OT IPv6 - prakticke zkusenosti

[Jan 'yanek' Bortl]

Chtel jsem sem napsat neco o linych adminech, ucitelich a tak, ale
nebudu zvedat vasne a radsi jsem to zas smazal :-)

Jestli mate firewall pres tri mistnosti, tak bych rekl, ze je nekde neco
spatne - salove pocitace jsou, pokud vim, prezitek i z hlediska historie
IPv4 :-) Muzete pro zajimavost upresnit o co jde? Takhle od stolu muzu
jen soudit, ze je to spatne navrzene a nema to nic spolecneho s FTP
(nebo jinym protokolem/aplikaci potrebujici zpetny kanal). To je jen
dusledek. (ale tydle veci si muzeme nechat na "hospodu", precijen neznam
vsechny aspekty vasi site)

FTP v zadnem pripade neni nikam uzce zaintegrovano - staci to prehodit
za http. Koneckoncu aktualni Raspbian jede na http, cisty debian pouziva
taky defaultne http. Nemate spis nejakou prehistorickou verzi?

# cat sources.list
deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib
non-free rpi

a rozhodne jsem na todle nesahal.

Totez armbian na orange pi zero:

root na orangepizero:~# cat /etc/apt/sources.list.d/armbian.list
deb http://apt.armbian.com jessie main utils jessie-desktop


Dne 9.10.2017 v 15:19 František Burian napsal(a):
> Diskuse v textu.
>
> ---------- Původní e-mail ----------
> Od: Jan 'yanek' Bortl <yanek na yanek.cz>
> Komu: hw-list na list.hw.cz
> Datum: 9. 10. 2017 13:53:22
> Předmět: Re: OT IPv6 - prakticke zkusenosti
>
>
>     Ja bych to videl spis tak, ze to nekdo zvoral, nebo tomu obsluha
>     nedostatecne porozumela. Muzete upresnit co se tam deje? 
>
>
> Vypnutí ipv6 je hotfix problému, jehož řešení by znamenalo další
> cvičení ve kterém by studenti "něco magického datlovali"
>
> do klávesnice a stejně by nepochopili proč to dělají. A na to čas
> není. Proto to (prozatím) děláme takto. Nejsem proti ipv6 ale
>
> její zavedení brání níže popsané problémy, jejichž řešení si žádá více
> času, než jednoduché vypnutí IPV6 a použití NAT na IPV4.
>
>  
>
>     Linux s tim nema vubec nic spolecneho. (Respektive muzete jmenovat,
>     ktere dalsi protokoly krom dale zmineneho FTP jsou linux related?) 
>
>
> To byl příklad zrovna jednoho protokolu, který je velmi úzce
> integrován do Linuxu, nemyslel jsem to ve smyslu že Linux za to může.
>
>  
>
>     Protokol FTP vznikal v dobe, kdy firewall bylo sproste slovo.
>     Navic umi
>     pasivni rezim, ktery todle krasne resi. 
>
>
> Ale ten pasivní režim není v defaultu (nebo v nějakém failsafe po
> timeoutu když to nefunguje) povolený !
>
>
>     Bavime-li se o linuxovem netfilteru, tak tam conntracky, jestli se
>     nepletu, funguji samozrejme i na IPv6. Ohledne vice routeru - uplne
>     stejny problem mate i s IPv4. Do linuxu napriklad existuje
>     conntrackd,
>     ktery castecne umi resit to co mate na mysli. 
>
>
> Bavíme se o principu. Zde opravdu nezáleží, na konkrétní implementaci
> (mimochodem u nás je to Cisco firewall, je to počítač rozložený do 3
> místností, a filtruje několik možná stovek Gbps do cesnetu). Z
> principu nejde trackovat packety procházejcí více routery.
>
>  
>
>     Pokud vim, nedavno probehla informace ze Debian prechazi na HTTP.
>     FTP je
>     v dnesni dobe jiz k danemu ucelu "neefektivni". Coz ale neznamena,
>     ze ho
>     vsichni najednou prestanou pouzivat. K tomu neni zadny duvod (teda
>     je,
>     ale nema to spojitost s IP vrstvou jako takovou). 
>
>
> To je samozřejmě dobrá zpráva a budu tiše čekat, než se to promítne do
> aktuálního Raspbianu a ty ftp mirrory umřou samy. Počítám cca 5-10
> let. Nebo více.
>
>  
>
>     Todle se resilo pred 20ti lety. Znate nejaky program, ktery pasivni
>     rezim neumi? 
>
>
> Ano, ale musím to nastavovat, pro každý program zvlášť ... vysvětlovat
> studentům, kteří se s linuxem dostávají do styku poprvé,
>
> doposud viděli jen windows, to je ten problém.
>
>  
>
>     Nema smysl se tady hadat nad nesmyslem. IPv6 je potreba. IPv4 davno
>     nestaci. Jina moznost ted ani na obzoru neni. Adresy davno dosly. 
>
>
> Já se nehádám, jen jsem chtěl znát názor nebo tip na řešení a nabídl
> jsem jeden z konkrétních problémů které ipv6 __v současnosti__ má  a
> jehož  řešení je zakázat ipv6 konektivitu.
>
>  
>
>     Jestli vam nefunguje FTP, tak to reklamujte u dodavatele sluzby. 
>
>
> Provedeno, bylo oznámeno že nemám používat ftp ale mám používat sftp
> (pokud vím na sftp není žádný z mirrorů Debianu).
>
>
>     Zadne "rozsirovani" velikosti IP adresy, jak tu nekdo navrhoval, v
>     ramci
>     verze 4 fungovat nemuze. To, ze jsou v IPv6 hloupe nesmysly je
>     samozrejme neoptimalni. Nicmene na to jak vypada samotny protokol
>     IPv6
>     todle vliv nema. DHCP i SLAAC jsou trosku jine veci. 
>
>
> Úplně nám prozatím stačí NAT, nepotřebujeme aby roboti byli dostupní
> zvenku, jen potřebujeme, aby si mohli studenti raspbian aktualizovat,
> jen z tohoto důvodu je spojení s vnějším světem potřeba.
>
>
> S pozdravem,
>
>   Franta Burian
>

-- 
Jan 'yanek' Bortl <yanek [at] ya.bofh. cz>
http://ya.bofh.cz/ | jab: yanek [at] mitranet. cz
-----------------------------------------------------------------
"Maybe one day you will learn that your way is not the only way."
                                        Opher [StarGate: The Nox]

------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171010/3cbf210f/attachment.html>