|
2.4, solmedas (ok), 17:02, 20/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
я все ни как не осилю как с ipv6 делать корпоративные сети, где надо "регулировать" доступ в инет? как делать DMZ если все машины получат белые ip?
а вообще знающие люди дайте линк на вменямый ман по IPv6
| |
|
3.7, non anon (?), 17:30, 20/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
>я все ни как не осилю как с ipv6 делать корпоративные сети, где надо "регулировать" доступ в инет?
Внезапно, рулить разрешениями на шлюзе, как и в эпоху IPv4.
>как делать DMZ если все машины получат белые ip?
ЗАЧЕМ, зачем делать DMZ, если у всех машин белые адреса?
Автор, вы жжоте напалмом.
| |
|
|
5.17, non anon (?), 18:01, 20/12/2010 [^] [^^] [^^^] [ответить]
| –5 +/– |
> IMHO, DMZ вовсе не для цветовой дифференциации частей сети ввели
DMZ ввели от плохой, нищей, ужасной жизни.
В мире, где нет дури под названием "нат" и "проброс", управление как исходящими, так и входящими соединениями происходит легко и непринужденно.
| |
|
6.23, е2 (?), 21:11, 20/12/2010 [^] [^^] [^^^] [ответить]
| +6 +/– |
DMZ это сегмент сети находящийся между двумя или более межсетевыми экранами, нужен чтобы разграничить LAN,WAN и сервисы в LAN, которые должны быть доступны как WAN так и в LAN, общая цель DMZ повышение безопасности.
Проброс портов, совсем нипричём, в DMZ могут быть сервисы работающие по белым айпишникам, и кстати NAT бывает не только PATом, и DMZ может работать вовсе без NAT.
| |
6.26, Аноним (-), 23:12, 20/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
>DMZ ввели от плохой, нищей, ужасной жизни.
DMZ ни с чем не спутал?
| |
|
|
|
|
2.11, 568756784 (?), 17:45, 20/12/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
уже лет десять этот ваш ipv6 всё идёт и идёт в массы. а массы его так до сих пор и не видели
| |
|
3.25, Aquarius (ok), 21:21, 20/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> уже лет десять этот ваш ipv6 всё идёт и идёт в массы.
> а массы его так до сих пор и не видели
это все потому, что массы его видеть не очень хотят, собственно, они и не догадываются о его существовании
| |
|
4.29, Vitold S (?), 03:05, 21/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Дык дело-то не в массах, а пока что в UPLINK провайдерах. Мой провайдер честно пока говорит IPv6 дасть не могем нету у нас прямого и чистого IPv6 тока через жопу, а раз так то и сами могли бы настроить у себя там какой там хотите шлюз и использовать себе... Опять же не решена проблема со статическими IP - не произведен передел пространства...
| |
|
5.36, e2 (?), 19:02, 25/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Дык дело-то не в массах, а пока что в UPLINK провайдерах. Мой
> провайдер честно пока говорит IPv6 дасть не могем нету у нас
> прямого и чистого IPv6 тока через жопу,
Ваш провайдер лукавит, он может уже сейчас довольно дешево купить автономную систему с блоком адресов IPv6 и раздавать IPv6 направо и налево.
Но для вашего провайдера это будет означать большую переделку инфраструктуры, начиная от биллинга кончая коммутаторами уровня доступа. Затраты огромны, профита никакого.
| |
|
4.30, Lmn (?), 09:15, 21/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
> это все потому, что массы его видеть не очень хотят, собственно, они
> и не догадываются о его существовании
Массы догадываются и знают, но 32 бита тупо проще запомнить в моск чем 128. Надо качать память плюс привычка, опять же. :)
| |
|
5.31, User294 (ok), 15:51, 21/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Массы догадываются и знают, но 32 бита тупо проще запомнить в моск чем 128.
1) На самом деле - меньше чем 128 надо запоминать в общем случае.
2) Много айпи вы все-равно не запомните. А сокращенную форму и/или свою подсеть - почему бы и нет?
3) А если айпи на всех не хватит - толку то запоминать? Ну вот опсосы выдают натнутые айпи. Потому что даже если бы они захотели давать нормальные, девайсов на планете уже больше чем 2^32. Поэтому опаньки. А наченый айпи что запоминай, что нет. Инвалид он. Недоступный снаружи вообще.
| |
|
|
|
|
|
2.3, Толя Вихров (ok), 16:47, 20/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
Мне лично для того что бы к моим друзьям можно было приконекчиваться через VNC и настраивать им линукс.
| |
2.8, non anon (?), 17:31, 20/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
> И зачем тебе лично IPv6?
Чтобы не чувствовать себя ослом, страдаю дурью с пробросом портов.
| |
|
3.9, non anon (?), 17:32, 20/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
>страдаю дурью с пробросом портов.
страдая, конечно же.
Также можно не страдать дурью под названием nat.
| |
|
4.27, Аноним (-), 23:12, 20/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)
Как была твоя сутьба в руках неворк-админа, так и будет.
PS: Для наивных - IPv6 пойдёт в массы вот-вот. Но в основом - на мобилах. Остальные не очент то и хотели :)
| |
|
5.32, User294 (ok), 15:57, 21/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)
Извините, одно дело - файрвол, который правила применяет, а другое - имение мозга с трансляцией айпишников. Нат - много брейнфака на ровном месте. Патчинг айпишников в пакетах на лету - по сути форма хакерства. Это так и надо, чтобы шлюз занимался вместо применением правил каким-то левым хацкингом пакетов? Я уж молчу о том что трекинг тысяч и тысяч соединений жрет немало ресурсов.
> Как была твоя сутьба в руках неворк-админа, так и будет.
При чем тут нетворк админы? Нетворк-админам не придется бодаться с трансляцией адресов. Если цель написать правила на шлюзе - значит надо писать правила на шлюзе. Почему при этом всенепременно надо бодаться с трансляцией адресов? oO
> - на мобилах. Остальные не очент то и хотели :)
Ну да, конечно, а много вы насервируете на натом, например? P2P тоже лучше работает в полноценном режиме, etc :)
| |
|
6.34, nuclight (ok), 23:52, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)
> Извините, одно дело - файрвол, который правила применяет, а другое - имение
> мозга с трансляцией айпишников. Нат - много брейнфака на ровном месте.
> Патчинг айпишников в пакетах на лету - по сути форма хакерства.
Да-да, то-то уже выпущен пропозал NAT для v6 (RFC 5902).
> Это так и надо, чтобы шлюз занимался вместо применением правил каким-то
> левым хацкингом пакетов? Я уж молчу о том что трекинг тысяч
> и тысяч соединений жрет немало ресурсов.
Ну будет вместо них отслеживание соединений на белые адреса. Абсолютно никакой разницы. А конкретно в линуксе это даже тот же самый conntrack будет делать.
>> - на мобилах. Остальные не очент то и хотели :)
> Ну да, конечно, а много вы насервируете на натом, например? P2P тоже
> лучше работает в полноценном режиме, etc :)
Давно уже есть UPnP IGD и NAT-PMP, всё работает.
| |
|
7.39, User294 (ok), 22:18, 26/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Да-да, то-то уже выпущен пропозал NAT для v6 (RFC 5902).
RFC много разных выпущено, а пропозалов и подавно. Я даже допускаю что для особо хитрых случаев оно даже найдет применение.
> Ну будет вместо них отслеживание соединений на белые адреса. Абсолютно никакой разницы.
> А конкретно в линуксе это даже тот же самый conntrack будет делать.
Если кому-то надо stateful инспекцию соединений и никак иначе - будет. Со всеми вытекающими, типа кушания ресурсов на все это. Только вот утверждение что всем вокруг было надо именно так - неверно. А потом начинается геморрой с пробрасыванием портов, DMZ, анализом почему криво работает половина софта и прочая, при том что целью было всего-то раздать интернет на эн машин. Файрволить должен файрвол, а дальше уже админовское дело какие там рулесы должны обитать.
> Давно уже есть UPnP IGD и NAT-PMP, всё работает.
Работать то оно работает, вопрос только в том как. И, кстати, вам не кажется что это - тоже те еще костыли, со своими проблемами? При том довольно извращенные, да еще и требующие поддержки в программах (стоит ли говорить что не любая программа их поддерживает сразу и без проблем?). Сначала создали себе проблем а потом начали думать как же с ними бороться. И вообще, достаточно в багтрекеры программ которые ими пользоваться посмотреть, чтобы понять что не все так уж и хорошо в этом королевстве. Грубо говоря, NAT ломает изначально задуманную логику работы протокола. Что гарантирует ряд дурацких проблем.
| |
|
6.37, e2 (?), 19:04, 25/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)
> Извините, одно дело - файрвол, который правила применяет, а другое - имение
> мозга с трансляцией айпишников. Нат - много брейнфака на ровном месте.
IPv6 NAT не отменяет, более того он для него является необходимым, хотя бы для трансляции IPv4 <->IPv6
| |
|
7.40, User294 (ok), 22:20, 26/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> IPv6 NAT не отменяет,
Только делает ненужным в практически всех случаях. А файрволить должен все-таки файрвол. Сам по себе NAT - довольно дефективный костыль, не присутствующий в изначально задуманной логике протокола.
> более того он для него является необходимым,
Где это написано?
> хотя бы для трансляции IPv4 <->IPv6
А это вообще временный костыль. В IPv6-only сетях все это не понадобится.
| |
|
|
|
|
|
|
|
2.10, non anon (?), 17:37, 20/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Приведите пример пожалуйста с применением ipset таймаутов
В ipset 4 это выглядит так:
# ipset -N test iptree --timeout 10
# ipset -A test 12.34.56.78 && for i in {1..3}; do ipset -L test; echo ---; sleep 5; done
Name: test
Type: iptree
References: 0
Header: timeout: 10
Members:
12.34.56.78,9
---
Name: test
Type: iptree
References: 0
Header: timeout: 10
Members:
12.34.56.78,4
---
Name: test
Type: iptree
References: 0
Header: timeout: 10
Members:
---
| |
|
3.20, Денис (??), 18:47, 20/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Может быть вы подскажите рабочее решение как с помошью ipset ограничить количество пользовательских сессий, а то conntrack несколько прожорлив по отношению к CPU, думаю, что ipset будет гораздо производительней, только опыта работы с ipset пока нет
| |
|
4.21, non anon (?), 19:09, 20/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>как с помошью ipset ограничить количество пользовательских сессий
Нет, с помощью ipset такое сделать не получится. ipset и conntrack - это разные инструменты для решения *разных* задач.
Некое подобие conntrack можно сотворить на базе hashlimit или recent, но это будет довольно грубый костыль. (Конкретные команды сильно зависят от задачи.)
| |
|
5.22, Денис (??), 20:09, 20/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Жаль, очень не хватает БЫСТРОГО и не ресурсоемкого инструмента для ограничения одновременных установленных соединений в Linux
| |
|
|
|
|
|
2.14, alex (??), 17:53, 20/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
А то что там ссылка на opennet как на первоисточник это ничего?
| |
|
3.16, non anon (?), 17:58, 20/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
И да, если вы посмотрите на соседние новости с того же "ресурса", вы обнаружите много интересных вещей.
# Проверим, с какой скоростью этот любитель копипасты будет расставлять ссылки =)
| |
|
|
1.18, Ветоль Дычь (?), 18:23, 20/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
тебе надо основы почитать... реально конечно хорошо бы новую литературку на русском языке... но можно еще запастись тем что можно найти в инете, всё вместе, все эти книги и всё по ним читать... в одних книгах хорошо изложен материал, но он устарел, в других более новая информация, но млин написано коряво, ну и вобщем так далее... в итоге прокачаешь свой skill
| |
|
2.38, e2 (?), 19:20, 25/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Прогрессивный мир уже лет 5 поддерживает 6-й. Начиная с висты еще
Прогрессивный мир уже 11 годков поддерживает IPv6 начиная ядра Linux v2.2.15
| |
|
1.41, Константин (??), 05:48, 28/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ребят вы как стадо баранов спорите. Возмите почитайте про ipv6. Может каждый его поймёт по своему, но ОН ipv6 будет для каждого удобен и каждый задумается когда настанет тот день X после которых мы будем использовать только его. Потому что он заранее разработан так, чтобы быть МАСШТАБИРУЕМЫМ - он очень гибок.
Мы устали таскать BGP листы до ~700 метров чтобы наши клиенты могли банально читать даже эти статьи на opennet'e
| |
|