Почтовый ящик  

О этот дивный новый мир IPv6

Хм... IPv6 — забавно.

Все хосты локалки торчат голым коннектором в инет... Пингуются снаружи (к примеру, мобильник, подцепленный к домашнему WiFi, весьма годно пропинговался с японского сервера).

Некоторая иллюзия защиты — то, что адрес случайно выдаётся из выданного мне пространства в 2^64 адресов. :)

Получается, что на каждом девайсе поднимать свой файервол? Или как-то на роутере запрещать присвоение внешних IPv6 определённым хостам из локалки? Или создавать отдельные VLAN IPv4-only для тех, кому нельзя голым коннектором в инет?

01 декабря 2017

tags:
?
Оставить комментарий
Linux Firefox
0
0
pp.ru@vitus.wagner
Вообще поднимать свой файрвол на каждом девайсе,которое умеет Wi-Fi правильно. Потому что оно торчит голой антенной в радиоэфир.

Но в принципе меня удивляет, насколько непродлжительная (менее 20 лет) эпоха NAT-ов и cерых IP вбила убедеждение. что видимость устройства из интернета как-то мешает фильтровать траффики на него. У меня по-моему где-то сохранились файрвольные скрипты тех времен когда у меня в локалке было /27 внешних адресов.

А наличие внешнего адреса у моего старого онлаймовского аккаунта позволяло мне ходить домой по ssh, но не позволяло держать дома MX, потому что вот была у онлайма политика - фильтровать входящие соединения на 25-й порт.
Windows Safari Chrome
 Санкт-Петербург
0
0
Кошак
Мне скорее непривычно количество доступных "белых" адресов. Причём которые уже не твой хост, а провайдерский пул, судя по traceroute.
Ну и привычка контролировать внешний трафик в одной точке локалки, пропуская нужные сервисы на нужные хосты.
Linux Firefox
0
0
pp.ru@vitus.wagner
Ну ничто же не мешает контролировать траффик с хоста А на хост B на роутере C, если единственный доступный маршрут с А в B пролегает через него, независимо от того, произвоодит C трансляцию адресов или нет.

Мало ли что адрес белый, пакет все равно идет через роутер и его там можно дропнуть.
Windows Safari Chrome
 Санкт-Петербург
0
0
Кошак
Ну да. :)
Просто было слегка неожиданно, что по дефолту всё открыто. :)
Любопытно тут устроено всё, как раз изучаю вопрос. Варианты перехвата трафика интересные есть.
Linux Firefox
0
0
pp.ru@vitus.wagner
Ну почему слегка неожиданно? Весь XX век (последнюю его 1/5) так жили.
Windows Safari Chrome
 Санкт-Петербург
0
0
Кошак
Как так жили? У меня файервол на компе с подключением к Сети завёлся, ещё на диалапе, вместе с программным роутером и сеткой на нульмодеме. :)

Я скорее о пачке "белых" IP. Когда можно стучаться напрямую к хосту, а не пробрасывать порты на роутере, стучась снаружи на его адрес.
Linux Firefox
0
0
pp.ru@vitus.wagner
Видимо, дело в том, что в те времена когда IPV4 адресов было больше, чем компов в мире, мне приходилось администрировать локальные сетки. И наличие белых адресов мне кажется нормальным, а необходимость использвоания промежуточного хоста, чтобы попасть на любой имеющийся комп по ssh - жутким извращением.
Windows Safari Chrome
 Санкт-Петербург
0
0
Кошак
Возможно... :)
У меня история покороче. И белый адрес приходилось у провайдера добывать. Зато с "серых" всякие лезли "собратья по разуму" с шаловливыми конечностями. :)
Windows Firefox
 Москва
0
0
cats-shadow.cats-home.net@Slavic Tolchenov
Просто НИКОГДА не использовать IPv6.
Windows Safari Chrome
 Санкт-Петербург
0
0
Кошак
Но почему? Тема любопытная. Да и научиться её готовить неплохо бы.
<< предыдущая заметка следующая заметка >>