживающем поднятие двух сессий.
                                                                                                          +1
                                                                                                          На всякий случай, отметая попытки логически обьяснить такую несуразность: ip-шник для внутренней ФОС давали «белый», просто он был изолирован от внешней сети фаирволом
                                                                                                            +3
                                                                                                            Мне, как и другим здесь читателям, интересно узнать, как устроена раздача IPv6 у реального провайдера в реальной ситуации.

                                                                                                            Мне реальный провайдер в реальной ситуации выдает порт ethernet, к которому я могу подключить 5 разных устройств (средствами свитча — даже роутер не требуется), и все они получат по глобально маршрутизируемому адресу. Без всяких VPN, PPPoE, любого вида аутентификаций и так далее. Когда у них появится IPv6 — просто будут выдавать еще и v6 адреса.
                                                                                                            Потому, являясь абонентом провайдера, у которого все весьма красиво настроено, мне абсолютно накласть на всяких волготелекомов. Не умеют делать по-человечески — и ладно, меня это не заботит. Сейчас таких провайдеров уже немного осталось.
                                                                                                              +1
                                                                                                              У тиеры выдаётся IPv6 адрес для компьютера/маршрутизатора и /64 для остального оборудования в доме.
                                                                                                                0
                                                                                                                DHCP?
                                                                                                                  +1
                                                                                                                  /64 минимальный префикс для SA
                                                                                                                    0
                                                                                                                    Кстати — пройдет 200 лет, и потомки, в спешке мигрируя всю звездную систему на IPv16, будут долго крыть нас матом за такое транжирство адресного пространства. Да и при наличии схемы «один мак на миллион китайских роутеров» APIPA работает чуточку лучше…
                                                                                                                      0
                                                                                                                      Я бы не стал загадывать так далеко. Кроме того, что вы забыли за пределами атмосферы?
                                                                                                                        +2
                                                                                                                        Я бы не стал загадывать так далеко.

                                                                                                                        В свое время IPv4 воевал с ISO CLNS за господство над миром. Кто выиграл — известно, одним из важных факторов победы была простота адреса — у CLNS адрес мог иметь длину от 8 до 20 байт, и умные головы решили «да ну его к черту, кому нужно такое огромное адресное пространство? Нам и 4-х байт хватит надолго».
                                                                                                                        Кстати, IPv6 имеет с CLNS куда больше общего, чем с IPv4.
                                                                                                                        0
                                                                                                                        Это будет успех. Поищите что-нибудь рукотворное в современном мире, чем люди массово и активно пользуются уже 200 лет.
                                                                                                                          0
                                                                                                                          Колесо? :)
                                                                                                                            0
                                                                                                                            Это кто же сейчас использует колесо, сделанное более 200 лет назад? Колеса сейчас делают больше из металла, шины придумывают разные, диски, смазку, подшипники и т.д.

                                                                                                                            В IPv6 нет ничего нового с точки зрения адресации, просто больше бит, чем в IPv6. Но, если им будут пользоваться 200 лет и только потом изменят — это будет успех.
                                                                                                                            0
                                                                                                                            Мосты/улицы/дороги. Их, конечно, ремонтируют…

                                                                                                                            О, если вас идеи интерсуют — латинский алфавит. Сколько лет там версии не меняли?
                                                                                                                              0
                                                                                                                              Серьезно, много ли этих мостов, дорог, улиц без нового асфальта и капитального (слово-то какое) ремонта?

                                                                                                                              Почему-то людям мало одного словарного запаса, записанного латинскими буквами. Постоянно расширяют, удаляют.
                                                                                                                              В IPv6 все те же единицы и нули, что в IPv4. Их просто больше. Т.е., если отталкиваться от «алфавита»: изменений нет. А вот словарный запас явно изменился.
                                                                                                                                0
                                                                                                                                Я не хотел сказать, что долгоживущих вещей нет. Есть. Коран, Библия, тот же алфавит, производство самурайских мечей и т.д. Но все их отличает успех и некоторое отсутствие динамики.
                                                                                                                                Кому нужен сейчас новый алфавит? Большинству его хватает для записи звуков в виде знаков.

                                                                                                                                RIP уже не тот для большинства, но даже при этом придумали RIPng. 10 Мбит/с по коаксиалу уже не подходит для большинства. Архитектуры Pentium Pro недостаточно для текущих потребностей большинства. 640К всем не хватает.
                                                                                                                                Я хотел сказать, если IPv6 в столь динамичной отрасли просуществует 200 лет, по-моему, это будет успех.
                                                                                                                                  0
                                                                                                                                  RIP уже не тот для большинства, но даже при этом придумали RIPng.

                                                                                                                                  Кто-то использует его для обмена маршрутами между сервером и роутером. А так да, сейчас значительно более эффективные протоколы.
                                                                                                                                  10 Мбит/с по коаксиалу уже не подходит для большинства.

                                                                                                                                  Потому возникли 100, 1000, 10G, 40G и т.д. плавно вверх.
                                                                                                                                  Архитектуры Pentium Pro недостаточно для текущих потребностей большинства.

                                                                                                                                  Архитектура Core основана на Pentium Pro, чего не скажешь про Pentium 4. А еще будущие интеловские дискретные видеокарты Knights Corner по сути являются массой маленьких пентиумпрошек в одном корпусе.
                                                                                                                                  Я хотел сказать, если IPv6 в столь динамичной отрасли просуществует 200 лет, по-моему, это будет успех.

                                                                                                                                  Но выше был пример как раз эволюционного развития. К IPv6 наверняка добавят массу других подпротоколов, напишут тысячи RFC. Но радикальных изменений не будет, слишком они сложны.
                                                                                                                          +1
                                                                                                                          У тиеры в сети нет DHCP, только статика. Зато нет и mac-локинг. Воткнулся в порт — если настройки сети знаешь, можно пользоваться.
                                                                                                                  0
                                                                                                                  а у тебя там mediawiki говорит что хотет запустить скриптец после обновления
                                                                                                                    0
                                                                                                                    А, спасибо, я про неё почти забыл. Но там всё равно ничего интересного нет.
                                                                                                                      0
                                                                                                                      да это нормально. я вот третий день забываю поднять свой блог. работа, фигли…
                                                                                                                    0
                                                                                                                    desunote.ru лег. Ни когда не слышал про этого провайдера.
                                                                                                                      0
                                                                                                                      desunote.ru не лёг (с него картинка в посте), и это не провайдер, этой домашний компьютер. На нём куча сайтов, один из них (дефолтный на медиавики) криво проапгрейдился. Это не мешает другим отдавать разный контент (например, картинки, или, там, xmpp).
                                                                                                                      +1
                                                                                                                      А поддержка со стороны девайсов разве не требуется?
                                                                                                                        0
                                                                                                                        Зависит от того, чем эти «девайсы» занимаются.
                                                                                                                          0
                                                                                                                          Кабельный модем, например.
                                                                                                                            +1
                                                                                                                            Там какая-то фагготрия с IP over ATM? Или DOCSYS?

                                                                                                                            Короче, если железка что-то знает про IP, то ей нужно знать и про IPv6. Если железка занимается L2, то IPv6 ей пофигу.
                                                                                                                              0
                                                                                                                              DOCSYS лично у меня. Что-то про IP точно знает, хотя бы потому что сама откликается на 192.168.100.1 и раздаёт адреса из 192.168.100.x если кабель отключен.
                                                                                                                                +1
                                                                                                                                Тогда потребуется апгрейт железа.
                                                                                                                                  0
                                                                                                                                  Причем не только CPE а также и самих CMTS. Железо там очень олдскульное и при этом довольно дорогое. Полностью менять существующую DOCSIS инфраструктуру для провайдера — полностью нереальный и не рентабельный ужас. В разы дешевле получится сконвертировать существующих абонентов в HCNA (что тоже бред) либо за свой же счет в FTTx. Ну либо 6to4 на худой конец.

                                                                                                                                  P.S. Небыло там никогда «Y» — DOCSIS оно, Data Over Cable Service Interface Specifications.
                                                                                                                                    +1
                                                                                                                                    Я все эти паллиативные технологии (модемы, ADSL, DOCSIS и т.д.) всегда считал уродством. Ethernet, нормальная коммутация, маршрутизация и всебщее счастье. Желательно либо в PON, либо активкой.
                                                                                                                                      0
                                                                                                                                      Ну, в 98-м году оно не так еще убого выглядело.

                                                                                                                                      Лично у меня в то время было царствие Фидо и уже ближе к 99-му дайлап на 14400 в хорошую погоду. Также для разнообразия, можно повспоминать цены на Fast Ethernet решения в то же время (ух помню как я гордился настоящим соточным хабом(!) в то время).

                                                                                                                                      Итого во времена разработки стандарта оно себя вполне себя оправдывало до середины 2000-х по соотношению цена/продуктивность. А при условии наличия существующей КТВ инфраструктуры было просто идеальным почти до середины 00-х как убийца ADSL, тем более с такими-то фичами которые умел DOCSIS в то время — полисинг, балансировка апстримов, довольно глубокое управление CPE и прочие вкусности.
                                                                                                                                      Все что началось после этого — DOCSIS 3.0 (2008), HCNA — это просто слабые попытки оттянуть кончину технологии и дать операторам какое-то время на реорганизацию существующей сети под сегодняшние реалии.
                                                                                                                                        0
                                                                                                                                        Хм, у нас в середине 2000-х как раз начали и строить кабельную сеть, и сразу вешать на неё DOCSIS.
                                                                                                                                      0
                                                                                                                                      кстати, а доксис 3й то же ipv6 не умеет? я вот всю думаю, когда Воля в Киеве начнет уже чесаться по этому поводу.
                                                                                                                                      а заодно когда всякие home-wide длинки, тплинки, линксисы и прочие начнут внедрять в роутеры ipv6…
                                                                                                                                        +1
                                                                                                                                        Воля со своей кабельной инфраструктурой меня печалит каждый раз когда приезжаю в Киев.
                                                                                                                                        Видеть подключение в 5Мбит, который даже не всегда гарантированный (при цене гарантированного на средних объемах), это как вернуться в 2007 год в Харькове.
                                                                                                                                        А если еще вспомнить какой в Воле Кабель хамский саппорт и нежелание исправлять свои же косяки…
                                                                                                                                        В общем желаю Воле скорой кончины…