Комментарии 46
ВК когда-то работал по IPv6, но потом, как мне сказали в поддержке, отключили из-за спамеров. Если случаются отказы от IPv6, то что-то даже фиг знает
НЛО прилетело и опубликовало эту надпись здесь
Разве отказ от NAT требует полного отказа от маршрутизатора между локальной сетью и Internet? А если маршрутизатор остается, то что ему мешает по прежнему обеспечивать фильтрацию трафика?
Строго говоря, ipv6 не ломает концепцию NAT. NAT можно перевести на ipv6 ровно в том виде, в котором он сейчас существует.
Впрочем, наверняка можно придумать более правильные механизмы фильтрации. Тоесть, реализовывать фильтрацию трафика не лишая внутреннюю машину глобального ip.
Впрочем, наверняка можно придумать более правильные механизмы фильтрации. Тоесть, реализовывать фильтрацию трафика не лишая внутреннюю машину глобального ip.
Фаерволы придумали трусы!
НЛО прилетело и опубликовало эту надпись здесь
Фильтровать доступ на рабочем месте должен прокси. Это на IPv6 можно реализовать. Но как системный администратор, с задачами жёсткой фильтрации доступа в интернет, я не понимаю зачем мне во внутренней сети IPv6? Зачем мне нужен компьютер генерального директора или разработчика, с чувствительными данными, с белыми адресами в интернете? И IPv6 предъявляет повышенные требования к ПО любого устройства (фаерволл, актуализация ПО) и его настройке. Любые проблемные устройства я могу закрыть NAT'ом на границе и уже там осуществлять контроль, не особо заморачиваясь настройкой фаервола на конечном устройстве.
Извините, оставлю это под вашим комментарием.
Я конечно понимаю что на роутере три строчки:
гораздо длиннее чем одна:
Да фактический смысл этих строк разный, но логически они схожи: выпустить весь исходящий трафик и принять ответы на него, и заблокировать любой входящий трафик ни с чем не связанный.
Весь заморочь в головах. То что в IPv4 введена концепция Private IP, а в IPv6 она упразднена за особой не надобностью. По идее никто не мешает получать себе от провайдера подсеть /64 и заявлять всему миру что она приватная «FORWARD DROP»(в абстрактном смысле).
NAT это не «закрывашка» это инструмент который решает совсем другие задачи (привет КЭП); сколько еще будет обсуждений что FIREWALL всему голова, а NAT это левая рука(нога, палец и т.д.; кому как интересно).
Я конечно понимаю что на роутере три строчки:
ip6tables -P FORWARD DROP
ip6tables -A FORWARD -m state --state NEW -i $LAN_IF -o $WAN_IF -s $SUBNETPREFIX -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPTгораздо длиннее чем одна:
iptables -t nat -A POSTROUTING -o $WAN_IF -s $SUBNET -j MASQUERADEДа фактический смысл этих строк разный, но логически они схожи: выпустить весь исходящий трафик и принять ответы на него, и заблокировать любой входящий трафик ни с чем не связанный.
Весь заморочь в головах. То что в IPv4 введена концепция Private IP, а в IPv6 она упразднена за особой не надобностью. По идее никто не мешает получать себе от провайдера подсеть /64 и заявлять всему миру что она приватная «FORWARD DROP»(в абстрактном смысле).
NAT это не «закрывашка» это инструмент который решает совсем другие задачи (привет КЭП); сколько еще будет обсуждений что FIREWALL всему голова, а NAT это левая рука(нога, палец и т.д.; кому как интересно).
Тут во многом дело в том, что эта «не закрывашка» по факту всё-таки оказывается и закрывашкой тоже. То есть я купил роутер, воткнул в него все свои девайсы, и знаю, что к ним никто снаружи не проломится, пока я сам, своими руками не настрою проброс портов или VPN. С IPv6 иначе: всё по умолчанию светится наружу, и чтобы обеспечить безопасность, мне надо сначала об этом факте вообще хоть откуда-то узнать, во-вторых, нагуглить, как это всё настраивать (вот я не специалист в iptables, и те жуткие команды мне ну совершенно непонятны), в-третьих, настроить (с учётом того, что на разных роутерах это делается по-разному; на моих вот, например, даже терминала нет, ни SSH, ни telnet, так что команды iptables я просто не имею возможности запустить).
Да, NAT и firewall — это разные инструменты. Но если старая плоская отвёртка отлично подходила ещё и для крестовых шлицев, а новая не подходит, то человек, даже отчётливо понимая, что, по-хорошему, ему нужна крестовая отвёртка, может предпочесть пользоваться привычной старой плоской, которая и так делает всё, что ему требуется.
Да, NAT и firewall — это разные инструменты. Но если старая плоская отвёртка отлично подходила ещё и для крестовых шлицев, а новая не подходит, то человек, даже отчётливо понимая, что, по-хорошему, ему нужна крестовая отвёртка, может предпочесть пользоваться привычной старой плоской, которая и так делает всё, что ему требуется.
> Самыми активными странами по использованию протокола IPv6 являются Германия (39,14%), Греция (36,53%) и США (34,23%).
Э-э-э, а как-же Бельгия с 52+% на той же карте?
Э-э-э, а как-же Бельгия с 52+% на той же карте?
Процесс, в любом случае, необратим… Так что перейдём все, никуда не денемся.
50% до конца десятилетия — верится с трудом. График очень красивый. Похож на правду — по идее — колебательный процесс с небольшими флуктуациями, похож на процессы в ТАУ. Если это действительно так, процесс ускорится, но не на много. 2022, ИМХО, более реальный прогноз для 50%. Дальше рост начнет замедляться. Где-то к 2032 от ipv4 остануться проценты.…
Ну… Гадание по графику…
50% до конца десятилетия — верится с трудом. График очень красивый. Похож на правду — по идее — колебательный процесс с небольшими флуктуациями, похож на процессы в ТАУ. Если это действительно так, процесс ускорится, но не на много. 2022, ИМХО, более реальный прогноз для 50%. Дальше рост начнет замедляться. Где-то к 2032 от ipv4 остануться проценты.…
Ну… Гадание по графику…
Колебательный процесс объясняется обычным недельным графиком и означает, по идее, большее проникновение IPv6 в домохозяйствах, чем в офисах.
По моему больше всего в IPv6 заинтересованы мобильные операторы. У них очень много клиентов и очень много трафика идёт через одну точку, в которой они как то должны балансировать трафик, адреса и порты. А ведь им, как и прочим провайдерам дают IPv4-адреса малыми порциями. Мобильниками же легко объяснить рост IPv6-трафика, ведь доля мобильного трафика до сих пор растёт.
Но в СНГ это не актуально, нет у наших сотовых операторов такого трафика. Можно весь NAT повесить на один единственный мощный роутер.
Но в СНГ это не актуально, нет у наших сотовых операторов такого трафика. Можно весь NAT повесить на один единственный мощный роутер.
На один врядли. Судя по публичным отчётам, у наших опсосов где-то 10-15 терабит трафика.
Но в общем, может у кого-то вопрос IPv6 и стоит на повестке дня, но не у всех.
Но в общем, может у кого-то вопрос IPv6 и стоит на повестке дня, но не у всех.
Но в общем, может у кого-то вопрос IPv6 и стоит на повестке дня, но не у всех.И это, в общем, серьёзно огорчает. Одна вещь, на которую тут, может быть, не очень обратили внимание — а стоило бы: в лидерах — страны, с которых можно получить больше всего денег. Не обязательно самые богатые… Индия — это нищая, в общем-то, страна… но при этом это, всё-таки, не Афрка и индусов — очень и очень много. А Германия, США, Япония… просто богатые страны. В результате небольшое отставание от графика, о котором я писал много лет назад ни на что не повлияет: в начале следующего тысячелетия появление сервисов принципиально не поддерживающих IPv4 — вполне верояно… а что это, фактически, отсечёт целые страны, в том числе Россию… будет волновать только жителей эти стран…
P.S. Интересно — будет это воспринято так, как это реально и будет (просто выгоднее «забить» на людей, не имеющих отдельного IP, если их не очень много, так как это резко упрощает многие вещи) или начнуть объяснять это неофициальными санкциями против России?
Справедливости ради, в МТС можно опционально пользоваться dualstack'ом.
Это по-прежнему не включено по умолчанию (требуется подключать услугу в ЛК), но работает без проблем.
Это по-прежнему не включено по умолчанию (требуется подключать услугу в ЛК), но работает без проблем.
Кстати хорошее решение со многих сторон. По крайней мере если кому-то IPv6 реально надо (а это время стремительно приближается), то он может его включить…
Ну, по факту-то, решение хреновое: надо по умолчанию включать всем не спрашивая.
Во всех моих Android-телефонах, сколько я себя помню, dualstack был включен по умолчанию.
Ну и в любом случае, это один оператор из четырёх федеральных. Остальные не чешутся и не планируют: я прямо интересовался у господ из Yota, есть ли у них внедрение в планах — говорят, что нет.
Во всех моих Android-телефонах, сколько я себя помню, dualstack был включен по умолчанию.
Ну и в любом случае, это один оператор из четырёх федеральных. Остальные не чешутся и не планируют: я прямо интересовался у господ из Yota, есть ли у них внедрение в планах — говорят, что нет.
Есть вероятность, что 25% это не пользователи перешли, а новые устройства сразу идут на IPV6, ибо им не нужен IPV4.
Вот только без поддержки ISP — эти новые устройства ничего сделать не смогут.
P.S. На этом графике кроме жирной зелёной линии (условно — люди, получившие IPv6 от провайдера) есть ешё тооооненькая такая красная линия (условно — энтузиасты, настраивающие IPv6 самостоятельно). Вот если вернуться в 2009й год — то там на каждого пользователя, получившего IPv6 от ISP приходится два настроивших его руками. А примерно к 2012у году количество «самоделкиных» упало чуть не в 10 раз, а количество «халявщиков» — возросло примерно во столько же раз… так что разница стала примерно стократной… сейчас же «самоделкиных» — ещё меньше…
P.S. На этом графике кроме жирной зелёной линии (условно — люди, получившие IPv6 от провайдера) есть ешё тооооненькая такая красная линия (условно — энтузиасты, настраивающие IPv6 самостоятельно). Вот если вернуться в 2009й год — то там на каждого пользователя, получившего IPv6 от ISP приходится два настроивших его руками. А примерно к 2012у году количество «самоделкиных» упало чуть не в 10 раз, а количество «халявщиков» — возросло примерно во столько же раз… так что разница стала примерно стократной… сейчас же «самоделкиных» — ещё меньше…
Надеюсь, что не перейдем. Такая низкая скорость внедрения в том числе показывает и массовое отторжение нового стандарта со стороны всех заинтересованных сторон.
Отторжение больше связано с необходимостью поддерживать двойной стек. Затраты растут, а прибыль остаются прежней. На сей счёт было придумано множество костылей вроде 6RD, но большого распространения они не получили. Многие сайты построенные на CMS, вообще могут включить IPv6 тупо прописав запись в DNS.
Мой федеральный провайдер даже не чешется вводить ipv6.
гугл еще любят парсить через IPv6
НЛО прилетело и опубликовало эту надпись здесь
Вообще, казалось бы, для домашней локальной сети IPv4 вполне себе достаточно, даже с учётом всех железяк, подключённых к сети.
Но вот если планируется реализация умного дома, где все железки общаются по сети, всего пула адресов может не хватить, чтобы все эти железки оказались в одной подсети.
В таком случае устройства умного дома могут сидеть на IPv6 и общаться с одним роутером, а всё остальное оборудование может быть на IPv4, а то как-то не удобно будет запоминать длинные адреса устройств для того же входа по SSH.
Мне кажется, что не будет полного перехода на IPv6, по крайней мере в локальных сетях.
Но вот если планируется реализация умного дома, где все железки общаются по сети, всего пула адресов может не хватить, чтобы все эти железки оказались в одной подсети.
В таком случае устройства умного дома могут сидеть на IPv6 и общаться с одним роутером, а всё остальное оборудование может быть на IPv4, а то как-то не удобно будет запоминать длинные адреса устройств для того же входа по SSH.
Мне кажется, что не будет полного перехода на IPv6, по крайней мере в локальных сетях.
Вообще, NAT имеет пару плюсов:
— сокращает поверхность атаки на пользователей (по умолчанию NAT не позволяет отправлять UDP и устанавливать TCP соединения снаружи). У пользователей могут быть открытые порты.
— немного затрудняет идентификацию пользователя, так как за одни IP могут сидеть разные пользователи и он может присваиваться динамически
— сокращает поверхность атаки на пользователей (по умолчанию NAT не позволяет отправлять UDP и устанавливать TCP соединения снаружи). У пользователей могут быть открытые порты.
— немного затрудняет идентификацию пользователя, так как за одни IP могут сидеть разные пользователи и он может присваиваться динамически
В отличии от IPv4, нет никаких проблем с использованием нескольких ip-адресов. Можно вообще каждому сетевому сервису выдать по адресу. Если злоумышленник не знает на каком адресе весит сервис, то и достучатся до него не сможет. В Интернет можно выходить с адреса на котором вообще ничего не весит. Windows по умолчанию ходит с временных адресов и её службы не должны откликаться с этих адресов.
Что до анонимности, гугл и сейчас всех прекрасно различает, а провайдерский NAT не скрывает ничего от ФСБ. А анонимность от тех, кто не сможет сопоставить действия в сети с конкретным почтовым адресом или реальной личностью, бессмысленна.
Что до анонимности, гугл и сейчас всех прекрасно различает, а провайдерский NAT не скрывает ничего от ФСБ. А анонимность от тех, кто не сможет сопоставить действия в сети с конкретным почтовым адресом или реальной личностью, бессмысленна.
google://ipv6+temp+address
НЛО прилетело и опубликовало эту надпись здесь
Год назад копался с ipv6. Тоннели поднимал, прокси настраивал (которые ip -6 proxy rule), openvpn и прочее. Недели две где то копался. Интересно, было. Успешно настроил. И бросил.
Ибо невостребовано.
Есть огромный пласт железа который не умеет в ipv6. И этот пласт железа никуда не денется и обновляться будет очень медленно и не меньше десятка лет.
Массовый интернет вещей в этой стране не существует и существовать в обозримом будущем не будет по причинам далеким от технических, а именно у каждого свои проблемы — у одних суп жидкий у других жемчуг мелкий. Так вот здесь сейчас не будет массовой проблемы мелкого жемчуга.
Провайдеры при подключении выделяют клиентам серый ip v4 адрес и этого клиентам ХВАТАЕТ. Соответственно потребности нет. Для домашнего внутриквартирного интернета ip v4 хватает за глаза.
Плюс, ужасная, просто ужасная архитектура. ipv4 мелкий, примитивный, простой, но при наличии nat очень легкий и гибкий. ipv6 громоздкий. Плюс где несложные доки для среднего уровня внедренцев, которые как раз и были основной массой поднявшей ipv4?
Я запоминаю ipv4 адреса, но я не могу запомнить ipv6 адреса.
Короче, короче я не верю в глобальное внедрение ipv6 в этой стране. Оно будет происходить по мере смены КЛИЕНТСКОГО оборудования, а меняться оно в текущей реальности будет очень медленно.
Я думаю к этой теме можно будет вернуться лет через пять, не меньше. Пока нет этом смысла, невостребовано оно.
Ибо невостребовано.
Есть огромный пласт железа который не умеет в ipv6. И этот пласт железа никуда не денется и обновляться будет очень медленно и не меньше десятка лет.
Массовый интернет вещей в этой стране не существует и существовать в обозримом будущем не будет по причинам далеким от технических, а именно у каждого свои проблемы — у одних суп жидкий у других жемчуг мелкий. Так вот здесь сейчас не будет массовой проблемы мелкого жемчуга.
Провайдеры при подключении выделяют клиентам серый ip v4 адрес и этого клиентам ХВАТАЕТ. Соответственно потребности нет. Для домашнего внутриквартирного интернета ip v4 хватает за глаза.
Плюс, ужасная, просто ужасная архитектура. ipv4 мелкий, примитивный, простой, но при наличии nat очень легкий и гибкий. ipv6 громоздкий. Плюс где несложные доки для среднего уровня внедренцев, которые как раз и были основной массой поднявшей ipv4?
Я запоминаю ipv4 адреса, но я не могу запомнить ipv6 адреса.
Короче, короче я не верю в глобальное внедрение ipv6 в этой стране. Оно будет происходить по мере смены КЛИЕНТСКОГО оборудования, а меняться оно в текущей реальности будет очень медленно.
Я думаю к этой теме можно будет вернуться лет через пять, не меньше. Пока нет этом смысла, невостребовано оно.
Провайдеры при подключении выделяют клиентам серый ip v4 адрес и этого клиентам ХВАТАЕТ.Ну если им нравится решать капчи.
Короче, короче я не верю в глобальное внедрение ipv6 в этой стране.Почему нет?
Пока нет этом смысла, невостребовано оно.Ну то есть Россия сознательно выбрала путь аврала: дождаться когда IPv6 «вдруг» (ага, «вдруг»… после десятилейтий внедрения) станет остро необходим — и потом настраивать всё в пожарном порядке.
Плюс где несложные доки для среднего уровня внедренцев, которые как раз и были основной массой поднявшей ipv4?Я боюсь что доки по IPv4 вам кажутся «несложными» либо потому что вы с ними много возились, либо потому, что они очень ограничены.
У меня в квартире два провайдера из двух дают IPv6, да вот проблемка — исключительно динамический, даже при оплате услуги статический IP. И сколько не просят люди на провайдерских форумах сделать по-нормальному… не делают.
Про скорость внедрения… Только этим летом в не самом последнем по распространенности дистрибутиве Debian исправили DHCPv6-PD. (если судить по нескольким отслеживаемым мной багам на гитхабе, в живую еще не пробовал)
Про скорость внедрения… Только этим летом в не самом последнем по распространенности дистрибутиве Debian исправили DHCPv6-PD. (если судить по нескольким отслеживаемым мной багам на гитхабе, в живую еще не пробовал)
НЛО прилетело и опубликовало эту надпись здесь
Примерно 70%-80% из пользователей IPv6 это мобильные операторы и принадлежащие им ISP. В первую очередь IPv6 решает проблемы маштабирования и маленьким игрокам пока эти проблемы не близки.
В статье не упомянута очень серьёзная проблема IPv6 — сложнее бороться с DDOS.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пользователи Google перешагнули 25% рубеж по количеству IPv6-соединений