OT IPv6 - prakticke zkusenosti
František Burian
BuFran na seznam.cz
Úterý Říjen 10 12:22:52 CEST 2017
> Chtel jsem sem napsat neco o linych adminech, ucitelich a tak, ale nebudu
zvedat vasne a radsi jsem to zas smazal :-)
:-))
"
Jestli mate firewall pres tri mistnosti, tak bych rekl, ze je nekde neco
spatne - salove pocitace jsou, pokud vim, prezitek i z hlediska historie IPv
4 :-) Muzete pro zajimavost upresnit o co jde? Takhle od stolu muzu jen
soudit, ze je to spatne navrzene a nema to nic spolecneho s FTP (nebo jinym
protokolem/aplikaci potrebujici zpetny kanal). To je jen dusledek. (ale
tydle veci si muzeme nechat na "hospodu", precijen neznam vsechny aspekty
vasi site)
"
Nechal bych to na tu hospodu, firewall je opravdu obrovsky, NATuje,
firewalluje a sleduje provoz sítě EDUROAM celé univerzity. Včera jsem
klábosil s adminem, v roce 2014 byl upgradován na jednu místnost :-) Takže
jsem měl staré informace. Technologii mame od HP, ne od Cisca jak jsem se
domnival. A HP nemá prozatím filtry na IPV6 analýzu obsahu FTP dle nového
RFC uvnitř ASICu takže nedokáže otevřít port firewallu na datové spojení.
IPv6 je ještě příliš nový a takovéto featury se tam objevují postupně jak se
stávají stable.
"
FTP v zadnem pripade neni nikam uzce zaintegrovano - staci to prehodit za
http. Koneckoncu aktualni Raspbian jede na http, cisty debian pouziva taky
defaultne http. Nemate spis nejakou prehistorickou verzi?
"
Ne, mám nejaktuálnější raspbian, ze září. A to je zrovna věc, která mě na
Linuxu štve. Člověk něco v červnu na tehdejší verzi odladí a v září už to
neplatí, aby to ladil znova. Teď koukám na apt-get update a to ftp to dneska
skutečně nepoužívá. To abych zase zkusil povolit ipv6 a testoval zdali se to
někde nesekne... (ale samosebou je to dobrá změna, to nerozporuju).
Každopádně problém s FTP je ještě hlubší. On totiž je na provoz FTP pro IPV6
nějaké nové RFC a tam je nový způsob pasivního režimu a ne každý server a
klient jej zvládá (měl by být na dualstacku defaultní). Takže dost možná
nebyl problém na firewallu ale na tom že se server s klientem nedohodli,
dost možná byl problém na DNS. (To je závěr našeho správce). IPV6 stack má
za úkol jiná osoba než IPv4 protože IPv6 zabere o hodně víc práce adminovi
starostí s udržením bezpečnosti.
Jen tak na okraj, já nebrojím proti IPv6, naopak, jen vidím ty problémy a
postupné nasazování chápu.
Po diskusi s adminem jsem zjistil, že je u IPv6 nastavený firewall takto
právě proto, že není dohledatelné která MAC měla přiřazenu tuto konkrétní
adresu v tento čas - tzn nelze zajistit nápravu když přijde nějaký abuse
report. A to je průser a noční můra admina - tak se takto - dočasně - jistí.
Jakmile budou vyřešeny tyto problémy s jednoznačnstí identifikace klientů
tak se firewall bude postupně otevírat. V současnosti se podařilo problém v
testovacím provozu vyřešit jen v některých místnostech a probíhá testování
zdali je opatřní účinné, než se nasadí na celou síť. (mám dojem že by měla
IP obsahovat MAC ale už si nepamatuju zkratku té metody jakou použil).
Někdo se tu ptal na jiné věci, tak s ipv6 má taky problém např protokol
Talk.
S pozdravem,
František Burian
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171010/60398769/attachment.html>
Další informace o konferenci Hw-list