Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Bubák 11. 01. 2019, 11:16:20

Název: IPv6 a řešení záložní konektivity
Přispěvatel: Bubák 11. 01. 2019, 11:16:20
Zdravíčko,

jakým způsobem se v ipv6 řeší záložní konektivita v ipv6 síti s tímto scénářem:

primární konektivita - provider A - ipv6 rozsah A
záložní konektivita - provider B - ipv6 rozsah B

Ideální by bylo řízení preferované konektivity hraničním routerem.

Díky za nasměrování
Název: Re:ipv6 + záložní konektivita
Přispěvatel: Malíd 11. 01. 2019, 11:33:24

Díky za nasměrování
To je vtip?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: jarda jouda 11. 01. 2019, 11:52:49
Nasměrování směrování čeho do čeho?
Hraniční směrovač směruje obvykle provoz přeložených vnitřně směrovaných adres směrovaných původně do sítě providera A, v případě zjištění výpadku směrování změní a přesměruje provoz přeložených vnitřně směrovaných adres do sítě providera B. 
Směrování dostatečné?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: M. 11. 01. 2019, 12:10:17
Dotyčný se ptá na řešení pro IPv6, tak asi NATu by se chtěl vyhnout.
Záleží na tom, co má za router a co umí, protože je několik řešení.
Já to doma řeším na Mikrotiku (který neumí policy routing pro IPv6) takto:
V LAN mám jeden segment na ULA IPv6 adresách (ze segmentu fc00::/7), který je neměnný a slouží pro interní komunikaci a trvale se propaguje do LAN. Router zjišťuje pomocí pingu funkčnost primární IPv6 linky, pokud funguje, tak do LAN propaguje IPv6 prefix odpovídající lince A a současně pro prefix linky B propaguje nulovou dobou platnost prefixu. Když linka A vypadne a B jede, tak to porohodí a propaguje A prefix s nulovou dobou paltnosti a Béčkový s hodinovou. Klienti se dynamicky pběhem pár sekund překonfigurují a jede se dál (samozřejmě spojení otevřená ven pochcípají a musí se navázat znovu pod novými IPčkama). Takže se v podstatě propagují do LAN tři IPv6 segmenty a těm odpovídajícím WANA a WANB se mění ohlašovaný valid/preffered lifetime podle ne/dostupnosti WANA IPv6 konektivity.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Ondřej Caletka 11. 01. 2019, 13:10:22
Zdravíčko,

jakým způsobem se v ipv6 řeší záložní konektivita v ipv6 síti s tímto scénářem:

primární konektivita - provider A - ipv6 rozsah A
záložní konektivita - provider B - ipv6 rozsah B

Ideální by bylo řízení preferované konektivity hraničním routerem.

Díky za nasměrování

Asi nejlepší řešení v takovém případě je dynamické ohlašování síťových prefixů (https://blog.apnic.net/2018/05/18/conditional-router-advertisements-in-enterprise-multihoming/).

Druhým řešením, pokud jde o běžné služby, které nemají problém s NATem, je překlad síťového prefixu (https://en.wikipedia.org/wiki/IPv6-to-IPv6_Network_Prefix_Translation) hlavního providera na záložního po dobu výpadku. To je v zásadě ekvivalent běžně používaného řešení v IPv4, kdy se při výpadku změní vnější adresa NAT-PATu.

Nejnákladnějším řešením pak je obstarat si vlastní IP adresy a domluvit se s oběma ISP, ať je pro vás směrují, tedy tradiční multihoming.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: jarda jouda 11. 01. 2019, 14:01:54
Dotyčný se ptá na řešení pro IPv6, tak asi NATu by se chtěl vyhnout.
......

Dotyčný nic o NATu nepíše, což ovšem neznamená, že jej a) nepoužívá, b)nechce/nemůže používat do budoucna...
Třeba řeší záložní připojení pro několik tisíc počítačů a serverů národního cybersecurity centra bezpečnostní informační služby...
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 11. 01. 2019, 14:21:24
Dotyčný nic o NATu nepíše, což ovšem neznamená, že jej a) nepoužívá, b)nechce/nemůže používat do budoucna...
Třeba řeší záložní připojení pro několik tisíc počítačů a serverů národního cybersecurity centra bezpečnostní informační služby...

1) NAT + IPv6 = slabomyslný admin
2) NAT != bezpečnostní featura
3) NAT = rovnák na vohybák, který nemá na internetu co dělat

Zapiš si to za uši...
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: MP 11. 01. 2019, 14:42:09
Dotyčný nic o NATu nepíše, což ovšem neznamená, že jej a) nepoužívá, b)nechce/nemůže používat do budoucna...
Třeba řeší záložní připojení pro několik tisíc počítačů a serverů národního cybersecurity centra bezpečnostní informační služby...

1) NAT + IPv6 = slabomyslný admin
2) NAT != bezpečnostní featura
3) NAT = rovnák na vohybák, který nemá na internetu co dělat

Zapiš si to za uši...

A pak narazis treba na banku, co ti povoli jen 2 IP adresy. Chci te videt.

Ohledne tematu, nevi nekdo, jak se pak resi DNS pro verejne pristupne sluzby?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 11. 01. 2019, 14:47:13
Ohledne tematu, nevi nekdo, jak se pak resi DNS pro verejne pristupne sluzby?
Dají se do DNS obě IP adresy (přes oba poskytovatele). Ideální je mít pak monitoring a při výpadku jedné konektivity odstranit příslušnou IP adresu i z DNS, aby nepřekážela hloupým klientům. Chytrý klient by si měl poradit sám a při nedostupnosti přes jednu IP adresu zkusit další, ještě chytřejší klient může IP adresy zkoušet v pořadí, jak jsou pro něj nejvýhodnější – začít tou, která je pro něj síťově méně nákladná.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: jarda jouda 11. 01. 2019, 14:54:24
1) NAT + IPv6 = slabomyslný admin
2) NAT != bezpečnostní featura
3) NAT = rovnák na vohybák, který nemá na internetu co dělat
Zapiš si to za uši...

Poučujte tak maximálně tazatele... Jaký napsal dotaz, taký dostal odpověď, pan Caletka to nakonec shrnul, řešeních je několik.
 
A slabomyslný jste tak akorát vy, protože spekulujete, že já doporučuju NAT, že píšu o jeho bezpečnostních výhodách, vohejbám rovnák atp.

A nakonec vlastně, proč rejete do mě, namísto fundované odpovědi tazateli?


 

Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: M. 11. 01. 2019, 14:58:16
Dotyčný se ptá na řešení pro IPv6, tak asi NATu by se chtěl vyhnout.
......

Dotyčný nic o NATu nepíše, což ovšem neznamená, že jej a) nepoužívá, b)nechce/nemůže používat do budoucna...
Třeba řeší záložní připojení pro několik tisíc počítačů a serverů národního cybersecurity centra bezpečnostní informační služby...

Z pohledu toho, kdo NPTv6 nějakou dobu aktivně používal, tak vím, že to opravdu není ono. :-(
Takže ten dynamický renumbering je cesta. Pokud NAT, tak jen opravdu jako zoufalá nouzovka na chvíli a ne trvalé řešení typu, že mám LAN jen na ULA adresách a používám překlad prefixů jak na WANA, tak i WANB. Ona i ta specifikace pro NPTv6 říká, že autoři protokolů si nemají komplikovat život vymýšlením protokolů fungující přes NAT a taktéž implemetátoři NATů nemají vymýšlet voloviny, aby něco přes to fungovalo, vyjma tupého bezestavového nahrazování prefixů v hlavičkách paketů.

V případě sítě o tisících počítačů už snad bude kompetence a možnost jít do plnotučného BGP a použití PI IPv6 bloku, takže nějaké přehazování IPv6 adres netřeba.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 11. 01. 2019, 15:03:09
Ohledne tematu, nevi nekdo, jak se pak resi DNS pro verejne pristupne sluzby?
Dají se do DNS obě IP adresy (přes oba poskytovatele). Ideální je mít pak monitoring a při výpadku jedné konektivity odstranit příslušnou IP adresu i z DNS, aby nepřekážela hloupým klientům. Chytrý klient by si měl poradit sám a při nedostupnosti přes jednu IP adresu zkusit další, ještě chytřejší klient může IP adresy zkoušet v pořadí, jak jsou pro něj nejvýhodnější – začít tou, která je pro něj síťově méně nákladná.

Ty uz  NIKOMU nerad - nez se zmena v DNS u klienta projevi, tak to muze byt i nekolik dnu
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 11. 01. 2019, 15:34:54
Ty uz  NIKOMU nerad - nez se zmena v DNS u klienta projevi, tak to muze byt i nekolik dnu
Když o tom vůbec nic nevíte, tak alespoň mlčte. A dostudujte si to (hledejte třeba „DNS Failover“) – používá se to naprosto běžně, např. pro cloudová řešení. Používá to Google, Amazon, Cloudflare a miliony dalších. Pokud vás zajímají základy DNS, zkuste třeba blog CloudDNS (https://www.cloudns.net/blog/).
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Lol Phirae 11. 01. 2019, 16:21:42
Když o tom vůbec nic nevíte, tak alespoň mlčte.

No, já nevím, co o tom teda víš ty, když tady radíš takové kokotiny jako "při výpadku jedné konektivity odstranit příslušnou IP adresu i z DNS, aby nepřekážela hloupým klientům."

Krom toho máš zjevně pomotaný load balancing a failover.

 ::) ::) ::)
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: cyClone 11. 01. 2019, 17:57:06
Pán Radek Zajíc mal na LinuxDays prednášku na túto tému v podmienkach domácnosti.
https://youtu.be/klFW3yHlGVE
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: xyz 11. 01. 2019, 20:01:32
A co  to udelat, tak jak to ma byt? Zazadat si o PI adresy a pak resit klasicky routing? IP budou porad stejne a je jedno pres koho se pripoji. Muze mit klidne i 10 ruznych konektivit, ale adresy budou porad stejny.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Dzavy 11. 01. 2019, 23:01:17
Router zjišťuje pomocí pingu funkčnost primární IPv6 linky, pokud funguje, tak do LAN propaguje IPv6 prefix odpovídající lince A a současně pro prefix linky B propaguje nulovou dobou platnost prefixu. Když linka A vypadne a B jede, tak to porohodí a propaguje A prefix s nulovou dobou paltnosti a Béčkový s hodinovou

Moh bys sem, prosim, hodit jak presne to mas udelany? Nejakej Netwatch scripting nebo to funguje nativne?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: werwer 12. 01. 2019, 19:48:10
2) NAT != bezpečnostní featura

mozno nie bezpecnostna featura ale zariadeina za NATom nie su dostupne z internetu, tak ako by si to nazval?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 12. 01. 2019, 20:01:02
mozno nie bezpecnostna featura ale zariadeina za NATom nie su dostupne z internetu, tak ako by si to nazval?
Nikoli, zařízení za NATem nejsou vždy snadno dostupná z internetu. Zabezpečení to není v žádném případě – to, že vy (jako vlastník) máte problém se tam dostat neznamená, že stejný problém má útočník.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: werwer 12. 01. 2019, 20:44:25
nikde som nepovedal ze je to idelane alebo odporucane zabezpecenie.
tak isto nehovorim o nejakych sofistikovanych utokoch
cez NAT napr neprejde scan siete ktora je za NATom kedze siet za NATom nie je dostupna z internetu
ako by si nazval toto?
podla mna sa to da nazvat ako to najjednoduchsie zabezpecenie, ci je to optimalne alebo dostacujuce? samozrejme ze nie!
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 12. 01. 2019, 20:59:30
nikde som nepovedal ze je to idelane alebo odporucane zabezpecenie.
tak isto nehovorim o nejakych sofistikovanych utokoch
cez NAT napr neprejde scan siete ktora je za NATom kedze siet za NATom nie je dostupna z internetu
ako by si nazval toto?
podla mna sa to da nazvat ako to najjednoduchsie zabezpecenie, ci je to optimalne alebo dostacujuce? samozrejme ze nie!
Ne, není to žádné zabezpečení. Tečka. Není pravda, že síť za NATem není dostupná z internetu. Představte si třeba případ, že na vnější rozhraní toho NATu (které je v internetu) přijde paket s cílovou adresou patřící do té NATované sítě. Co udělá ten router/NAT? Pošle ten paket do vnitřní sítě. Ten paket přišel z internetu, takže ta síť je dostupná z internetu. Určitě budete chtít argumentovat tím, že ale není dostupná z celého internetu. Za prvé je to jiné tvrzení, než jste vy napsal, a za druhé existují i metody, jak se do té vnitřní sítě dostat i odjinud. Na tom, že zvládají tunelování do sítí za NATem, je založená spousta aplikací a protokolů – dřívější Skype, různé VPN, Teredo…

To, že NAT není zabezpečení, bylo už řečeno a dokázáno tolikrát – nechápu, že dneska ještě někdo může tvrdit opak.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 12. 01. 2019, 21:04:05
nikde som nepovedal ze je to idelane alebo odporucane zabezpecenie.
tak isto nehovorim o nejakych sofistikovanych utokoch
cez NAT napr neprejde scan siete ktora je za NATom kedze siet za NATom nie je dostupna z internetu
ako by si nazval toto?
podla mna sa to da nazvat ako to najjednoduchsie zabezpecenie, ci je to optimalne alebo dostacujuce? samozrejme ze nie!
Ne, není to žádné zabezpečení. Tečka. Není pravda, že síť za NATem není dostupná z internetu. Představte si třeba případ, že na vnější rozhraní toho NATu (které je v internetu) přijde paket s cílovou adresou patřící do té NATované sítě. Co udělá ten router/NAT? Pošle ten paket do vnitřní sítě. Ten paket přišel z internetu, takže ta síť je dostupná z internetu. Určitě budete chtít argumentovat tím, že ale není dostupná z celého internetu. Za prvé je to jiné tvrzení, než jste vy napsal, a za druhé existují i metody, jak se do té vnitřní sítě dostat i odjinud. Na tom, že zvládají tunelování do sítí za NATem, je založená spousta aplikací a protokolů – dřívější Skype, různé VPN, Teredo…

To, že NAT není zabezpečení, bylo už řečeno a dokázáno tolikrát – nechápu, že dneska ještě někdo může tvrdit opak.


Pokud nemas nic k tematu, tak uz mlc - nic poradneho neporadis a jen vsude placas sva "moudra"
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 12. 01. 2019, 21:31:08
Kdo si myslíte, že jste? Nic neumíte, píšete nesmysly, a ještě budete ostatní okřikovat? Vzhledem k tomu, jak jste se tu zatím projevil, byste měl sedět v koutě a študovat a študovat – a pak se můžete opatrně zapojit do diskuse s lidmi, kteří o těch věcech něco vědí, a pokorně se ptát na věci, které vám nejsou jasné. A přidejte k tomu lekce slušného chování, pokud se s někým neznáte a nepotykali jste si, tak se v češtině vyká. Ono to má dobré důvody, přeci jen vykání spíš vede člověka k tomu, aby se vyjadřoval uctivěji. Což evidentně potřebujete, protože jste podlehl mylnému dojmu, že když spolu diskutujeme na stejném diskusním fóru, je to stejné, jako kdybychom spolu pásli ovce. Jenže ono to stejné není.

Já jsem v této diskusi poradil a teď jsem vyvracel chybné tvrzení, které vyplynulo z původní diskuse. Porovnejte to se svými komentáři – oba dva úplně mimo téma, jenom osobní útoky. A dovolí si to psát „nic pořádného neporadíš“.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: M. 12. 01. 2019, 21:41:48
A co  to udelat, tak jak to ma byt? Zazadat si o PI adresy a pak resit klasicky routing? IP budou porad stejne a je jedno pres koho se pripoji. Muze mit klidne i 10 ruznych konektivit, ale adresy budou porad stejny.
Nu, tazatel neuvedl, v jakém prostředí se pohybuje. Souhlasím, že takto je to nejhezčí, ale asi to není pro SOHO segment. Přeci jen přidělení PI IPv6 /48 bloku něco stojí, pokud si vzpoméním, tak ISP servis za to chtěl i s vyřízením AS cca 10 kKč jednorázově, asi by šlo jinde sehnat levněji, ale poplatek od RIPE je jasně daný.
Potom potřebuji aspoň ty dva ISP, kteří budou se mnou ochotni peerovat BGP nebo aspoň propagovat ten můj PI blok ven v rámci svého BGP a dostupnost mé sítě řešit jinak, než přes klasické BGP. Toto také nebude služba v rámci SOHO tarifů za pětistovku/měsíc. :-(
Takže pro ten SOHO segment asi reálně dneska zbývá ten dynamický renumbering, v nejhorším NPTv6 na záložní trasu.
Další metody asi patří do sci-fi nebo vzdálené budoucností, s ohledme na stav ne/implementace (např. SHIM6).

A to přehazování záznamů v DNS dle linky, tak není to ideál, ale pokud má DNS záznam relativně krátkou TTL, tak se to používá. Není to na veřejně přístupný server ideál, ale pro SOOH přístup domů asi OK, viz žada DynDNS služeb pro Ipv4 i IPv6.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: M. 12. 01. 2019, 22:49:54
Router zjišťuje pomocí pingu funkčnost primární IPv6 linky, pokud funguje, tak do LAN propaguje IPv6 prefix odpovídající lince A a současně pro prefix linky B propaguje nulovou dobou platnost prefixu. Když linka A vypadne a B jede, tak to porohodí a propaguje A prefix s nulovou dobou paltnosti a Béčkový s hodinovou

Moh bys sem, prosim, hodit jak presne to mas udelany? Nejakej Netwatch scripting nebo to funguje nativne?
Nativně to ROS neumí. Pomocí netwatch by to šlo, ale ten reaguje na první ztracený/prošlý paket, což nemusí být ono.
Proto to raději dělám skriptem, který pouštím po 30 sec ze scheduleru. Skript natvrdo testuje, zda přes wan2 je na ping dostupný Google DNS a pokud není, tak Cloudflare DNS, pokud ani jeden, tak zakáže default routu přes wan2 a změní preferred a valid lifetime pro ohlašované prefixy do sítě, aby se to celé překlopilo. Když wan2 ožije, vrátí to zpět. Mám konfiguraci, že přes wan1 normálně jde IPv4 a přes wan2 IPv6, při výpadku přehodím na druhou lajnu. Ty dvě IPv6 pomocí kterých testuji, ty jsou natvrdo směrovány přes wan2 (takže zvolit něco, co mi nebude chybět, když nepojede přes zálohu). Pro ukázku mám dvě vnitřní sítě, a krom těch dvou veřejných rozsahů používám i trvale živý ULA vnitřní prefix.
Mějme:
WAN1 IP 2001:DB8:1100::2, brána 2001:DB8:1100::1, delegovaný rozsah 2001:DB8:1111::/48
WAN2 IP 2001:DB8:2200::2, brána 2001:DB8:2200::1, delegovaný rozsah 2001:DB8:2222::/48
ULA prefix pro vnitřní provoz: fd00:dead:beef::/48

Takže vykradená podstatná část cfg:
Kód: [Vybrat]
/ipv6 address
add address=2001:DB8:1100::2/64 advertise=no interface=wan6he1
add address=2001:DB8:2200::2/64 advertise=no interface=wan6he2
add address=fd00:dead:beef:1::1/64 advertise=no interface=lan6
add address=fd00:dead:beef:2::1/64 advertise=no interface=wlan6
add address=2001:DB8:1111:1::1/64 advertise=no interface=lan6
add address=2001:DB8:1111:2::1/64 advertise=no interface=wlan6
add address=2001:DB8:2222:1::1/64 advertise=no interface=lan6
add address=2001:DB8:2222:2::1/64 advertise=no interface=wlan6


/ipv6 route
add check-gateway=ping comment=WAN6HE2 distance=1 gateway=2001:DB8:2200::1
add check-gateway=ping comment=WAN6HE1 distance=5 gateway=2001:DB8:1100::1
add distance=10 type=unreachable
add comment="WAN6HE2 - blackhole" distance=10 dst-address=2001:DB8:1111::/48 type=unreachable
add comment="WAN6HE2 - blackhole" distance=10 dst-address=2001:DB8:2222::/48 type=unreachable
add comment="WAN6HE2 - pro test dostupnosti linky(Google DNS)" distance=1 dst-address=2001:4860:4860::8844/128 gateway=2001:DB8:2200::1
add distance=5 dst-address=2001:4860:4860::8844/128 type=unreachable
add comment="WAN6HE2 - pro test dostupnosti linky(CloudFlare DNS)" distance=1 dst-address=2606:4700:4700::1001/128 gateway=2001:DB8:2200::1
add distance=5 dst-address=2606:4700:4700::1001/128 type=unreachable


/ipv6 nd
set [ find default=yes ] disabled=yes
add advertise-dns=yes hop-limit=64 interface=lan6 other-configuration=yes ra-interval=10s-30s
add advertise-dns=yes hop-limit=64 interface=wlan6 other-configuration=yes ra-interval=10s-30s
/ipv6 nd prefix
add interface=lan6  prefix=fd00:dead:beef:1::/64 preferred-lifetime=7h valid-lifetime=7h2m
add interface=wlan6 prefix=fd00:dead:beef:2::/64 preferred-lifetime=7h valid-lifetime=7h2m
add interface=lan6  prefix=2001:DB8:1111:1::/64 preferred-lifetime=1h valid-lifetime=2h
add interface=wlan6 prefix=2001:DB8:1111:2::/64 preferred-lifetime=1h valid-lifetime=2h
add interface=lan6  prefix=2001:DB8:2222:1::/64 preferred-lifetime=0s valid-lifetime=0s
add interface=wlan6 prefix=2001:DB8:2222:1::/64 preferred-lifetime=0s valid-lifetime=0s


/system scheduler
add interval=30s name=sched-check-inet6-he2 on-event=script-check-inet6-he2 policy=read,write,test start-date=jan/01/2000 start-time=00:00:00


/system script
add dont-require-permissions=no name=script-check-inet6-he2 owner=admin policy=read,write,test source="# Kontroluje ..."

Tělo vlastního skriptu je zde:
Kód: [Vybrat]
# Kontroluje dostupnost IPv6 internetu pres WAN6HE2 a pripadne to prehodi na WAN6HE1

# jake IPv6 adresy testujeme (Google DNS a CloudFlare DNS)
:local checkdst1 "2001:4860:4860::8844"
:local checkdst2 "2606:4700:4700::1001"
# z jake delame test (IPv6 adresu z LAN odpovidajici WAN2 lince)
:local checksrc "2001:DB8:1111:1::1"
# komentar pro vyhledani routy
:local cmdid WAN6HE2
# prefixy odpovidajici na LAN 1. a 2. lince
:local lanprefixes1 "2001:DB8:1111:"
:local lanprefixes2 "2001:DB8:2222:"

# test result
:local wanok 0

# funkce provede ping test na zadany pip cil z daneho src zdroje, vraci 1 pri OK 3x ping po sobe, 0 po sesti pokusech
:local pingcheck do={
  :local cntpings 0
  :local cntok 0
  :do {
    :set cntpings ($cntpings + 1)
    :if ([ /ping "$pip" src-address="$src" interval=2s count=1 ] > 0) do={
      :set cntok ($cntok + 1)
      :if ($cntok>2) do={ :return 1 }
    } else={ :set cntok 0 }
    :delay 1s
  } while=($cntpings<6);
  :return 0
}

:set wanok [ $pingcheck pip=$checkdst1 src=$checksrc ]
:if ($wanok=0) do={ :set wanok [ $pingcheck pip=$checkdst2 src=$checksrc ] }

:if ($wanok > 0) do={
  :if ([ ipv6 route get number=[ find comment="$cmdid" ] disabled]=true) do={
    # WAN6_2 jede, prehod na nej
    :local msg "$cmdid OK gw - $[/system identity get name] - $[/system clock get time] $[/system clock get date]"
    /log warning message=$msg
    /ipv6 route set [ find comment="$cmdid" && disabled=yes ] disabled=no
    /ipv6 nd prefix set [ find where prefix~"$lanprefixes1" ] preferred-lifetime=0s valid-lifetime=0s
    /ipv6 nd prefix set [ find where prefix~"$lanprefixes2" ] preferred-lifetime=1h valid-lifetime=2h
  }
} else={
  :if ([ ipv6 route get number=[ find comment="$cmdid" ] disabled]=false) do={
    # WAN6_2 nejede, prehod na WAN6_1
    :local msg "$cmdid KO gw - $[/system identity get name] - $[/system clock get time] $[/system clock get date]"
    /log error message=$msg
    /ipv6 route set [ find comment="$cmdid" && disabled=no ] disabled=yes
    /ipv6 nd prefix set [ find where prefix~"$lanprefixes1" ] preferred-lifetime=1h valid-lifetime=2h
    /ipv6 nd prefix set [ find where prefix~"$lanprefixes2" ] preferred-lifetime=0s valid-lifetime=0s
  }
}

Dále je vhodné pod /ipv6 firewall filter mít na začátku pravidla, co blokují output a forward do těch wan linek jiných zdrojových bloků, než ty přidělené k daným linkám (ať po překlopení to rejectuje staré spojení s původní IP pro druhou linku).

Konfig zjendodušen pro jeden router s dvěma WAN IPv6 linkama, v reálu to mám kapánek složitěji (jsou tam dva routery vedle sebe se vzájemně zálohující a pomocí VRRP si předávají LAN i WAN strany, použití dvou routerůl mi i dovoluje naráz využívat obě IPv6 konektivity pro různé LAN segmenty, to s jedním Mikortikem nejde pro nepodporu policy routingu na IPv6 v ROSu).
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: xyz 13. 01. 2019, 18:14:09
A co  to udelat, tak jak to ma byt? Zazadat si o PI adresy a pak resit klasicky routing? IP budou porad stejne a je jedno pres koho se pripoji. Muze mit klidne i 10 ruznych konektivit, ale adresy budou porad stejny.
Nu, tazatel neuvedl, v jakém prostředí se pohybuje. Souhlasím, že takto je to nejhezčí, ale asi to není pro SOHO segment. Přeci jen přidělení PI IPv6 /48 bloku něco stojí, pokud si vzpoméním, tak ISP servis za to chtěl i s vyřízením AS cca 10 kKč jednorázově, asi by šlo jinde sehnat levněji, ale poplatek od RIPE je jasně daný.
Potom potřebuji aspoň ty dva ISP, kteří budou se mnou ochotni peerovat BGP nebo aspoň propagovat ten můj PI blok ven v rámci svého BGP a dostupnost mé sítě řešit jinak, než přes klasické BGP. Toto také nebude služba v rámci SOHO tarifů za pětistovku/měsíc. :-(
Takže pro ten SOHO segment asi reálně dneska zbývá ten dynamický renumbering, v nejhorším NPTv6 na záložní trasu.
Další metody asi patří do sci-fi nebo vzdálené budoucností, s ohledme na stav ne/implementace (např. SHIM6).

A to přehazování záznamů v DNS dle linky, tak není to ideál, ale pokud má DNS záznam relativně krátkou TTL, tak se to používá. Není to na veřejně přístupný server ideál, ale pro SOOH přístup domů asi OK, viz žada DynDNS služeb pro Ipv4 i IPv6.

Poplatek RIPE je presne 50eur. Je uplne jedno v jakym je to segmentu. Pokud nekdo potrebuje realne resit IPv6 zalohu, tak mu stejne nic jinyho nezbude.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 13. 01. 2019, 19:20:07
Ne, není to žádné zabezpečení. Tečka. Není pravda, že síť za NATem není dostupná z internetu. Představte si třeba případ, že na vnější rozhraní toho NATu (které je v internetu) přijde paket s cílovou adresou patřící do té NATované sítě. Co udělá ten router/NAT? Pošle ten paket do vnitřní sítě. Ten paket přišel z internetu, takže ta síť je dostupná z internetu.

Netvrdím že NAT je nejaké výrazné zabezpečenie, ale Váš príklad by fungoval len ak by na danom routeri ktorý vykonáva NAT vnútorných adries na vonkajšiu nebolo žiadne iné pravidlo. Pokiaľ na vonkajší interface príde packet s cieľovou adresou vo vnútornej sieti, tak predsa ten packet zahodím. To dokáže aj jednoduché pravidlo cez iptables.
Samotné NAT per se samozrejme okrem prekladu (a tým aj schovania) adries žiadnu bezpečnosť nerieši, no zriedkakedy sa používa bez toho aby daný router odrážal minimálne všetky pokusy o odoslanie packetu z vonkajšej do vnútornej siete. Ostávajú síce čiastočne otvorené vrátka v prípade povoleného UDP, no tam si myslím je problém či už NAT alebo neNAT.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 13. 01. 2019, 19:31:39
Ešte dopním, že podobne by ste mohli argumentovať že firewall vyhodnocujúci packety po TCP/IP vrstvu nie je žiadne zabezpečenie, predsa niekto na routovanej ceste môže uniesť spojenie. To je pravda, môže, a preto je trend že sa všetko v aplikačnej vrstve podpisuje / šifruje.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 13. 01. 2019, 19:38:32
Ešte dopním, že podobne by ste mohli argumentovať že firewall vyhodnocujúci packety po TCP/IP vrstvu nie je žiadne zabezpečenie, predsa niekto na routovanej ceste môže uniesť spojenie. To je pravda, môže, a preto je trend že sa všetko v aplikačnej vrstve podpisuje / šifruje.

Pardon, myslel som ...vyhodnocujúci po transportnú vrstvu TCP / IP protokolu.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 13. 01. 2019, 19:53:09
Netvrdím že NAT je nejaké výrazné zabezpečenie, ale Váš príklad by fungoval len ak by na danom routeri ktorý vykonáva NAT vnútorných adries na vonkajšiu nebolo žiadne iné pravidlo. Pokiaľ na vonkajší interface príde packet s cieľovou adresou vo vnútornej sieti, tak predsa ten packet zahodím. To dokáže aj jednoduché pravidlo cez iptables.
Děláte si v tom sám zmatek tím, že nerozlišujete router, firewall a NAT. Když ten váš popis upřesním, píšete: „Váš příklad by takhle fungoval jedině tehdy, kdyby na routeru byl jenom NAT. Když přidám i firewall a do něj jednoduché pravidlo, paket z internetu do vnitřní sítě neprojde.“ Ano, v tom máte pravdu, a je to přesně to, co celou dobu tvrdím – NAT není žádné zabezpečení. Abyste tu vnitřní síť zabezpečil, musel jste na router dát firewall – samotný NAT nic nezabezpečil.

Samotné NAT per se samozrejme okrem prekladu (a tým aj schovania) adries žiadnu bezpečnosť nerieši, no zriedkakedy sa používa bez toho aby daný router odrážal minimálne všetky pokusy o odoslanie packetu z vonkajšej do vnútornej siete. Ostávajú síce čiastočne otvorené vrátka v prípade povoleného UDP, no tam si myslím je problém či už NAT alebo neNAT.
NAT žádné adresy neschovává. Jak jste správně napsal v předchozím odstavci, samotný NAT žádnou bezpečnost neřeší. Pokud chcete bezpečnost, musíte vedle NATu dát ještě něco jiného, co tu bezpečnost bude řešit. Asi vás mate to, že se NAT velice často vyskytuje na stejném zařízení jako firewall, ale tu bezpečnost pak řeší firewall, nikoli NAT.

Ešte dopním, že podobne by ste mohli argumentovať že firewall vyhodnocujúci packety po TCP/IP vrstvu nie je žiadne zabezpečenie, predsa niekto na routovanej ceste môže uniesť spojenie. To je pravda, môže, a preto je trend že sa všetko v aplikačnej vrstve podpisuje / šifruje.
Nikoli. Únos spojení je nebezpečí, před kterým firewall nechrání, ale firewall chrání před jiným nebezpečím – např. před komunikací útočníka se zařízením, ke kterému útočník nemá mít přístup. NAT nechrání před žádným nebezpečím – jak jste sám správně uvedl, aby router začal vnitřní síť chránit, musíte přidat firewall, NAT síť před ničím neochrání.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: werwer 13. 01. 2019, 20:02:30
To, že NAT není zabezpečení, bylo už řečeno a dokázáno tolikrát – nechápu, že dneska ještě někdo může tvrdit opak.

kto to povedal a kto/ako to dokazal?

NAT nie je zabezpecenie pretoze NAT v prvom rade riesi uplne iny problem.
ak mam v LAN verejny subnet tak nebudem nasadzovat NAT ako prvu vrstvu zabezpecenia pretoze:
1. ako si sam povedal nie je to security feature ako taka
2. NAT vobec nepotrebujem ked mam v LAN verejny subnet
3. nasadim ACL, FW, IPS/IDS
4. ...

ak mam ale v LAN privatny subnet, prve co musim zabezpecit je konektivity pre zariadenia v LAN, tak ze nakonfigurujem NAT
a potom zabezpecenie podla toho co je dostupne a co potrebne.

podla mojho nazoru NAT nie je zabezpecenie ale minimalne vnasa istu prekazku(aj ked malu), ktoru utocnuk musi nejako obist
 
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Lol Phirae 13. 01. 2019, 22:41:57
... 

https://www.youtube.com/watch?v=AOmtPLss9RQ
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 13. 01. 2019, 23:13:56
Děláte si v tom sám zmatek tím, že nerozlišujete router, firewall a NAT....
Nemyslím si, že by som v tom mal zmätok, ale ospravedlňujem sa že som nedal kompletné vysvetlenie všetkých použitých pojmov na začiatku môjho príspevku  :).

NAT nechrání před žádným nebezpečím – jak jste sám správně uvedl, aby router začal vnitřní síť chránit, musíte přidat firewall, NAT síť před ničím neochrání.
Keď sme už pri tom slovíčkárení, tak potom by bolo správne tvrdiť že NAT nie je určený na ochranu pred nebezpečím, ale svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil. Verím že uznáte že je rozdiel mať počítače (napr. windows) vystrčené priamo s verejnou adresou na internete bez akýchkoľvek firewallov, a mať ich aspoň za zariadením ktorý nerobí nič iné len SNAT, prekladá súkromné adresy na svoju verejnú. V tom druhom to odreže "takmer" celý internet od možnosti vytvoriť spojenie na súkromnú adresu.

A keď ste už spomínali ten firewall, tak práve NAT je implementované ako modul do netfiltra. Teda nie je to vrstva, pred ním ani za ním, ale ako voliteľný krok v procesovaní packetov. Myslím že je to tak urobené z praktických dôvodov keďže aj pri najjednoduchšom NAT je potrebné vykonať filtrovanie packetov aby sa preklad adries robil len pre určité sieťové zariadenie, poprípade len pre definovaný rozsah adries.
Teda na nastavenie predtým spomínaného filtrovacieho pravidla nie je treba mať žiadny ďalší "firewall", stačí pridať pravidlo do vhodnej tabuľky netfiltra. Stane sa tak z hlúpeho-NAT firewall?

Každopádne nechcem tým obhajovať zneužitie NAT na zvýšenie bezpečnosti, len som Vás chcel trochu podpichnúť a ukázať že nie je všetko čierne a biele :). Nepredpokladám, že je niekto odkázaný na to aby musel používať preklad adries samotný na zvýšenie bezpečnosti. Neverím že akékoľvek lacný router by robil len samotný preklad adries bez akéhokoľvek iného pravidla v netfiltri. Veď predsa aj ten najposlednejší domáci router je postavený na linuxe kde je to všetko zadarmo.

Dúfam, že nie všetci krútia nad touto našou off-topic diskusiou hlavou :), a podaktorí si aspoň pre vlastnú predstavu skontrolujú aké pravidlá v tom svojom netfiltri majú.


Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 14. 01. 2019, 07:31:52
svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil.
Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.

V tom druhom to odreže "takmer" celý internet od možnosti vytvoriť spojenie na súkromnú adresu.
To není pravda. A už jsem tu jmenoval například původní Skype nebo Teredo, které vytvořit spojení na soukromou adresu umí.

A keď ste už spomínali ten firewall, tak práve NAT je implementované ako modul do netfiltra.
I tentokrát se mýlíte. Firewall i NAT jsou obecné pojmy vztahující se k síťovém komunikaci. Netfilter je jedna z implementací na Linuxu, ale firewall i NAT můžete provozovat i na *BSD, na Windows, na jednoúčelových zařízeních bez Linuxu. I na Linuxu se firewall a NAT dříve řešil pomocí ipchains, nyní máte k dispozici vedle netfilteru i nftables.

NAT je zkratka pro Network Address Translation, a je to prostě změna IP adres (zdrojové a/nebo cílové) v IP paketech. Není to firewall a nezáleží na tom, že je to v některých implementacích řešeno stejným nástrojem, jako firewall. Rozlišovat to můžete podle jednoduchého pravidla – když to podle určitých pravidel pakety zahazuje (nebo odmítá s ICMP zprávou, případně předá pakety k analýze), je to firewall, když to podle určitých pravidel mění zdrojovou a/nebo cílovou IP adresu v hlavičkách paketu, je to NAT.

aj pri najjednoduchšom NAT je potrebné vykonať filtrovanie packetov
Není. Filtrování paketů je jiná úloha, než NATování, a NAT funguje výborně i bez jakéhokoli firewallu.

Teda na nastavenie predtým spomínaného filtrovacieho pravidla nie je treba mať žiadny ďalší "firewall", stačí pridať pravidlo do vhodnej tabuľky netfiltra. Stane sa tak z hlúpeho-NAT firewall?
Ano, když filtrujete provoz, je to firewall. Na začátku komentáře jste psal, že v tom nemáte zmatek, ale tady už si v tom zase zmatek děláte. To, že často máte firewall a NAT na jednom zařízení a dokonce implementované jednou technologií, neznamená, že to můžete vzájemně zaměňovat. U dveří také často máte kliku a zámek v jednom „zařízení“, ale to neznamená, že byste mohl tvrdit, že klika slouží k zamykání a že pro zamezení vstupu neoprávněné osoby tudíž stačí klika a zámek není potřeba.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 14. 01. 2019, 07:38:32
A co teda mam, kdyz mam firewall https://www.cisco.com/c/en/us/products/security/adaptive-security-appliance-asa-software/index.html , ktera mi NATuje a PATuje privatni IP na verejne ?

Jen ze bych si doplnil znalosti...
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: qweq 14. 01. 2019, 08:50:58
... 

https://www.youtube.com/watch?v=AOmtPLss9RQ

gratulujem ti, aspon si sa vyfarbil a je jednoduchsie identifikovat koho posty ignorovat
najsmutnejsie je ze si myslis aky si vtipny...
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: qweq 14. 01. 2019, 09:00:04
svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil.
Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.

vies ale tu si vyberas specificke pripady ktore vyhovuju tvojim argumentom
to je to iste ako keby som ja tvrdil ze niekto z internetu cez NAT mi neoscanuje LAN, tym padom je NAT plnohodnotne security riesenie

^^^to tu ale nikto netvrdi, popierat ale ze niektore vlastnosti NATu maju podobny efekt ako zakladny FW mi pride zvlastne
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 14. 01. 2019, 12:17:53
vies ale tu si vyberas specificke pripady ktore vyhovuju tvojim argumentom
to je to iste ako keby som ja tvrdil ze niekto z internetu cez NAT mi neoscanuje LAN, tym padom je NAT plnohodnotne security riesenie

^^^to tu ale nikto netvrdi, popierat ale ze niektore vlastnosti NATu maju podobny efekt ako zakladny FW mi pride zvlastne
Nevybírám si specifické případy. Pokud podle vás některé vlastnosti NATu mají podobný efekt, jako základní firewall, napište které. Tady zatím nikdo takové vlastnosti nepopsal – akorát Peter napsal, že si vedle toho NATu může zapnout i firewall, a ten firewall pak blokuje nějaký provoz.

Pořád jde o to, že někdo trochu míchá dohromady NAT, firewall a router, a vlastnosti, které má celé to řešení díky routování nebo firewallu připisuje NATu.

Jinak i pokud se na to díváte z toho pohledu, zda se útočník odkudkoli z internetu dostane do vnitřní sítě, pak NAT bezpečnost naopak snižuje. Když budete mít na hranici té sítě čistý router, ten bude pakety podle IP adresy směrovat do vnitřní sítě nebo do sítě ISP a na gateway ISP. V síti ISP by se ty pakety se zdrojovou IP adresou z privátního rozsahu měly zahodit. Pakety s cílovou adresou z privátního rozsahu útočník sedící kdekoli v internetu nedopraví ani do sítě vašeho ISP, natož na váš hraniční router. Takže bez NATu se ten útočník sedící obecně kdekoli v internetu nemá šanci do vaší sítě přímo dostat. Když tam přidáte NAT, situace se úplně změní – útočník dostane pakety odkudkoli z internetu až na váš hraniční router, a pak už záleží jenom na tom, jestli se mu podaří přesvědčit NAT, aby ty adresy přeložil.

Takže když to shrnu, proti útokům odkudkoli z internetu je privátní síť připojená k internetu routerem bez NATu odolná více, než privátní síť připojená k internetu routerem s NATem, NAT tedy „bezpečnost“ v tomto smyslu snižuje. A pokud chcete skutečné zabezpečení (tj. ne takové, že si k vašim opatřením zpětně vymodelujete nějakého extrémn ě neschopného útočníka, kterého ta opatření zastaví) té privátní sítě, potřebujete na tom hraničním routeru filtraci provozu, tj. buď alespoň routovací pravidla, nebo firewall.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 14. 01. 2019, 12:24:23
Takže když to shrnu, proti útokům odkudkoli z internetu je privátní síť připojená k internetu routerem bez NATu odolná více, než privátní síť připojená k internetu routerem s NATem, NAT tedy „bezpečnost“ v tomto smyslu snižuje.

A jak potom funguji pocitace v LAN na privatnich adresach bez NATu jen za routerem?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 14. 01. 2019, 13:28:16
A jak potom funguji pocitace v LAN na privatnich adresach bez NATu jen za routerem?

Normálně komunikují mezi sebou v rámci sítě. Stroje mají IP adresu, které rozumí a IP stack neřeší privátní/veřejná, ale platná/neplatná adresa.

Bez NATu se jenom nedostanou do vnější sítě (protože pravidla na firewallech definují "privátní adresy nepouštěj dál").
A nebýt tam ty FW, tak to komunikuje i ven - jenom s tím, že routery by hledaly nejkratší cestu k nějakýmu stroji s tou IP adresou, takže mimo tu lokální síť bys neměl jistotu, s kým se vlastně bavíš. On totiž jediný rozdíl mezi veřejnou a privátní IP adresou je, že privátní IP adresu může sám sobě přiřadit kdokoliv a nevidí ji nikdo zvenčí.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 14. 01. 2019, 13:31:14
to tu ale nikto netvrdi, popierat ale ze niektore vlastnosti NATu maju podobny efekt ako zakladny FW mi pride zvlastne

Já zase myslím, že tvrdit, že NAT má podobný vlastnosti jako FW a nenapsat který a proč, je poněkud zvláštní. Žádná taková vlastnost není.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 14. 01. 2019, 13:36:22
A jak potom funguji pocitace v LAN na privatnich adresach bez NATu jen za routerem?

Normálně komunikují mezi sebou v rámci sítě. Stroje mají IP adresu, které rozumí a IP stack neřeší privátní/veřejná, ale platná/neplatná adresa.

Bez NATu se jenom nedostanou do vnější sítě (protože pravidla na firewallech definují "privátní adresy nepouštěj dál").
A nebýt tam ty FW, tak to komunikuje i ven - jenom s tím, že routery by hledaly nejkratší cestu k nějakýmu stroji s tou IP adresou, takže mimo tu lokální síť bys neměl jistotu, s kým se vlastně bavíš. On totiž jediný rozdíl mezi veřejnou a privátní IP adresou je, že privátní IP adresu může sám sobě přiřadit kdokoliv a nevidí ji nikdo zvenčí.

Zpresnim svuj dotaz:

Jak se bez NATu dostanou pocitace z privatnich IP adres do internetu?
Vzdyt NAT je zbytecny, jak vsichni tvrdite...

A nepis nic o proxy typu squid apod., prosim
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 14. 01. 2019, 13:59:12
Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.

Mal som na mysli SNAT alebo MASQ (o portoch tu ešte reč nebola a netreba to komplikovať), to routovanie môže fungovať správne len vďaka tomu NAT. Vďaka tomu skenovanie vnútornej siete bude pre počítač napr. z Číny nedostupné a stále bude mať počítač vo vnútornej sieti možnosť browsovať na intrnete.
Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.

To není pravda. A už jsem tu jmenoval například původní Skype nebo Teredo, které vytvořit spojení na soukromou adresu umí.
Skype a predpokladám aj Teredo potrebuje pomoc z vnútornej siete. Bez tejto pomoci nie je možné to čo popisujete. Inak táto možnosť bežne nebýva bežne filtrovaná ani v prípade firewalloch.

Ano, když filtrujete provoz, je to firewall. Na začátku komentáře jste psal, že v tom nemáte zmatek, ale tady už si v tom zase zmatek děláte. To, že často máte firewall a NAT na jednom zařízení a dokonce implementované jednou technologií, neznamená, že to můžete vzájemně zaměňovat. U dveří také často máte kliku a zámek v jednom „zařízení“, ale to neznamená, že byste mohl tvrdit, že klika slouží k zamykání a že pro zamezení vstupu neoprávněné osoby tudíž stačí klika a zámek není potřeba.

Neviem aké sú všeobecné dohody v terminológii, no ja si myslím že firewall je sieťový komponent, ktorý poskytuje služby filtrovania paketov, preklad adries a iné (zoznam schopností závisí od typu firewallu). Ale o tomto sa nemá zmysel hádať.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 14. 01. 2019, 14:17:51
Zpresnim svuj dotaz:

Jak se bez NATu dostanou pocitace z privatnich IP adres do internetu?
Vzdyt NAT je zbytecny, jak vsichni tvrdite...

A nepis nic o proxy typu squid apod., prosim
V jaké síti?

IPv4 - bez NATu smůla, nemáš veřejnou adresu

IPv6 - prostě si na základě RA nebo DHCPv6 obstará veřejnou IPv6 a pro komunikaci ven použije tu. Rozhraní v IPv6 může mít ( a mívá ) několik adres*. Privátní adresu použije jenom v privátní síti.

Co se tím snažíš dokázat? Že NAT zajišťuje bezpečnost, když bez něho nekomunikuješ ven? To je spíš naopak - nejlepší ochrana je odstřižení od internetu, takže jsi nahrál Jirsákovi na smeč.

----------
*) Pokud jsou dvě připojení, tak když už si to člověk platí, může mít stroj rovnou dvě veřejný IPv6 adresy s různým prefixem a vytěžovat dvě lajny - při výpadku prostě jenom spadne pár spojení a klesne rychlost.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 14. 01. 2019, 14:25:13
Jirsak tvrdi, ze NAT je k nicemu, ze staci pouze router

Ja se opakovane ptam, jak se klient z vnitrni site na privatni IPv4 adrese dostane bez NATu na internet (jen s pomoci routeru).

Jsem hloupy  a rad se poucim
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 14. 01. 2019, 14:37:04
Jirsak tvrdi, ze NAT je k nicemu, ze staci pouze router
Netvrdí.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 14. 01. 2019, 14:46:37
to routovanie môže fungovať správne len vďaka tomu NAT.

Routování funguje díky tomu, že router "ví", kam který paket hodit. Router ví, že
- když mu přijde paket pro IP adresu gatewaye, má ji hodit do privátního rozhraní NATu
- když mu přijde paket z veřejnýho rozhraní NATu, má to kopnout do WAN
- když přijde paket na veřejnou IP adresu, má ho kopnout na veřejný rozhraní NATu
- když přijde paket na IP adresu vnitřní sítě, má to kopnout do vnitřní sítě.

Víc za routováním IPv4 v SOHO mašině nehledej.

Vďaka tomu skenovanie vnútornej siete bude pre počítač napr. z Číny nedostupné

A na to jsi přišel jak?

Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.

To může i s NATem. A v obou případech pomůže jedno - firewall a dropnout SMB zvenku.

Skype a predpokladám aj Teredo potrebuje pomoc z vnútornej siete. Bez tejto pomoci nie je možné to čo popisujete.

Pomoc z vnitřní sítě je jedna z možností, nikoliv jediná...

Neviem aké sú všeobecné dohody v terminológii, no ja si myslím že firewall je sieťový komponent, ktorý poskytuje služby filtrovania paketov, preklad adries a iné (zoznam schopností závisí od typu firewallu). Ale o tomto sa nemá zmysel hádať.

Právě že základ je rozumět tomu, co který slovo znamená. Jinak se nedomluvíme nikdy.

- Firewall je prostý filtr, kde si nastavím pravidla. Podle nich paket projde, hlásí odesílateli chybu, nebo je prostě zahozen.
- NAT je něco, co mění IP adresy paketů.
- Router je něco,co propojuje několik sítí a na základě IP adresy (kterou nemění) a tabulky cest přehazuje pakety z jednoho rozhraní na jiný.
- Gateway je něco, co má IP adresu do vnitřní a vnější sítě a zprostředkovává komunikaci těch sítí (z pohledu LAN je to IP adresa, která vede ven a zvenčí IP adresa, na kterou posílá router pakety, když se chce dostat dovnitř, nic na paketech nemění).

Že je to na jednom procesoru v jedné krabičce na definicích nic nemění.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 14. 01. 2019, 15:06:26
routovanie môže fungovať správne len vďaka tomu NAT
Nikoli, routování na NATu vůbec nijak nezávisí. Než došly IPv4 adresy, žádné NATy se nepoužívaly a Internet fungoval perfektně, NAT nikomu nechyběl.

Vďaka tomu skenovanie vnútornej siete bude pre počítač napr. z Číny nedostupné a stále bude mať počítač vo vnútornej sieti možnosť browsovať na intrnete.
Nepoužívejte zájmena, pak není jasné, o čem píšete. Konkrétně ty dva body – (přímá) nedostupnost z Číny a možnost brouzdat po internetu z vnitřní sítě jsou možné díky dvěma věcem – routování a NATu. Dokonce se to dá ještě rozdělit a zkoumat každou vlastnost zvlášť. To, že budou počítače ve vnitřní síti nedostupné přímo z Číny závisí čistě jen na routování – a NAT je naopak může zpřístupnit. Možnost brouzdat po internetu pak závisí na routování i NATu.

Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.
K přístupu by opět bylo potřeba routování. K zabránění přístupu by se pak opět použil firewall, v některých případech jde použít i routování. NAT by se dal také použít, třeba jak tu někdo navrhoval řešit multihoming – v síti používat IP adresy z jednoho rozsahu a v případě výpadku příslušné konektivity je NATovat na adresy z druhého rozsahu (patřícího k té funkční konektivitě). Je to typické řešení pro IPv4, pro IPv6 není ideální, protože IPv6 od začátku počítá s tím, že zařízení mají více IPv6 adres. V případě dvou konektivit minimálně tři – lokální adresu v síti a IP adresu od každé konektivity. Mimochodem, všimněte si, že NAT opět bezpečnost nijak nezvyšuje – spíš naopak, protože komplikuje cestu paketů a snáz se pak stane, že správce zapomene na nějaký okrajový případ, který by měl firewall řešit.

Skype a predpokladám aj Teredo potrebuje pomoc z vnútornej siete.
Ano, potřebuje. A co? U drtivé většiny vnitřních sítí musíte předpokládat, že ta pomoc z vnitřní sítě je možná, dokonce že je snadná.

Neviem aké sú všeobecné dohody v terminológii, no ja si myslím že firewall je sieťový komponent, ktorý poskytuje služby filtrovania paketov, preklad adries a iné (zoznam schopností závisí od typu firewallu). Ale o tomto sa nemá zmysel hádať.
Firewall blokuje vybraný provoz (odmítá nebo zahazuje pakety). Router pakety směruje. NAT překládá adresy v hlavičkách paketů. Ty názvy popisují přímo chování. Vedle toho pak existují (obvykle fyzická) zařízení, která často plní všechny tři role (router, NAT a firewall, obvykle ještě switch, často mají další funkce jako WiFi AP nebo DNS server). Tato zařízení se nazývají různě, v SOHO oblasti se jim často říká router nebo WiFi AP, v profesionální oblasti se často nazývají svou primární funkcí, i když toho často umí víc – takže třeba router umí i filtrovat a NATovat atd. V této diskusi ale určitě nemohlo dojít k záměně názvu pro funkci a (obchodního) názvu zařízení, protože řeč byla původně o NATu, a NAT jako obchodní název zařízení se vyskytuje velmi sporadicky. Takže když se tu píše o NATu, je všem jasné, že se tím myslí funkcionalita NATu, tedy překládání adres.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: werwer 14. 01. 2019, 20:30:08
Takže když to shrnu, proti útokům odkudkoli z internetu je privátní síť připojená k internetu routerem bez NATu odolná více, než privátní síť připojená k internetu routerem s NATem, NAT tedy „bezpečnost“ v tomto smyslu snižuje. A pokud chcete skutečné zabezpečení (tj. ne takové, že si k vašim opatřením zpětně vymodelujete nějakého extrémn ě neschopného útočníka, kterého ta opatření zastaví) té privátní sítě, potřebujete na tom hraničním routeru filtraci provozu, tj. buď alespoň routovací pravidla, nebo firewall.

na toto neviem co ani napisat, aky ma zmysel pripojit privatnu siet k internetu?
to mozem rovno vytiahnut kabel z WAN portu a prehlasit ze moja LAN siet je 100% bezpecna pretoze sa do nej naozaj nikto nedostane, to ze sa ja nedostanem von je asi vedlajsie

toto naozaj nie su argumenty s ktorymi sa da viest diskusia kedze namiesto zabezpecenia siete ju chcete uplne znefunkcnit.

Nevybírám si specifické případy. Pokud podle vás některé vlastnosti NATu mají podobný efekt, jako základní firewall, napište které. Tady zatím nikdo takové vlastnosti nepopsal
ak sa rozpravame o SNAT, inteligentne routere maju tabulku prekladov s ktorymi porovnavaju prichodzie pakety a podla toho robia spatny NAT z verejnej cielovej adresy na privatnu cielovu adresu v LAN, takze ak chce utocnik preniknut do LAN siete musi spoofnut IP adresu so zariadenim v internete s ktorym je nadviazana komunikacia z internetu. ==> podobne sa sprava FW
ak sa rozpravame o statickom NAT 1:1 alebo o statickom port-forward-e tak ano, tu toto pravidlo neplati a komunikacia je otvorena pre cely internet ak nie su nastavene nejake ACL pravidla

Bez NATu se jenom nedostanou do vnější sítě (protože pravidla na firewallech definují "privátní adresy nepouštěj dál").
iba? to je asi celkom velky problem ze nefunguje pripojenie do internetu
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 14. 01. 2019, 21:00:14
na toto neviem co ani napisat, aky ma zmysel pripojit privatnu siet k internetu?
to mozem rovno vytiahnut kabel z WAN portu a prehlasit ze moja LAN siet je 100% bezpecna pretoze sa do nej naozaj nikto nedostane, to ze sa ja nedostanem von je asi vedlajsie

toto naozaj nie su argumenty s ktorymi sa da viest diskusia kedze namiesto zabezpecenia siete ju chcete uplne znefunkcnit.
Za prvé tu neřešíme smysl, ale funkcionalitu. Když prohlásíte, že nemá smysl používat vidličku bez nože, pořád ještě to neznamená, že je vidlička výborný nástroj na krájení. Když si tady někteří pořád pletou funkce firewallu, routeru a NATu, je potřeba uvést příklad, kde je jenom ten router, aby si uvědomili, co je funkce routeru. Když mi někdo bude tvrdit, jak se vidličkou dobře krájí, taky mu seberu ten nůž, aby si vyzkoušel opravdu krájení vidličkou a konečně zjistil, jaký je rozdíl mezi vidličkou a nožem.

Za druhé, ta privátní síť nemusí mít přímou IP konektivitu do internetu, ale přesto se může k internetu nějak připojovat – třeba přes proxy server.

ak sa rozpravame o SNAT, inteligentne routere maju tabulku prekladov s ktorymi porovnavaju prichodzie pakety a podla toho robia spatny NAT z verejnej cielovej adresy na privatnu cielovu adresu v LAN, takze ak chce utocnik preniknut do LAN siete musi spoofnut IP adresu so zariadenim v internete s ktorym je nadviazana komunikacia z internetu. ==> podobne sa sprava FW
Nikoli. SNAT mění IP adresy v hlavičkách paketů. Firewall blokuje pakety, nepropustí je dál. Co je na tom tak těžkého k pochopení? Tak si to představte na klasické poště. Jeden člověk dělá to, že vezme obálku a když se mu líbí, pustí ji dál, když se mu nelíbí, hodí ji do skartovačky. Druhý člověk se podívá na obálku a když je tam napsáno jenom „Franta“ přelepí to štítkem s kompletní Frantovou adresou. Připadá vám, že ti dva lidé dělají to samé?

iba? to je asi celkom velky problem ze nefunguje pripojenie do internetu
Není. Na protokolu IP jsou postavené různé sítě a ne všechny musí mít přímou IP konektivitu do Internetu. Dříve například bylo běžné vytáčené připojení k Internetu – internetová konektivita byla dostupná jenom v okamžiku, kdy bylo navázané spojení přes modem, vyřídilo se, co bylo potřeba (třeba stáhly a odeslaly e-maily), a spojení se zase ukončilo, čímž se síť od Internetu odpojila.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 14. 01. 2019, 22:32:56
Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.

To může i s NATem. A v obou případech pomůže jedno - firewall a dropnout SMB zvenku.
Môžete to prosím vysvetliť podrobne? Musím priznať že táto znalosť dosť narúša moje naivné predstavy o sieťovaní. Ale je pravda že zo školy som už mnoho rokov preč a som len samouk, sieťovaniu sa profesionálne nevenujem.

Alebo, ak súhlasíte môžeme to spraviť zaujímavejšie. Pripravím stroj s privátnou adresou a pred neho dám jeden router na ktorom sľubujem že nastavím do IP tables len jediné pravidlo.
Kód: [Vybrat]
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o <verejnyInterf> -j SNAT --to <VER.EJNA.IP.ROUTERA>
Žiadne iné pravidlo na filtrovanie packetov tam nedám. Samozrejme povolím forwarding.

Na stroj na privatnej sieti dam http server bez hesla a na to http nahram index.html s tajnou poznamkou. Tú poznámku mi odtiaľ prečítate a pošlete. Súhlas? Môžme sa dohodnúť na stávke o sumu aby sa zaplatil Váš stratený čas a môj čas nastavením spomínaných zariadení. Plus nejaký bonus, ktorý dúfam že chápete nemôže byť privysoký aby Vám nestálo za to presvedčiť nejakého zamestnanca u môjho providera aby Vám pomohol. Budem to brať ako náklad na školenie :).

Právě že základ je rozumět tomu, co který slovo znamená. Jinak se nedomluvíme nikdy.

- Firewall je prostý filtr, kde si nastavím pravidla. Podle nich paket projde, hlásí odesílateli chybu, nebo je prostě zahozen.
- NAT je něco, co mění IP adresy paketů.
...

V podstate sa môžeme dohodnúť na Vašej terminológii, ale moja prestava je takáto

- Firewall je pre mňa sieťový komponent (či už softvérový alebo samostatná krabička), ktorá poskytuje rôzne služby
- NAT je služba
- Filtrovanie packetov je služba

ak správne rozumiem tak pre Vás Firewall == filtrovanie packetov.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 15. 01. 2019, 07:00:05
V podstate sa môžeme dohodnúť na Vašej terminológii, ale moja prestava je takáto

- Firewall je pre mňa sieťový komponent (či už softvérový alebo samostatná krabička), ktorá poskytuje rôzne služby
- NAT je služba
- Filtrovanie packetov je služba

ak správne rozumiem tak pre Vás Firewall == filtrovanie packetov.
Používat při komunikaci bez varování vlastní představy místo všeobecně uznávaných významů je problém. Ta terminologie firewall = filtrování paketů není terminologie PetraM, ale je to všeobecně uznávaná terminologie. Stačí si přeložit ten anglický termín (používá se přenesení významu slova – protipožární zeď odděluje dva různé prostory, aby se případný požár, tedy něco škodlivého, nedostalo z jednoho prostoru do druhého; stejně tak síťový firewall odděluje sítě, aby se škodlivé pakety nedostaly z jedné sítě do druhé) nebo si pár definic vyhledat.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 15. 01. 2019, 07:20:17
Kód: [Vybrat]
[quote author=peter link=topic=20522.msg303651#msg303651 date=1547501576]
Môžete to prosím vysvetliť podrobne? Musím priznať že táto znalosť dosť narúša moje naivné predstavy o sieťovaní. Ale je pravda že zo školy som už mnoho rokov preč a som len samouk, sieťovaniu sa profesionálne nevenujem.

Nejjednodušší je dostat se ven ze sítě. V síti existuje gateway (má řekněme IP adresu 192.168.1.1). Pokud se pokusíš kontaktovat něco mimo tvou síť, tak IP stack ví, že skrz tuhle adresu vede cesta ven (a ví podle masky, že to není prefix jeho sítě a chce ven), zjistí si přes ARP MAC adresu a na ni pošle paket s cílovou IP adresou, kterou chce kontaktovat. Gateway paket přijme a prohodí ho dál, nijak to neřeší.
Z venku to samý. Řekněme, že mám páteřní síť ve firmě a tahle gateway má směrem ven adresu 192.168.0.25. Pokud chce někdo přistupovat na třeba 192.168.1.27, router hodí (na základě tabulky prefixů) paket na 192.168.0.25 a gateway ho prohodí do té naší sítě, kde .27 buďto je, nebo není. To není jeho starost.
Neřeší se IP adresy zdroje ani příjemce, neřeší porty, neřeší protokol...

Router ti podle tabulky řekne, že "192.168.1.0/255.255.255.0 je na rozhraní LAN přes IP adresu 192.168.0.25". Router funguje taky jako gateway, takže tvoří gateway pro tu páteřní síť a jednak říká, který paket má jít kam mezi vnitřníma sítěma a druhak komunikuje s vnějším světem (pro prefixy, který nejsou ve vnitřní síti, hází pakety ven na jedno nebo několik rozhraní podle nějaké metriky).

Když nasadím službu SNAT do té gatewaye, tak přijde paket z vnitřní sítě "192.168.1.7->8.8.8.8" a SNAT místo gatewaye to změní na "192.168.0.25->8.8.8.8". Podobně pro příchozí, odpověď "8.8.8.8->192.168.0.25" se překope na odpověď "8.8.8.8->192.168.1.27" a paket projde. Přitom není potřeba ho otevírat zvenku, SNAT ví, že to má házet tomuhle stroji. Veškerá ochrana 0.

Oproti tomu pokud tam dám firewall, ten se podívá do paketu, ale nic nezmění. Zjistí si protokol, zdrojovou a cílovou IP adresu, zdrojový a cílový port. A pak prochází tabulku pravidel a první, který vyhoví, použije. Takže pokud na 192.168.1.27 máš Telnet na portu 22 a nechceš, aby byl viditelný zvenku, dáš tam pravidlo, že přístup od kohokoliv z WAN na tuhle adresu, port 22 má zahodit. No a firewallem neprojde paket, který by navázal spojení. Přitom každý jede pod svou IP adresou.

V podstate sa môžeme dohodnúť na Vašej terminológii, ale moja prestava je takáto

- Firewall je pre mňa sieťový komponent (či už softvérový alebo samostatná krabička), ktorá poskytuje rôzne služby
- NAT je služba
- Filtrovanie packetov je služba

ak správne rozumiem tak pre Vás Firewall == filtrovanie packetov.

Firewall je filtr paketů. Jedno jestli SW black box na nějakým zařízení, nebo samostatná krabice. Žádný další služby dělat nemůže. Je to portýr u vchodu, jenom kontroluje vstupenky. Ale nemůže nikoho nutit, aby se převlíkal, nebo aby šel na WC do kabinky č. 3, pokud bude potřebovat. Vejdi nebo vypadni.

No a celý ten slavný NAT by bez firewallu vypadal tak, že na router přijde na WAN port požadavek na (privátní) adresu v LAN, router ji zná, tak ho pustí dovnitř a paket prostě předá do LAN. Je to jeho práce*. Takže pokud má někdo možnost do sítě ISPíka pouštět IP adresy z tvýho privátního rozsahu, je pro něj bez FW tvoje síť krásně transparentní... Jenom tě nebude kontaktovat přes IP adresu NATu. Stačí napadnout nějaký prvek v síti ISP, nebo počítač u souseda a z něho překonfigurovat jeho router a má tě. I proto je NAT jenom iluze bezpečnosti... Prostě musíš počítat s tím, že i privátní adresa může být vidět zvenčí a i když ty lezeš ven dveřma, někdo se dovnitř může dostat oknem.

Bez FW nic bezpečně neuděláš, i to, že se schováváš za NATem a nepřijde ti nic přímo, je práce firewallu (že nepustí pakety s privátní adresu z WAN do LAN). No a když už tam ta filtrace je, k čemu potřebuješ NAT, pokud nepotřebuješ z důvodu absence dostatku IP adres schovat víc strojů za jednu "veřejnou"** IP adresu? K tomu, aby sis zbytečně komplikoval život...

------

*) Smlouva s routerem: Přijde-li ti paket a znáš jeho IP adresu, předej ho do příslušné sítě, jinak se pokus zjistit, jak ho doručíš.
**) "Veřejná" IP adresa je často ještě za CGNATem nebo je přidělená automaticky z DHCP, často obojí
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 15. 01. 2019, 13:46:55
Páni, nie že by to bolo podstatné, ale stále sa snažíte tvrdiť že Firewall == filtrovanie packetov, a tvrdíte že moje predstavy sú nesprávne s vedecky zaužívanou terminológiou. Môžete prosím dať nejaký link, ktorý podporí vaše tvrdenie. Lebo ja keď si pozriem stránku Wikipedie o firewalle (computing) a dám hľadať NAT tak to tak nevyzerá. A musím povedať, že ja som tú stránku včera needitoval :). Dokonca celý odstavec je k tejto téme relevantný.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 15. 01. 2019, 13:56:43
Ono by mozna stacilo, kdyby kolega nestudoval jen knihy, ale nekdy nejaky server, konfiguraci a zabezpeceni site apod. sam realizoval, drzel "pri zivote" a zodpovidal za to

Pote by bylo jeho prispevku mene a vice k veci...
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 15. 01. 2019, 14:04:22
Páni, nie že by to bolo podstatné, ale stále sa snažíte tvrdiť že Firewall == filtrovanie packetov, a tvrdíte že moje predstavy sú nesprávne s vedecky zaužívanou terminológiou. Môžete prosím dať nejaký link, ktorý podporí vaše tvrdenie. Lebo ja keď si pozriem stránku Wikipedie o firewalle (computing) a dám hľadať NAT tak to tak nevyzerá. A musím povedať, že ja som tú stránku včera needitoval :). Dokonca celý odstavec je k tejto téme relevantný.

Wikipedie je docela zrádná věc a je potřeba ji brát s rezervou. Tvoří ji lidi pro lidi a ne vždycky má ten, kdo téma edituje, úplně jasno v tom, o čem píše. Takže jako první nástřel dobrý, ale to je tak všechno. Ale pst, lidi na to ještě nepřišli...

Doporučil bych libovolný skripta ohledně sítí, nebo třeba (pokud tě sítě víc zajímají), můžeš zkusit https://www.kosmas.cz/knihy/196044/pocitacove-site/

A pokud to chceš hned a zadarmo, co třeba https://pcworld.cz/internet/zabarikadujte-se-firewally-bez-tajemstvi-i-13594 ?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 15. 01. 2019, 14:21:39
Len pre srandu som si dal vyhľadať spojenie NAT v poslednom odkaze ktorý odkazujete :).

...Implementuje v sobě NAT (Network Address Resolution) a IP maškarádu,
které dříve nebyly přímou součásti firewallu....


Ďalej sa tam píše:

...jaké vlastně typy firewallů
máme. Základní dělení podle toho, jak firewall pracuje, je dělení na paketové
filtry a aplikační servery...
...Představitelem aplikačních serverů je například unixový proxy server Squid nebo
WinProxy pro operační systémy Windows...


Platí teda stále, že firewall == filter packetov :).

Inak mrzí ma to podpichovanie, ale nemohol som si pomôcť.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 15. 01. 2019, 14:22:15
Páni, nie že by to bolo podstatné, ale stále sa snažíte tvrdiť že Firewall == filtrovanie packetov, a tvrdíte že moje predstavy sú nesprávne s vedecky zaužívanou terminológiou.
Proč ta manipulace? Nebo snad dokážete odkázat nějaký komentář, kde někdo psal něco o vědecké terminologii? Ne, vaše terminologie je v rozporu se všeobecně používanou terminologií.

Môžete prosím dať nejaký link, ktorý podporí vaše tvrdenie.
Můžete začít na Wikipedii: Firewall (https://cs.wikipedia.org/wiki/Firewall).

Lebo ja keď si pozriem stránku Wikipedie o firewalle (computing) a dám hľadať NAT tak to tak nevyzerá.
Hledat nestačí, je potřeba také číst v kontextu celé stránky. Mělo by vám být nápadné, že ten odstavec popisující NAT je v rozporu s tím, co je o firewallu napsáno na začátku stránky – kde byste měl hledat definici nebo popis toho, co firewall je. Ono nic není černobílé a Wikipedie popisuje další věci, které s firewally souvisí a někdy se pod firewall řadí a někdy ne – třeba aplikační firewall.

Navíc diskuse původně začala tvrzením, že NAT má podobné/stejné bezpečnostní vlastnosti jako jednoduchý firewall, které poněkud nedává smysl, pokud by NAT byl firewall nebo jeho součást.

Dokonca celý odstavec je k tejto téme relevantný.
Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 15. 01. 2019, 14:26:21
Len pre srandu som si dal vyhľadať spojenie NAT v poslednom odkaze ktorý odkazujete :).

...Implementuje v sobě NAT (Network Address Resolution) a IP maškarádu,
které dříve nebyly přímou součásti firewallu....

Máte takovéhle manipulace zapotřebí? Ano, implementuje v sobě – ale kdo to implementuje? Netfilter. Tak se nesnažte vzbuzovat dojem, že NAT a IP maškarádu implementuje firewall. Jak už jsem psal, nestačí hledat, je potřeba taky číst.

Ďalej sa tam píše:

...jaké vlastně typy firewallů
máme. Základní dělení podle toho, jak firewall pracuje, je dělení na paketové
filtry a aplikační servery...
...Představitelem aplikačních serverů je například unixový proxy server Squid nebo
WinProxy pro operační systémy Windows...


Platí teda stále, že firewall == filter packetov :).
Ne, platí, že firewall je filtr síťové komunikace. Filtr paketů je jenom jeho podmnožina.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 15. 01. 2019, 14:34:49
Asi si zkus precist https://cs.wikipedia.org/wiki/Firewall

je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěm

Firewall (krabice, black box) implementuje firewallova pravidla (paketova, stavova a aplikacni)

Nebo radeji https://en.wikipedia.org/wiki/Firewall_(computing) ?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 15. 01. 2019, 14:48:24
... je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěm ...

Ale houby. Komunikaci mezi sítěma řídí vždycky router. Ten hledá cestu (routu), kterou skrz sítě ten paket doručí, proto se tak ostatně jmenuje.

Firewall jenom z toho konkrétního rozhraní vyhází, co nemá projít (třeba privátní adresy nebo komunikaci na port 22), ale je mu jedno, jestli propuštěný paket půjde na eth1 nebo eth55. Metriky jako TTL jsou taky mimo něj...
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 15. 01. 2019, 14:53:34
zabezpečování síťového provozu

Zajisteni provozu je neco jineho, treba ten router a treba ad absurdum i kabel
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: peter 15. 01. 2019, 23:16:27
Proč ta manipulace? Nebo snad dokážete odkázat nějaký komentář, kde někdo psal něco o vědecké terminologii? Ne, vaše terminologie je v rozporu se všeobecně používanou terminologií.

Prepáčte mi, ale nenašiel som články z ktorých by vyplývalo, že NAT nemôže byť súčasťou firewallu. Dokoca aj v článku na českej wikipediii, ktorý nižšie odkazujete je vysvetlené že firewall môže mať funkciu proxy (viď Kategorie -> Applikačné brány). Vtedy nie je potrebné žiadne routovanie IP prevádzky medzi sieťami, nie je potrebný žiadny NAT a napriek tomu počítače z privátnej siete môžu mať prístup vybranými protokolmi do verejnej siete. Týmto sa efektívne oddelia dve siete. Bezpečnostná výhoda oproti tomu, že by namiesto "Proxy" bol použitý len router a počítače vo vnútornej sieti by dostali verejnú adresu (dnes populárne vďaka IPv6), kvôli zabezpečeniu konektivity do internetu je zrejmá.

Vidíte, že na oddelenie dvoch sietí s rozdielnou úrovňou dôveryhodnosti a zabezpečenia postačí aj proxy, ktorý sa môže nazývať firewall. Prečo teda nechcete uznať že firewall môže byť postavený aj na NAT a jednom pravidle v packet filtri na odrazenie pokusov na podhodene cieľové adresy, ktoré sú prekladané?

Samozrejme, že sa Vás snažím trochu zmanipulovať a naviesť aby ste sa otvorili aj širšiemu ponímaniu slova firewall. Ale nerobím to zo zlým úmyslom. Nemám z toho nič, maximálne tak trošku pomasírované ego, ale za to si nič nekúpim. Dokonca veľmi oceňujem že sa táto diskusia vedie relatívne na úrovni a neznižujete sa k urážkam (teda okrem priamych obvinení že v tom mám zmätok :) )

Taktiež manipulujete, napr. keď ste mi vysvetľovali význam slova firewall na anglickom preklade. Nesúhlasím, že je to dobrá analógia pre účel vysvetlenia že Firewall a NAT sú dve rozdielne veci. Firewall má hlavne vydržať oheň čo je zrejmé z názvu, ale je to stena ktorej účel nie je prepúšťať napríklad vybraných ľudí.

Taktiež nie je celkom fér že ste zvýraznili časť odstavca ktorá sa Vám hodí bez toho aby ste sa zaoberali zvyškom vety:
Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?

Ale bojím sa že pokračovaním tejto debaty už asi mlátime prázdnu slamu a bude veľmi tažké hľadať argument na presvedčenie či jednej, alebo druhej strany. Ak som Vás mojimi "manipuláciami" urazil tak ma to veľmi mrzí. Pre mňa táto debata bola prínosná na zopakovanie niektorých vecí zo školy (napríklad tých aplikačných firewalloch - proxies). Dúfam že to prinieslo niečo aj ostatným čo sledovali túdo diskusiu.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 16. 01. 2019, 07:11:33
Chjo, tak zase goto begin

1) Řeč byla o tom, že NAT zvyšuje bezpečnost.
2) NAT = "Native Address Translation" - funkce pro překlad adres. A je jedno, co ji dělá.
3) Překlad adres není z principu bezpečnostní funkce a ani žádnou bezpečnostní funkci nemá
4) Pokud někdo funkci NAT integruje do nějakýho síťovýho prvku, tak bez ohledu na to, jestli je ten prvek HW nebo SW, bez ohledu na to, jestli tomu říká "router", "firewall" nebo "anální sonda", furt tím NATem nic nezabezpečí - to musí udělat obecná funkce "firewall", zvolená dle potřeby.
5) NAT není nutný, pokud zařízení disponuje IP adresou, dostupnou mimo síť.
6) Použití NATu tam, kde nemusíš, je zbytečná komplikace, která nic nepřináší.
7) Použití GCNATu ze strany ISP je zločin s trestní sazbou "ukončení smlouvy"

Už je to jasný?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 16. 01. 2019, 07:20:22
Je to divne jen mne, ze kdyz dojdou argumenty Jirsakovi, tak se objevi anonymni PetrM?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 16. 01. 2019, 08:09:14
Prepáčte mi, ale nenašiel som články z ktorých by vyplývalo, že NAT nemôže byť súčasťou firewallu.
Jestli to nebude tím, že tohle nikdo neřeší. NAT je název pro nějakou funkci. Firewall je název pro jinou funkci. Tyhle funkce se často vyskytují spolu, v jednom zařízení. Ovšem když někdo napíše, že NAT podle něj může nahradit (koho, co) jednoduchý firewall, evidentně považuje NAT a firewall za dvě různé funkce. Protože tvrzení „firewall může být nahrazen firewallem“ by vskutku bylo málo objevné.

Že vy máte potřebu v tom dělat zmatek a používat název NAT pro jedu funkci, název firewall pro dvě různé funkce, z nichž jedna je NAT a druhá asi nemá jméno, je váš problém. Každopádně to s původní diskusí o NATu nijak nesouvisí, protože dokud je NAT překlad adres, bezpečnost sítě za NATem nezvyšuje ale snižuje.

Vtedy nie je potrebné žiadne routovanie IP prevádzky medzi sieťami, nie je potrebný žiadny NAT a napriek tomu počítače z privátnej siete môžu mať prístup vybranými protokolmi do verejnej siete.
Vždyť jsem to také psal, že existují tři různé funkce – router, firewall a NAT. A že se často vyskytují spolu a dělá je zařízení, ale není to nutné a každá z těch funkcí může být i samostatně nebo jen ve dvojicích.

Prečo teda nechcete uznať že firewall môže byť postavený aj na NAT
Protože NAT má v jistém smyslu přesně opačnou funkci, než firewall – firewall zabraňuje komunikaci, která by jinak byla možná, NAT naopak vytváří komunikační propojení, které by bez něj možné nebylo.

jednom pravidle v packet filtri na odrazenie pokusov na podhodene cieľové adresy, ktoré sú prekladané?
Protože paketový filtr je firewall, nikoli NAT. Nebo k vašemu tvrzení, že NAT je součástí firewallu, chcete přidat ještě další, že také firewall je součástí NATu?

aby ste sa otvorili aj širšiemu ponímaniu slova firewall.
Já se ale takové hlouposti bráním záměrně. Dělat ze slov bramboračku a náhodně měnit jejich význam není k ničemu dobré. Router, firewall i NAT jsou definované tím, co dělají, ta definice je poměrně jasná. Když chci psát o filtrování provozu, napíšu prostě „firewall“ a nemusím složitě vysvětlovat, že myslím tu část firewallu, která má na starost filtrování provozu.

neznižujete sa k urážkam (teda okrem priamych obvinení že v tom mám zmätok :) )
To ale nebylo myšleno jako urážka, nýbrž jako konstatování výsledku pozorování vašich komentářů. Protože v nich opravdu termín „firewall“ (a také „NAT“) používáte v různých významech, takže často není jasné, o čem vlastně píšete.

Taktiež manipulujete, napr. keď ste mi vysvetľovali význam slova firewall na anglickom preklade. Nesúhlasím, že je to dobrá analógia pre účel vysvetlenia že Firewall a NAT sú dve rozdielne veci. Firewall má hlavne vydržať oheň čo je zrejmé z názvu, ale je to stena ktorej účel nie je prepúšťať napríklad vybraných ľudí.
To není manipulace, ale fakt. A nejde o analogii – jde o přenesený význam, to slovo „firewall“ pro označení síťového filtru takhle vzniklo. Účelem firewallu, protipožární zdi, je oddělit špatný oheň od ostatních věcí (lidi, auta, zvířata, zboží…) Propouštět vybrané lidi není účelem protipožární zdi, stejně jako to není účelem síťového firewallu. Protipožární zeď brání před ohněm, ale už nebrání třeba před záplavou nebo před lupiči. A stejné je to se síťovým firewallem – brání proti špatné síťové komunikaci na nižších úrovních síťového provozu. Ale třeba autentizace uživatelů v HTTPS provozu už je mimo kompetenci firewallu, to řeší zase jiné komponenty.

Taktiež nie je celkom fér že ste zvýraznili časť odstavca ktorá sa Vám hodí bez toho aby ste sa zaoberali zvyškom vety:
Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?
Já jsem tu část odstavce zvýraznil, abyste si jí všiml, protože je důležitá. Zbytek jsem ale citoval také – fér by nebylo, kdybych ten zbytek věty zatajil. Pokud si myslíte, že zbytek té věty nějak zásadní mění to zvýrazněné tvrzení, napište v čem. Podle mne je to klasické wikipedistické tvrzení, aby se vlk nažral, koza zůstala celá a Wikipedie zůstala neutrální vůči všemu. Všimněte si, že v té druhé části není nic o tom, že by ta obrana byla funkční – prostě se to jen začalo takhle často používat.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 16. 01. 2019, 09:26:19
zabezpečování síťového provozu

Zajisteni provozu je neco jineho, treba ten router a treba ad absurdum i kabel

V původním tvrzení bylo

... je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěm ...

což rozhodně není pravda - pokud teda někdo neprodává krabičku s nápisem "firewall", ve které je router + firewall (a případně i DHCP server, NAT, DNS resolver, VPN server, ..., ale ty v tomto kontextu nejsou relevantní). Pak to ale není klasický firewall, ten nemá co rozhodovat o tom, kolik paketů a na který rozhraní pošle.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 16. 01. 2019, 09:30:45
Je to divne jen mne, ze kdyz dojdou argumenty Jirsakovi, tak se objevi anonymni PetrM?

Proč když dochází argumenty nějakýmu Vilithovi, začne s jejich ubývajícím procentem zvyšovat procenta nerelevantních štěků a osobních výpadů?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 16. 01. 2019, 11:15:33
A muzes mi, prosim, kvalifikovane vysvetlit co to je firewall, kdyz to neni "síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi"

To je snad firewall router s access listy?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 16. 01. 2019, 12:35:57
A muzes mi, prosim, kvalifikovane vysvetlit co to je firewall, kdyz to neni "síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi"

Logický komponent síťové infrastruktury, sloužící k odfiltrování nežádoucího nebo škodlivého provozu.

Firewal totiž neřídí provoz na síti (od toho jsou routery) a k zabezpečení je na síti víc mechanismů - autorizace, autentizace, šifrování, paketový firewall, aplikační firewall,... Takže v tomhle případě je definice z Wikipedie hodně mimo..

Navíc "síťového provozu mezi sítěmi" asi psal někdo, kdo o panu Češtinovi věděl tolik, co o panu Fajrwólovi... jak už jsem řekl, Wikipedie není záruka toho, že tam najdeš, co hledáš. Ani v případě, že tam to heslo je.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 16. 01. 2019, 15:06:04
A muzes mi, prosim, kvalifikovane vysvetlit co to je firewall, kdyz to neni "síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi"

Logický komponent síťové infrastruktury, sloužící k odfiltrování nežádoucího nebo škodlivého provozu.

Firewal totiž neřídí provoz na síti (od toho jsou routery) a k zabezpečení je na síti víc mechanismů - autorizace, autentizace, šifrování, paketový firewall, aplikační firewall,... Takže v tomhle případě je definice z Wikipedie hodně mimo..

Navíc "síťového provozu mezi sítěmi" asi psal někdo, kdo o panu Češtinovi věděl tolik, co o panu Fajrwólovi... jak už jsem řekl, Wikipedie není záruka toho, že tam najdeš, co hledáš. Ani v případě, že tam to heslo je.

Dekuji za nic nerikajici odpoved.

A co na to p. Jirsak? Vysvetli mi to on?

Cely zivot ziju v bludu a omylu ze firewall je

Citace
In computing, a firewall is a network security system that monitors and controls incoming and outgoing network traffic based on predetermined security rules. A firewall typically establishes a barrier between a trusted internal network and untrusted external network, such as the Internet.

Firewalls are often categorized as either network firewalls or host-based firewalls. Network firewalls filter traffic between two or more networks and run on network hardware. Host-based firewalls run on host computers and control network traffic in and out of those machines.
https://en.wikipedia.org/wiki/Firewall_(computing)
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 16. 01. 2019, 16:16:27
A co na to p. Jirsak? Vysvetli mi to on?
Vysvětlení PetraM mi připadalo dostatečné, ale když si to žádáte…

Firewall je služba v počítačové síti, jejímž účelem je filtrovat nežádoucí síťový provoz zejména na třetí a/nebo čtvrté síťové vrstvě – např. škodlivou nebo potenciálně škodlivou komunikaci, neznámou komunikaci, útoky na síťové úrovni (L3 nebo L4), pokusy o zahlcení, komunikace, která má být blokována z právních důvodů nebo kvůli znesnadnění úniků informací…

Cely zivot ziju v bludu a omylu ze firewall je … Wikipedia
To je problém, pokud někdo čerpá znalosti jen z Wikipedie. Wikipedie není učebnice, je to všeobecná encyklopedie. A úlohou každé všeobecné encyklopedie je přinést základní obecné povrchní informace někomu, kdo o dané věci nic neví. Jako ajťák se do všeobecné encyklopedie budu dívat, pokud potřebuju základní informace o kolibřících, těžbě diamantů nebo literatuře Jižní Ameriky. Ale na věci z oblastí IT, které znám, se tam fakt nebudu dívat, abych se odsud dozvěděl, jak něco funguje. Podívám se tam např. když potřebuju vědět, na jakém offsetu začíná konkrétní položka paketu, protože vím, že to na Wikipedii je, a je to pro mne rychlejší, než se otočit a hledat to v papírové knížce nebo hledat příslušné RFC.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 16. 01. 2019, 16:27:22
Asi cteme kazdy jina RFC....

https://tools.ietf.org/html/rfc2647

Citace
3.16 Firewall

   Definition:
     A device or group of devices that enforces an access control policy
     between networks.

   Discussion:
     While there are many different ways to accomplish it, all firewalls
     do the same thing: control access between networks.

     The most common configuration involves a firewall connecting two
     segments (one protected and one unprotected), but this is not the
     only possible configuration. Many firewalls support tri-homing,
     allowing use of a DMZ network. It is possible for a firewall to
     accommodate more than three interfaces, each attached to a
     different network segment.

     The criteria by which access are controlled are not specified here.
     Typically this has been done using network- or transport-layer
     criteria (such as IP subnet or TCP port number), but there is no
     reason this must always be so. A growing number of firewalls are
     controlling access at the application layer, using user
     identification as the criterion. And firewalls for ATM networks may
     control access based on data link-layer criteria.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 16. 01. 2019, 16:41:14
Asi cteme kazdy jina RFC....
Asi ano, já totiž čtu RFC vztahující se k tématu. „Benchmarking Terminology for Firewall Performance“ vskutku není RFC, ve kterém bych hledal obecnou definici síťového firewallu. Vy jste jí tam také samozřejmě nenašel, našel jste pouze definici „pro účely tohoto dokumentu se firewallem rozumí“…

Mimochodem, jediné, v čem se já i PetrM rozcházíme s uvedenou definicí, je to, že netrváme na tom, že firewall musí být fyzické zařízení – důležitá je pro nás funkce, ne jak to vypadá. Žádný problém v tom rozporu ale nevidím – v roce 1999 opravdu všechny firewally byly fyzická zařízení a nikoho nenapadlo, že možná za dvacet let půjde provozovat firewall i ve virtuálním počítači nebo jako službu. Vy se s definicí firewallu v tom RFC rozcházíte mnohem víc.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 16. 01. 2019, 16:42:40
A odkaz na patricne RFC, ktere si mam precist, by nebyl?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 16. 01. 2019, 17:22:06
A odkaz na patricne RFC, ktere si mam precist, by nebyl?
Pokud vám jde jen o definici pojmu „firewall“, pak je mi líto, ale neznám RFC, které by tento pojem definovalo. Což samozřejmě neznamená, že neexistuje – akorát jsem to nikdy nepotřeboval.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 16. 01. 2019, 17:23:54
A odkaz na patricne RFC, ktere si mam precist, by nebyl?
Pokud vám jde jen o definici pojmu „firewall“, pak je mi líto, ale neznám RFC, které by tento pojem definovalo. Což samozřejmě neznamená, že neexistuje – akorát jsem to nikdy nepotřeboval.

Takze nemas autoritativni informaci a jako vzdy jen "kalis vodu" a vydavas sva prani/predstavy za absolutni pravdu

Dekuji
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 16. 01. 2019, 22:20:33
Takze nemas autoritativni informaci a jako vzdy jen "kalis vodu" a vydavas sva prani/predstavy za absolutni pravdu
Opravte mne, jestli jsem něco přehlédl, ale ani vy jste nedodal odkaz na nějakou autoritativní informaci. Co se týče způsobu vystupování, používáte v této diskusi absolutnější výroky, než já, takže pro vás platí minimálně stejně jako pro mne, že jen kalíte vodu a vydáváte svá přání/představy za absolutní pravdu.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 16. 01. 2019, 22:31:39
Vsechny neustale opravujes a neustale tvrdis neco, k cemu nemas zadnou autoritativni informaci.

Kazdou zadost o uvedeni autoritativniho zdroje ke svym tvrzenim obracis proti tazateli.

Ja, na rozdil od tebe, sve nazory nikomu nevnucuji, rad bych se neco noveho dozvedel - a to nejlepe od nekoho, kdo tady vystupuje jako ten nejmoudrejsi. Asi chci moc  :(
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 16. 01. 2019, 22:54:48
Vsechny neustale opravujes a neustale tvrdis neco, k cemu nemas zadnou autoritativni informaci.
To děláte vy. Já rozhodně neopravuju všechny, opravuju jenom ty, kteří píšou nesmysly o věcech, o kterých něco vím.

Kazdou zadost o uvedeni autoritativniho zdroje ke svym tvrzenim obracis proti tazateli.
Opravdu? Byl by příklad? Když jste se ptal na definici termínu „firewall“, PetrM vám nějakou odpověď dal, bylo zbytečné, abych odpovídal také. Vy jste se ptal na ještě autoritativnější definici, já jsem vám popravdě napsal, že tak autoritativní zdroj definice zrovna tohohle termínu neznám. Co je na tom špatně? To jsem si měl nějaký zdroj vymyslet?

Ja, na rozdil od tebe, sve nazory nikomu nevnucuji, rad bych se neco noveho dozvedel
Aha, tak to bych moc rád viděl, v čem přesně spočívá ten rozdíl mezi mým vnucováním názorů a vašim „rád bych se něco nového dozvěděl“. Například věta „ty už nikomu neraď“ je tedy zřejmě vyjádření toho, že byste se rád něco nového dozvěděl, chápu to správně?

Taky by mne zajímalo – když tedy své názory nikomu nevnucujete – jak je možné, že jste se najednou objevil se svou definicí firewallu v diskusi, kde jiní lidé diskutovali o tom, zda NAT má i bezpečnostní funkci. Přičemž ta vaše definice byla nekompatibilní se vším, co před tím v té diskusi padlo, diskusi nijak nepomohla, ba právě naopak, podařilo se vám diskusi unést ke svému tématu.

a to nejlepe od nekoho, kdo tady vystupuje jako ten nejmoudrejsi
No to jste se ale trochu zacyklil, když se něco chcete dozvědět sám od sebe.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Filip Jirsák 16. 01. 2019, 23:12:44
Ale když tak trváte na nějaké autoritativní definici, i to pro vás umím najít: RFC 2979 – Behavior of and Requirements for Internet Firewalls.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 17. 01. 2019, 07:29:19
@Vilith:

Díky za definici z toho RFC2467. Ukážu ti kouzlo.

Existuje terminus technicus "access control", což znamená "řízení přístupu" nebo "přístupová práva". "Access control policy" znamená "pravidla přístupových práv"

V RFC je "A device or group of devices that enforces an access control policy between networks." v překladu "Zařízení nebo skupina zařízení, která vynucuje pravidla řízení přístupu mezi sítěmi". 

Jenomže on to někdo pěkně pohnojil při přebírání na tu wikipedii, parafrázoval to jako "... a firewall is a network security system that monitors and controls incoming and outgoing network traffic...", což znamená "... firewall je bezpečnostní síťový systém, který monitoruje a řídí příchozí a odchozí síťový provoz..". Najednou se z "access control policy" (podst. jméno) stalo prostý "control"(sloveso) a místo vynucování pravidel pro přístup do sítě řídí provoz. A význam definice se posouvá někam úplně jinam.

No a nějaký patla to přeložil do CZ verze. Jako "... je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi ..." - řízení (který je tady definitivně jako sloveso, navíc zdůrazněno první pozicí) tam podle původní definice není, zato mu chybí "pravidla přístupových práv".

 A další matla tomu věří jak katolík papežovi (= nekriticky, ani nad tím nepřemýšlí). Hrál jsi vůbec někdy ve školce "tichou poštu"?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 17. 01. 2019, 07:35:39
Takze podle vas, pokud na Cisco routeru vydefinuji napr.
Kód: [Vybrat]
ip access-list extended Net128_INBOUND
permit icmp  10.203.128.0 0.0.0.255 host 10.203.129.254 echo-request
deny icmp 10.203.128.0 0.0.0.255 10.203.129.0 0.0.0.255 echo-request
permit ip 10.203.128.0 0.0.0.255 any
permit udp host 0.0.0.0 host 255.255.255.255

tak se z neho stane firewall?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 17. 01. 2019, 08:40:10
Takze podle vas, pokud na Cisco routeru vydefinuji napr.
Kód: [Vybrat]
ip access-list extended Net128_INBOUND
permit icmp  10.203.128.0 0.0.0.255 host 10.203.129.254 echo-request
deny icmp 10.203.128.0 0.0.0.255 10.203.129.0 0.0.0.255 echo-request
permit ip 10.203.128.0 0.0.0.255 any
permit udp host 0.0.0.0 host 255.255.255.255

tak se z neho stane firewall?

Na zařízení aktivuješ funkcionalitu "firewall". Jak výrobce / obchodník to zařízení nazve je věc matketingu, může tomu říkat klidně InternetBox nebo třeba router.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Vilith 17. 01. 2019, 08:42:37
Takze podle vas, pokud na Cisco routeru vydefinuji napr.
Kód: [Vybrat]
ip access-list extended Net128_INBOUND
permit icmp  10.203.128.0 0.0.0.255 host 10.203.129.254 echo-request
deny icmp 10.203.128.0 0.0.0.255 10.203.129.0 0.0.0.255 echo-request
permit ip 10.203.128.0 0.0.0.255 any
permit udp host 0.0.0.0 host 255.255.255.255

tak se z neho stane firewall?

Na zařízení aktivuješ funkcionalitu "firewall". Jak výrobce / obchodník to zařízení nazve je věc matketingu, může tomu říkat klidně InternetBox nebo třeba router.

Na trohle nemam silu a naladu...

Router je firewall.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Prc 17. 01. 2019, 08:51:05
Router je firewall.

Tzv. důkaz úporným tvrzením.  ;D ;D ;D
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 17. 01. 2019, 08:54:44
Router je firewall.

Sešlápl jsem brzdový pedál a auto zastavilo. To znamená, že auto je brzda

Tzv. důkaz úporným tvrzením.  ;D ;D ;D

+100
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: M. 17. 01. 2019, 16:18:09
Vidím, ž o hledně odporných termitů a jejich významů se to tu probralo důkladně. :-)
Bylo také něco k původnímu dotazu - jaké routery a jak to umí řešit? Případně jaké typy NATů pro IPv6 podporují a co přes ně ne/funguje, pokud používají tuto odpornost?
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: PetrM 17. 01. 2019, 18:43:13
Vidím, ž o hledně odporných termitů a jejich významů se to tu probralo důkladně. :-)
Bylo také něco k původnímu dotazu - jaké routery a jak to umí řešit? Případně jaké typy NATů pro IPv6 podporují a co přes ně ne/funguje, pokud používají tuto odpornost?

NAT na IPv6 je zbytečná komplikace. Zařízení má několik IPv6 adres, není problém mu propagovat pomocí RA nebo DHCP několik veřejných prefixů. IP stack zkusí obě možnosti a vybere tu lepší. Takže normálně se ti zátěž samovolně rozloží na dvě linky (když už to platíš, tak proč nevyužívat obě?) a při výpadku ti pak jenom klesne rychlost. Jenom spadnou spojení přes tu vypadenou, ale IP stack je naváže automaticky přes druhou linku.

Druhá možnost je, pokud máš třeba optiku a jako zálohu mikrovlnu, to koordinovat s ISPíkem tak, aby na jeho gateway bylo přes rádio o jeden hop víc. Router si najde kratší cestu (optiku) a při přerušení lajny pošle traffic delší a pomalejší cestou. To je vlastnost IP protokolu.

Pokud jde o zařízení, druhou možnost jsem nezkoušel, tu první mám odzkoušenou bezproblémově na Turrisu 1.0 (1x tunel /48 od HE po WiFi, x1 nativní IPv6 /56 po VDSL). Takže teoreticky jakýkoliv železo se třema nezávislýma portama (nebo možností poslat si to ze swtche po VLANě) + OpenWRT nebo TurrisOS (tam by to skončilo Omnií). Jak jsou na tom jiný stroje netuším.
Název: Re:IPv6 a řešení záložní konektivity
Přispěvatel: Ondřej Caletka 17. 01. 2019, 23:57:06
NAT na IPv6 je zbytečná komplikace. Zařízení má několik IPv6 adres, není problém mu propagovat pomocí RA nebo DHCP několik veřejných prefixů. IP stack zkusí obě možnosti a vybere tu lepší. Takže normálně se ti zátěž samovolně rozloží na dvě linky (když už to platíš, tak proč nevyužívat obě?) a při výpadku ti pak jenom klesne rychlost. Jenom spadnou spojení přes tu vypadenou, ale IP stack je naváže automaticky přes druhou linku.
Aby se IP stack pokusil spojit přes druhou linku, musí dostat od routeru informaci, že daný prefix je nadále nefunkční. Pokud ji nedostane, bude posílat data stále ze stejné adresy a tedy budou putovat stejným směrem do černé díry. Ani po timeoutu spojení nedojde k pokusu o navázání z druhé adresy, protože volba zdrojové adresy je deterministická.

Druhá možnost je, pokud máš třeba optiku a jako zálohu mikrovlnu, to koordinovat s ISPíkem tak, aby na jeho gateway bylo přes rádio o jeden hop víc. Router si najde kratší cestu (optiku) a při přerušení lajny pošle traffic delší a pomalejší cestou. To je vlastnost IP protokolu.
Tohle by platilo při zálohování spoje k témuž ISP, nikoli však v případě multihomingu. Pokud má router předělený prefix A od ISP A a prefix B od ISP B a oba prefixy nabízí klientům ve vnitřní síti, pak je volba ISP závislá pouze na tom, kterou zdrojovou adresu klient ve vnitřní síti zvolí, router musí zdrojovou adresu ctít a podle ní zvolit správného ISP. Jinak by to nemělo fungovat, protože ISP by měli implementovat BCP 38 a tedy nepropouštět do internetu provoz z cizích adres.

Pokud jde o zařízení, druhou možnost jsem nezkoušel, tu první mám odzkoušenou bezproblémově na Turrisu 1.0 (1x tunel /48 od HE po WiFi, x1 nativní IPv6 /56 po VDSL). Takže teoreticky jakýkoliv železo se třema nezávislýma portama (nebo možností poslat si to ze swtche po VLANě) + OpenWRT nebo TurrisOS (tam by to skončilo Omnií). Jak jsou na tom jiný stroje netuším.
OpenWRT je skutečně asi nejdál v tom, jak by se domácí router pro IPv6 měl chovat, řeší automaticky policy routing i dynamické ohlašování prefixů.