OT IPv6 - prakticke zkusenosti
František Burian
BuFran na seznam.cz
Pondělí Říjen 9 15:19:19 CEST 2017
Diskuse v textu.
---------- Původní e-mail ----------
Od: Jan 'yanek' Bortl <yanek na yanek.cz>
Komu: hw-list na list.hw.cz
Datum: 9. 10. 2017 13:53:22
Předmět: Re: OT IPv6 - prakticke zkusenosti
"Ja bych to videl spis tak, ze to nekdo zvoral, nebo tomu obsluha
nedostatecne porozumela. Muzete upresnit co se tam deje? "
Vypnutí ipv6 je hotfix problému, jehož řešení by znamenalo další cvičení ve
kterém by studenti "něco magického datlovali"
do klávesnice a stejně by nepochopili proč to dělají. A na to čas není.
Proto to (prozatím) děláme takto. Nejsem proti ipv6 ale
její zavedení brání níže popsané problémy, jejichž řešení si žádá více času,
než jednoduché vypnutí IPV6 a použití NAT na IPV4.
"Linux s tim nema vubec nic spolecneho. (Respektive muzete jmenovat,
ktere dalsi protokoly krom dale zmineneho FTP jsou linux related?) "
To byl příklad zrovna jednoho protokolu, který je velmi úzce integrován do
Linuxu, nemyslel jsem to ve smyslu že Linux za to může.
"Protokol FTP vznikal v dobe, kdy firewall bylo sproste slovo. Navic umi
pasivni rezim, ktery todle krasne resi. "
Ale ten pasivní režim není v defaultu (nebo v nějakém failsafe po timeoutu
když to nefunguje) povolený !
"Bavime-li se o linuxovem netfilteru, tak tam conntracky, jestli se
nepletu, funguji samozrejme i na IPv6. Ohledne vice routeru - uplne
stejny problem mate i s IPv4. Do linuxu napriklad existuje conntrackd,
ktery castecne umi resit to co mate na mysli. "
Bavíme se o principu. Zde opravdu nezáleží, na konkrétní implementaci
(mimochodem u nás je to Cisco firewall, je to počítač rozložený do 3
místností, a filtruje několik možná stovek Gbps do cesnetu). Z principu
nejde trackovat packety procházejcí více routery.
"Pokud vim, nedavno probehla informace ze Debian prechazi na HTTP. FTP je
v dnesni dobe jiz k danemu ucelu "neefektivni". Coz ale neznamena, ze ho
vsichni najednou prestanou pouzivat. K tomu neni zadny duvod (teda je,
ale nema to spojitost s IP vrstvou jako takovou). "
To je samozřejmě dobrá zpráva a budu tiše čekat, než se to promítne do
aktuálního Raspbianu a ty ftp mirrory umřou samy. Počítám cca 5-10 let. Nebo
více.
"Todle se resilo pred 20ti lety. Znate nejaky program, ktery pasivni
rezim neumi? "
Ano, ale musím to nastavovat, pro každý program zvlášť ... vysvětlovat
studentům, kteří se s linuxem dostávají do styku poprvé,
doposud viděli jen windows, to je ten problém.
"Nema smysl se tady hadat nad nesmyslem. IPv6 je potreba. IPv4 davno
nestaci. Jina moznost ted ani na obzoru neni. Adresy davno dosly. "
Já se nehádám, jen jsem chtěl znát názor nebo tip na řešení a nabídl jsem
jeden z konkrétních problémů které ipv6 __v současnosti__ má a jehož
řešení je zakázat ipv6 konektivitu.
"Jestli vam nefunguje FTP, tak to reklamujte u dodavatele sluzby. "
Provedeno, bylo oznámeno že nemám používat ftp ale mám používat sftp (pokud
vím na sftp není žádný z mirrorů Debianu).
"Zadne "rozsirovani" velikosti IP adresy, jak tu nekdo navrhoval, v ramci
verze 4 fungovat nemuze. To, ze jsou v IPv6 hloupe nesmysly je
samozrejme neoptimalni. Nicmene na to jak vypada samotny protokol IPv6
todle vliv nema. DHCP i SLAAC jsou trosku jine veci. "
Úplně nám prozatím stačí NAT, nepotřebujeme aby roboti byli dostupní zvenku,
jen potřebujeme, aby si mohli studenti raspbian aktualizovat, jen z tohoto
důvodu je spojení s vnějším světem potřeba.
S pozdravem,
Franta Burian
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/a481a426/attachment.html>
Další informace o konferenci Hw-list