<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p>Chtel jsem sem napsat neco o linych adminech, ucitelich a tak,

      ale nebudu zvedat vasne a radsi jsem to zas smazal :-)</p>

    <p>Jestli mate firewall pres tri mistnosti, tak bych rekl, ze je

      nekde neco spatne - salove pocitace jsou, pokud vim, prezitek i z

      hlediska historie IPv4 :-) Muzete pro zajimavost upresnit o co

      jde? Takhle od stolu muzu jen soudit, ze je to spatne navrzene a

      nema to nic spolecneho s FTP (nebo jinym protokolem/aplikaci

      potrebujici zpetny kanal). To je jen dusledek. (ale tydle veci si

      muzeme nechat na "hospodu", precijen neznam vsechny aspekty vasi

      site)</p>

    <p>FTP v zadnem pripade neni nikam uzce zaintegrovano - staci to

      prehodit za http. Koneckoncu aktualni Raspbian jede na http, cisty

      debian pouziva taky defaultne http. Nemate spis nejakou

      prehistorickou verzi?<br>

      <br>

      # cat sources.list<br>

      deb <a class="moz-txt-link-freetext" href="http://mirrordirector.raspbian.org/raspbian/">http://mirrordirector.raspbian.org/raspbian/</a> jessie main

      contrib non-free rpi<br>

      <br>

      a rozhodne jsem na todle nesahal.</p>

    <p>Totez armbian na orange pi zero:</p>

    <p>root@orangepizero:~# cat /etc/apt/sources.list.d/armbian.list <br>

      deb <a class="moz-txt-link-freetext" href="http://apt.armbian.com">http://apt.armbian.com</a> jessie main utils jessie-desktop<br>

      <br>

    </p>

    <br>

    <div class="moz-cite-prefix">Dne 9.10.2017 v 15:19 František Burian

      napsal(a):<br>

    </div>

    <blockquote type="cite"

      cite="mid:HSK.2mtY.7rq1sK6Kfmg.1PstTN@seznam.cz">Diskuse v textu.<br>

      <br>

      <aside>

        ---------- Původní e-mail ----------<br>

        Od: Jan 'yanek' Bortl <a class="moz-txt-link-rfc2396E" href="mailto:yanek@yanek.cz"><yanek@yanek.cz></a><br>

        Komu: <a class="moz-txt-link-abbreviated" href="mailto:hw-list@list.hw.cz">hw-list@list.hw.cz</a><br>

        Datum: 9. 10. 2017 13:53:22<br>

        Předmět: Re: OT IPv6 - prakticke zkusenosti

      </aside>

      <br>

      <blockquote data-email="yanek@yanek.cz">Ja bych to videl spis tak,

        ze to nekdo zvoral, nebo tomu obsluha

        <br>

        nedostatecne porozumela. Muzete upresnit co se tam deje?

      </blockquote>

      <p><br>

      </p>

      <p>Vypnutí ipv6 je hotfix problému, jehož řešení by znamenalo

        další cvičení ve kterém by studenti "něco magického datlovali" <br>

      </p>

      <p>do klávesnice a stejně by nepochopili proč to dělají. A na to

        čas není. Proto to (prozatím) děláme takto. Nejsem proti ipv6

        ale</p>

      <p>její zavedení brání níže popsané problémy, jejichž řešení si

        žádá více času, než jednoduché vypnutí IPV6 a použití NAT na

        IPV4.<br>

      </p>

      <p> </p>

      <blockquote data-email="yanek@yanek.cz">Linux s tim nema vubec nic

        spolecneho. (Respektive muzete jmenovat,

        <br>

        ktere dalsi protokoly krom dale zmineneho FTP jsou linux

        related?)

      </blockquote>

      <p><br>

      </p>

      <p>To byl příklad zrovna jednoho protokolu, který je velmi úzce

        integrován do Linuxu, nemyslel jsem to ve smyslu že Linux za to

        může.<br>

      </p>

      <p> </p>

      <blockquote data-email="yanek@yanek.cz">Protokol FTP vznikal v

        dobe, kdy firewall bylo sproste slovo. Navic umi

        <br>

        pasivni rezim, ktery todle krasne resi.

      </blockquote>

      <p><br>

      </p>

      <p>Ale ten pasivní režim není v defaultu (nebo v nějakém failsafe

        po timeoutu když to nefunguje) povolený !</p>

      <p> <br>

      </p>

      <blockquote data-email="yanek@yanek.cz">Bavime-li se o linuxovem

        netfilteru, tak tam conntracky, jestli se

        <br>

        nepletu, funguji samozrejme i na IPv6. Ohledne vice routeru -

        uplne

        <br>

        stejny problem mate i s IPv4. Do linuxu napriklad existuje

        conntrackd,

        <br>

        ktery castecne umi resit to co mate na mysli.

      </blockquote>

      <p><br>

      </p>

      <p>Bavíme se o principu. Zde opravdu nezáleží, na konkrétní

        implementaci (mimochodem u nás je to Cisco firewall, je to

        počítač rozložený do 3 místností, a filtruje několik možná

        stovek Gbps do cesnetu). Z principu nejde trackovat packety

        procházejcí více routery.<br>

      </p>

      <p> </p>

      <blockquote data-email="yanek@yanek.cz">Pokud vim, nedavno

        probehla informace ze Debian prechazi na HTTP. FTP je

        <br>

        v dnesni dobe jiz k danemu ucelu "neefektivni". Coz ale

        neznamena, ze ho

        <br>

        vsichni najednou prestanou pouzivat. K tomu neni zadny duvod

        (teda je,

        <br>

        ale nema to spojitost s IP vrstvou jako takovou).

      </blockquote>

      <p><br>

      </p>

      <p>To je samozřejmě dobrá zpráva a budu tiše čekat, než se to

        promítne do aktuálního Raspbianu a ty ftp mirrory umřou samy.

        Počítám cca 5-10 let. Nebo více.<br>

      </p>

      <p> </p>

      <blockquote data-email="yanek@yanek.cz">Todle se resilo pred 20ti

        lety. Znate nejaky program, ktery pasivni

        <br>

        rezim neumi?

      </blockquote>

      <p><br>

      </p>

      <p>Ano, ale musím to nastavovat, pro každý program zvlášť ...

        vysvětlovat studentům, kteří se s linuxem dostávají do styku

        poprvé, <br>

      </p>

      <p>doposud viděli jen windows, to je ten problém.<br>

      </p>

      <p> </p>

      <blockquote data-email="yanek@yanek.cz">Nema smysl se tady hadat

        nad nesmyslem. IPv6 je potreba. IPv4 davno

        <br>

        nestaci. Jina moznost ted ani na obzoru neni. Adresy davno

        dosly.

      </blockquote>

      <p><br>

      </p>

      <p>Já se nehádám, jen jsem chtěl znát názor nebo tip na řešení a

        nabídl jsem jeden z konkrétních problémů které ipv6 __v

        současnosti__ má  a jehož  řešení je zakázat ipv6 konektivitu.<br>

      </p>

      <p> </p>

      <blockquote data-email="yanek@yanek.cz">Jestli vam nefunguje FTP,

        tak to reklamujte u dodavatele sluzby.

      </blockquote>

      <p><br>

      </p>

      <p>Provedeno, bylo oznámeno že nemám používat ftp ale mám používat

        sftp (pokud vím na sftp není žádný z mirrorů Debianu). <br>

      </p>

      <p> <br>

      </p>

      <blockquote data-email="yanek@yanek.cz">Zadne "rozsirovani"

        velikosti IP adresy, jak tu nekdo navrhoval, v ramci

        <br>

        verze 4 fungovat nemuze. To, ze jsou v IPv6 hloupe nesmysly je

        <br>

        samozrejme neoptimalni. Nicmene na to jak vypada samotny

        protokol IPv6

        <br>

        todle vliv nema. DHCP i SLAAC jsou trosku jine veci.

      </blockquote>

      <p><br>

      </p>

      <p>Úplně nám prozatím stačí NAT, nepotřebujeme aby roboti byli

        dostupní zvenku, jen potřebujeme, aby si mohli studenti raspbian

        aktualizovat, jen z tohoto důvodu je spojení s vnějším světem

        potřeba.</p>

      <br>

      S pozdravem,<br>

      <br>

        Franta Burian<br>

      <br>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Jan 'yanek' Bortl <yanek [at] ya.bofh. cz>

<a class="moz-txt-link-freetext" href="http://ya.bofh.cz/">http://ya.bofh.cz/</a> | jab: yanek [at] mitranet. cz

-----------------------------------------------------------------

"Maybe one day you will learn that your way is not the only way."

                                        Opher [StarGate: The Nox]

</pre>

  </body>

</html>