OT IPv6 - prakticke zkusenosti

[František Burian]

> Chtel jsem sem napsat neco o linych adminech, ucitelich a tak, ale nebudu 
zvedat vasne a radsi jsem to zas smazal :-)





:-)) 


 
"


 
Jestli mate firewall pres tri mistnosti, tak bych rekl, ze je nekde neco 
spatne - salove pocitace jsou, pokud vim, prezitek i z hlediska historie IPv
4 :-) Muzete pro zajimavost upresnit o co jde? Takhle od stolu muzu jen 
soudit, ze je to spatne navrzene a nema to nic spolecneho s FTP (nebo jinym 
protokolem/aplikaci potrebujici zpetny kanal). To je jen dusledek. (ale 
tydle veci si muzeme nechat na "hospodu", precijen neznam vsechny aspekty 
vasi site)

"



Nechal bych to na tu hospodu, firewall je opravdu obrovsky, NATuje, 
firewalluje a sleduje provoz sítě EDUROAM celé univerzity. Včera jsem 
klábosil s adminem, v roce 2014 byl upgradován na jednu místnost :-) Takže 
jsem měl staré informace. Technologii mame od HP, ne od Cisca jak jsem se 
domnival. A HP nemá prozatím filtry na IPV6 analýzu obsahu FTP dle nového 
RFC uvnitř ASICu takže nedokáže otevřít port firewallu na datové spojení. 
IPv6 je ještě příliš nový a takovéto featury se tam objevují postupně jak se
stávají stable.


 
"


 
FTP v zadnem pripade neni nikam uzce zaintegrovano - staci to prehodit za 
http. Koneckoncu aktualni Raspbian jede na http, cisty debian pouziva taky 
defaultne http. Nemate spis nejakou prehistorickou verzi?

"



Ne, mám nejaktuálnější raspbian, ze září. A to je zrovna věc, která mě na 
Linuxu štve. Člověk něco v červnu na tehdejší verzi odladí a v září už to 
neplatí, aby to ladil znova. Teď koukám na apt-get update a to ftp to dneska
skutečně nepoužívá. To abych zase zkusil povolit ipv6 a testoval zdali se to
někde nesekne... (ale samosebou je to dobrá změna, to nerozporuju).




Každopádně problém s FTP je ještě hlubší. On totiž je na provoz FTP pro IPV6
nějaké nové RFC a tam je nový způsob pasivního režimu a ne každý server a 
klient jej zvládá (měl by být na dualstacku defaultní). Takže dost možná 
nebyl problém na firewallu ale na tom že se server s klientem nedohodli, 
dost možná byl problém na DNS. (To je závěr našeho správce). IPV6 stack má 
za úkol jiná osoba než IPv4 protože IPv6 zabere o hodně víc práce adminovi 
starostí s udržením bezpečnosti.




Jen tak na okraj, já nebrojím proti IPv6, naopak, jen vidím ty problémy a 
postupné nasazování chápu.





Po diskusi s adminem jsem zjistil, že je u IPv6 nastavený firewall takto 
právě proto, že není dohledatelné která MAC měla přiřazenu tuto konkrétní 
adresu v tento čas - tzn nelze zajistit nápravu když přijde nějaký abuse 
report. A to je průser a noční můra admina - tak se takto - dočasně - jistí.
Jakmile budou vyřešeny tyto problémy s jednoznačnstí identifikace klientů 
tak se firewall bude postupně otevírat. V současnosti se podařilo problém v 
testovacím provozu vyřešit jen v některých místnostech a probíhá testování 
zdali je opatřní účinné, než se nasadí na celou síť. (mám dojem že by měla 
IP obsahovat MAC ale už si nepamatuju zkratku té metody jakou použil).




Někdo se tu ptal na jiné věci, tak s ipv6 má taky problém např protokol 
Talk.




S pozdravem,




  František Burian
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171010/60398769/attachment.html>