OT IPv6 - prakticke zkusenosti

Jan 'yanek' Bortl yanek na yanek.cz
Pondělí Říjen 9 13:53:07 CEST 2017 

Jen par upresneni:


Dne 9.10.2017 v 12:24 František Burian napsal(a):
> Zdravím osazenstvo při pondělku,
>
>   Já se zeptám z jiného soudku. Nejsem zbhlý v ipv6, takže mě
> nekamenujte, a rád se přiučím jak to má být správně. Ve škole máme
> firewall, myslím si že dobře nastavený, a právě proto ve cvičeních
> jako první věc kterou uděláme se studenty je, že zakážeme na robotech
> IPv6. Proč ? Protože to pak s ipv6 nejede, objevují se špatně
> diagnostikovatelné problémy.

Ja bych to videl spis tak, ze to nekdo zvoral, nebo tomu obsluha
nedostatecne porozumela. Muzete upresnit co se tam deje?

>
>   Správný firewall by měl dovnitř propustit jen ty data, která dovnitř
> projít můžou, tedy jen povolené porty a related komunikaci (zahájenou
> zevnitř). Jenže internet (a obzvláště Linux) je plný protokolů, které
> vyžadují spojení zvenčí na jiném portu než byla zahájena komunikace.

Linux s tim nema vubec nic spolecneho. (Respektive muzete jmenovat,
ktere dalsi protokoly krom dale zmineneho FTP jsou linux related?)

>
>   Vezměme si takový obecně rošířený a spolehlivý protokol FTP. Ten v
> aktivním režimu na hlavním portu 21 jen vyjednává komunikaci, na
> kterém portu bude naslouchat obsahu souboru a řekne serveru ať mu na
> něj začne posílat data. No jo, jenže pokud je na cestě firewall, tak
> ten tu komunikaci zařízne takže nic nestáhnete. U NAT řešení existují
> moduly do jádra, které toto řeší, modifikují provoz a automaticky
> otevírají porty ve firewallu a doplňují conntrack tabulku, takže je v
> každém okamžiku jasné která data mají jít na který pc za NATem.
> Pravda, se šikovným softwarem na pc uvnitř dokážete takto dostat
> dovnitř libovolná data na libovolný port, což je bezpečnostní riziko.

Protokol FTP vznikal v dobe, kdy firewall bylo sproste slovo. Navic umi
pasivni rezim, ktery todle krasne resi.

>
>   U ipv6 tohle udělat nejde, protože nejde vytvořit conntrack tabulka
> na routeru. Směrování v ipv6 se provádí pomocí RA, takže obecně se
> může ohlásit více routerů a každý packet může jít přes libovolný z
> nich. Řeší se tak load balancing i spolehlivost výpadku. Díky tomu
> nelze automaticky otevírat porty ve firewallu a FTP tedy je nefunkční
> protokol.

Bavime-li se o linuxovem netfilteru, tak tam conntracky, jestli se
nepletu, funguji samozrejme i na IPv6. Ohledne vice routeru - uplne
stejny problem mate i s IPv4. Do linuxu napriklad existuje conntrackd,
ktery castecne umi resit to co mate na mysli.

>
>   Když jsem takhle u piva toto řešil s nejvyšším ze správců sítě, tak
> koncenzus byl, že protokoly jako FTP apod se prostě musí přestat
> používat, jiné řešení neexistuje. Akceptuji-li tento koncensus, pak
> musím počkat, než mi balíčkovací systém Linuxu přestane nabízet FTP
> jako zdroj aktualizací v defaultu. A jelikož majorita těchto mirrorů
> právě v současnosti využívá protokol FTP, navíc jsou tyto mirrory dle
> IP nejblíž páteři (ftp.cvut.cz) nemám jinou možnost než zakázat tento
> jistě progresivní protokol ipv6.

Pokud vim, nedavno probehla informace ze Debian prechazi na HTTP. FTP je
v dnesni dobe jiz k danemu ucelu "neefektivni". Coz ale neznamena, ze ho
vsichni najednou prestanou pouzivat. K tomu neni zadny duvod (teda je,
ale nema to spojitost s IP vrstvou jako takovou).

>
>   Jistě, můžu nastavit __každému programu__ který má implementovaný
> protokol FTP aby používal pasivní režim. To ale znamená hromadu
> konfigurací na mnoha místech, a pokud to nebude v defaultu v čisté
> instalaci, tak to dělat nebudu. Těch protokolů je víc, které to takto
> mají, musel bych je takto konfigurovat všechny.

Todle se resilo pred 20ti lety. Znate nejaky program, ktery pasivni
rezim neumi?

>
> Co Vy na to ?

Nema smysl se tady hadat nad nesmyslem. IPv6 je potreba. IPv4 davno
nestaci. Jina moznost ted ani na obzoru neni. Adresy davno dosly.

Jestli vam nefunguje FTP, tak to reklamujte u dodavatele sluzby.

Zadne "rozsirovani" velikosti IP adresy, jak tu nekdo navrhoval, v ramci
verze 4 fungovat nemuze. To, ze jsou v IPv6 hloupe nesmysly je
samozrejme neoptimalni. Nicmene na to jak vypada samotny protokol IPv6
todle vliv nema. DHCP i SLAAC jsou trosku jine veci.

>
> František Burian


-- 
Jan 'yanek' Bortl <yanek [at] ya.bofh. cz>
http://ya.bofh.cz/ | jab: yanek [at] mitranet. cz
-----------------------------------------------------------------
"Maybe one day you will learn that your way is not the only way."
                                        Opher [StarGate: The Nox]

Další informace o konferenci Hw-list