<html><body><div><p>> Chtel jsem sem napsat neco o linych adminech, ucitelich a tak,
ale nebudu zvedat vasne a radsi jsem to zas smazal :-)</p></div><p><br></p><p>:-)) <br></p><p> </p><blockquote data-email="yanek@yanek.cz"><div><p></p>
<p>Jestli mate firewall pres tri mistnosti, tak bych rekl, ze je
nekde neco spatne - salove pocitace jsou, pokud vim, prezitek i z
hlediska historie IPv4 :-) Muzete pro zajimavost upresnit o co
jde? Takhle od stolu muzu jen soudit, ze je to spatne navrzene a
nema to nic spolecneho s FTP (nebo jinym protokolem/aplikaci
potrebujici zpetny kanal). To je jen dusledek. (ale tydle veci si
muzeme nechat na "hospodu", precijen neznam vsechny aspekty vasi
site)</p></div></blockquote><p><br></p><p>Nechal bych to na tu hospodu, firewall je opravdu obrovsky, NATuje, firewalluje a sleduje provoz sítě EDUROAM celé univerzity. Včera jsem klábosil s adminem, v roce 2014 byl upgradován na jednu místnost :-) Takže jsem měl staré informace. Technologii mame od HP, ne od Cisca jak jsem se domnival. A HP nemá prozatím filtry na IPV6 analýzu obsahu FTP dle nového RFC uvnitř ASICu takže nedokáže otevřít port firewallu na datové spojení. IPv6 je ještě příliš nový a takovéto featury se tam objevují postupně jak se stávají stable.<br></p><p> </p><blockquote data-email="yanek@yanek.cz"><div><p></p>
<p>FTP v zadnem pripade neni nikam uzce zaintegrovano - staci to
prehodit za http. Koneckoncu aktualni Raspbian jede na http, cisty
debian pouziva taky defaultne http. Nemate spis nejakou
prehistorickou verzi?</p></div></blockquote><p><br></p><p>Ne, mám nejaktuálnější raspbian, ze září. A to je zrovna věc, která mě na Linuxu štve. Člověk něco v červnu na tehdejší verzi odladí a v září už to neplatí, aby to ladil znova. Teď koukám na apt-get update a to ftp to dneska skutečně nepoužívá. To abych zase zkusil povolit ipv6 a testoval zdali se to někde nesekne... (ale samosebou je to dobrá změna, to nerozporuju).</p><p><br></p><p>Každopádně problém s FTP je ještě hlubší. On totiž je na provoz FTP pro IPV6 nějaké nové RFC a tam je nový způsob pasivního režimu a ne každý server a klient jej zvládá (měl by být na dualstacku defaultní). Takže dost možná nebyl problém na firewallu ale na tom že se server s klientem nedohodli, dost možná byl problém na DNS. (To je závěr našeho správce). IPV6 stack má za úkol jiná osoba než IPv4 protože IPv6 zabere o hodně víc práce adminovi starostí s udržením bezpečnosti.</p><p><br></p><p>Jen tak na okraj, já nebrojím proti IPv6, naopak, jen vidím ty problémy a postupné nasazování chápu.<br></p><p><br></p><p>Po diskusi s adminem jsem zjistil, že je u IPv6 nastavený firewall takto právě proto, že není dohledatelné která MAC měla přiřazenu tuto konkrétní adresu v tento čas - tzn nelze zajistit nápravu když přijde nějaký abuse report. A to je průser a noční můra admina - tak se takto - dočasně - jistí. Jakmile budou vyřešeny tyto problémy s jednoznačnstí identifikace klientů tak se firewall bude postupně otevírat. V současnosti se podařilo problém v testovacím provozu vyřešit jen v některých místnostech a probíhá testování zdali je opatřní účinné, než se nasadí na celou síť. (mám dojem že by měla IP obsahovat MAC ale už si nepamatuju zkratku té metody jakou použil).</p><p><br></p><p>Někdo se tu ptal na jiné věci, tak s ipv6 má taky problém např protokol Talk.</p><p><br></p><p>S pozdravem,</p><p><br></p><p> František Burian<br></p></body></html>