<html><body>Zdravím osazenstvo při pondělku,<br><br>  Já se zeptám z jiného soudku. Nejsem zbhlý v ipv6, takže mě nekamenujte, a rád se přiučím jak to má být správně.  Ve škole máme firewall, myslím si že dobře nastavený, a právě proto ve cvičeních jako první věc kterou uděláme se studenty je, že zakážeme na robotech IPv6. Proč ? Protože to pak s ipv6 nejede, objevují se špatně diagnostikovatelné problémy.<br><br>  Správný firewall by měl dovnitř propustit jen ty data, která dovnitř projít můžou, tedy jen povolené porty a related komunikaci (zahájenou zevnitř). Jenže internet (a obzvláště Linux) je plný protokolů, které vyžadují spojení zvenčí na jiném portu než byla zahájena komunikace. <br><br>  Vezměme si takový obecně rošířený a spolehlivý protokol FTP. Ten v aktivním režimu na hlavním portu 21 jen vyjednává komunikaci, na kterém portu bude naslouchat obsahu souboru a řekne serveru ať mu na něj začne posílat data. No jo, jenže pokud je na cestě firewall, tak ten tu komunikaci zařízne takže nic nestáhnete. U NAT řešení existují moduly do jádra, které toto řeší, modifikují provoz a automaticky otevírají porty ve firewallu a doplňují conntrack tabulku, takže je v každém okamžiku jasné která data mají jít na který pc za NATem. Pravda, se šikovným softwarem na pc uvnitř dokážete takto dostat dovnitř libovolná data na libovolný port, což je bezpečnostní riziko.<br><br>  U ipv6 tohle udělat nejde, protože nejde vytvořit conntrack tabulka na routeru. Směrování v ipv6 se provádí pomocí RA, takže obecně se může ohlásit více routerů a každý packet může jít přes libovolný z nich. Řeší se tak load balancing i spolehlivost výpadku. Díky tomu nelze automaticky otevírat porty ve firewallu a FTP tedy je nefunkční protokol.<br><br>  Když jsem takhle u piva toto řešil s nejvyšším ze správců sítě, tak koncenzus byl, že protokoly jako FTP apod se prostě musí přestat používat, jiné řešení neexistuje. Akceptuji-li tento koncensus, pak musím počkat, než mi balíčkovací systém Linuxu přestane nabízet FTP jako zdroj aktualizací v defaultu. A jelikož majorita těchto mirrorů právě v současnosti využívá protokol FTP, navíc jsou tyto mirrory dle IP nejblíž páteři (ftp.cvut.cz) nemám jinou možnost než zakázat tento jistě progresivní protokol ipv6.<br><br>  Jistě, můžu nastavit __každému programu__ který má implementovaný protokol FTP aby používal pasivní režim. To ale znamená hromadu konfigurací na mnoha místech, a pokud to nebude v defaultu v čisté instalaci, tak to dělat nebudu. Těch protokolů je víc, které to takto mají, musel bych je takto konfigurovat všechny.<br><br>Co Vy na to ?<br><br>František Burian<br><aside>
---------- Původní e-mail ----------<br>
Od: Jiří Nesvacil <nesvacil@posys.eu><br>
Komu: hw-list@list.hw.cz<br>
Datum: 9. 10. 2017 11:56:14<br>
Předmět: Re: OT IPv6 - prakticke zkusenosti
</aside><br><blockquote data-email="nesvacil@posys.eu">
  <div>
    <p>Zakladni nepochopeni veci je vsem zapnout ipv6 poskytovatelem. A
      budou se dit veci. Vetsina se spoleha, ze jejich zarizeni neni z
      venci videt ... . To, ze lednicka dnes muze posilat ven data i bez
      IPv6 je sice pravda a asi to tak i dela. Jde to postupne se
      zavadenim techto technologii. Stejne jako TV,.. proste spyware
      zevnitr.<br>
    </p>
    <p>Nicmene si dat klapky na oci a rikat, ze NAT nedela zadnou
      ochranu je ... .</p>
    <p>Jirka<br>
    </p>
    <p><br>
    </p>
    Dne 09.10.2017 v 10:32 hwnews konference napsal(a):<br>
    <blockquote>
      
      <div dir="ltr">To je prece blbost! To je presne to nepochopeni.
        <div><br>
        </div>
        <div>I kdyz vam napisu moji IPv6 tak se pres FW na moje PC
          nemate jak dostat! Komunikaci zarizne prave FW jeste nez se k
          PC dostanete. Navic firewally maji nastroje proti DoS utokum
          (jestli se da o necem takovem mluvit). </div>
        <div><br>
        </div>
        <div><br>
        </div>
        <div>RV<br>
          <div><br>
            <div>Dne 9. října 2017 10:22 Jiří
              Nesvacil <span dir="ltr"><<a href="mailto:nesvacil@posys.eu">nesvacil@posys.eu</a>></span>
              napsal(a):<br>
              <blockquote>
                <div>
                  <p>NAT a firewall. To je jako se bavit jaky je rozdil
                    mezi ochranou a plastenkou.<br>
                    <br>
                    Na skole Vas uci, ze firewall neni NAT. Ale urcitou
                    ochranu dela napr. nemuzete zvenci zahltit vnitrni
                    PC, kdyz jeho adresu neznate. To, ze tato ochrana
                    NAT dnes uplne nestaci je vec jina, ale vytvari
                    barieru.<br>
                  </p>
                  <p>Jirka<br>
                  </p>
                  <div><br>
                  </div>
                </div>
              </blockquote>
            </div>
          </div>
        </div>
      </div>
      <br>
      <div></div>
      <br>
      <pre>_______________________________________________
HW-list mailing list  -  sponsored by <a href="http://www.hw.cz">www.HW.cz</a>
<a href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>
<a href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
    </blockquote>
    <br>
  

</div>_______________________________________________
<br>HW-list mailing list  -  sponsored by www.HW.cz
<br>Hw-list@list.hw.cz
<br>http://list.hw.cz/mailman/listinfo/hw-list
<br></blockquote></body></html>