Příspěvky

3811

Sítě / Re:IPv6 ease of use

« kdy: 24. 08. 2017, 21:57:46 »

Pokud někdo sedí na rozsahu x.0.0.0 - x.255.255.255 můžeš tím nakrmit vážně hodně hladových krků.

Za prvé, už nějakou dobu je zařízení připojených k internetu více, než je celý adresní prostor IPv4. Takže IPv4 adres není dost ani ve snu. Za druhé, adresní prostor samozřejmě nelze využít do poslední IP adresy – aby mohl fungovat, musí v něm být docela dost volného prostoru. A vaše představa, že když nějaká IP adresa neodpovídá na ping, není přidělená, je opravdu směšná. Plán na readresaci tu možná před patnácti lety byl, ale neuplatnil se proto, že už tehdy byl IPv4 adres nedostatek a na nějakou readresaci bylo zoufale pozdě. Naštěstí v době, kdy by ještě nějaká readresace byla možná, o tom rozhodovali příčetní lidé, a uvědomili si, že odsunout problém o pár let není řešení.

3812

Sítě / Re:IPv6 ease of use

« kdy: 24. 08. 2017, 21:48:51 »

za posledních deset let se používání internetových služeb zcela změnilo, mnohem více se používají globální služby, potřeba p2p spojení pominula, tím pádem není problém schovat za nat desetitisíce uživatelů, aniž by to významně někoho omezovalo, prostě k zavedení ipv6 je nyní mnohem méně důvodů než před lety a motivace zavádění ipv6 reálně poklesla.

Zaměňujete příčinu a následek. Možnost p2p spojení pominula, což je významné omezení, proto se místo toho používají globální internetové služby, kdy se ten NAT obejde přes nějaký centrální server. To, že se k domácí webkameře dostanete jedině přes cloud, termostat topení nastavujete také přes cloud a soubory z počítače do notebooku, který leží vedle něj, přenášíte přes Dropbox, nejsou žádné super vychytávky, ale ošklivé hacky – a nebýt NATu, byly by tady podobné služby už dávno předtím a nečekalo by se, až někdo vymyslí, jak to prohnat přes servery, a až ty servery budou dostatečně levné, aby se to vyplatilo. Kdyby ty výše uvedené dnešní „normální“ postupy někdo popsal v době, kdy každé zařízení připojené k internetu mělo veřejnou IP adresu, zavřeli by ho do blázince.

3813

Sítě / Re:IPv6 ease of use

« kdy: 24. 08. 2017, 21:38:47 »

Jak jsem tu už 100% zmínil, IPv6 je hnusný bolák … červíci … AT skříně … Netscape Chromem … PS2 … telefonní ústředny … konzervy … hovnocucem … máslem.

Dostali jsme se od AT skříní přes hovnocucy až k máslu, ale nějak jste zapomněl napsat nějaké argumenty ohledně IPv6.

3814

Sítě / Re:IPv6 ease of use

« kdy: 24. 08. 2017, 19:12:57 »

Jen resim problemy, ktere s tim nastavaji z hlediska firemniho nasazeni a tady zejmena ty vpn jsou prvni na rane, pak veci jako dualstack, atd to jen komplikuji...

Jenže ty problémy v  99 % případů vznikají tak, že někdo chce místo elegantního řešení, které má IPv6 zabudované, použít soustavu hacků, kterou zná z IPv4.

3815

Sítě / Re:IPv6 ease of use

« kdy: 24. 08. 2017, 07:10:09 »

Mně se teda s IPv4 pohodlně vůbec nejezdí - především z důvodu zoufalého nedostatku adres a všudypřítomné maškarády.

Chtěl jsem napsat to samé, ale pak mi došlo, že se to přirovnává k dnešním autům – která člověk musí řídit, pořád se o ně musí starat, hledat kde může zaparkovat, jezdí to na mrtvé dinosaury… Takže je to vlastně dost podobné. Ve své době to byl jistě přínos, ale dnes už by člověk raději něco bez té spousty komplikací. To platí pro IPv4 i pro dnešní auta.

3816

Sítě / Re:IPv6 ease of use

« kdy: 23. 08. 2017, 18:39:22 »

Takze zatimco pri ipv4 proste nastavim redundanci na urovni verejne IP adresy mezi VPN koncentratory v pripade vice  isp, tak u ipv6 budu muset duplikovat acl/cryptomapy pro rozdilne IP rozsahy?

To záleží na tom, co bude umět váš software. V IPv4 podporuje redundanci na úrovni veřejné IP adresy, kterou prostě nastavíte, nic nebrání tomu, aby v IPv6 podporoval redundanci na úrovni prefixu sítě, kterou prostě nastavíte. A nebo se prostě vykašlete na nějaký drahý VPN koncentrátor, který tvoří single point of failure, a prostě použijete IPsec pro end-to-end šifrování.

Ono je dost problematické chtít na IPv6 implementovat principy z IPv4, jsou to jiné světy.
Nejsnazší je zahodit všechno, co víš a začít znova, bohužel.

Z hlediska návrhu sítě spíš bohudík. Ano, znamená to naučit se nové věci.
Stejně tak většina lidí zahodila vše, co věděla o ježdění na koních, a začali se učit řídit auta. Dnes se na silnicích nepohybují lidé, kteří by se snažili auta řídit jako koně – bohudík, nikoli bohužel.

3817

Sítě / Re:IPv6 ease of use

« kdy: 23. 08. 2017, 16:51:50 »

Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře.

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?

To je prostě špatný nápad. IPv6 adres je dost, je jich spousta. Jakmile chcete po IPv6 komunikovat mezi více sítěmi, požijte normální routovatelné IPv6 adresy, které vám přidělí ISP. Klidně pak tunelujte provoz přes VPN, to je jedno. Ale ULA nebo link-local adresy jsou určené opravdu jen pro lokální provoz, pokoušet se s jejich pomocí komunikovat ven (byť přes VPN) je špatně. A obecně, pokud někdo chce použít ULA nebo link-local adresy, měl by opravdu chápat principy IPv6. Pokud je někdo chce použít jenom jako náhradu privátních adres z IPv4, nejspíš dělá něco špatně a vymstí se mu to.

3818

Vývoj / Re:Dobré IDE pro Python a Java (případně jaký další jazyk zvolit?)

« kdy: 23. 08. 2017, 14:18:48 »

Spekulace o hlavní příčině problému a spekulace o existenci problému je sakra velký rozdíl. Nedivím se lopatě/lopatovi, že se ozval.

Výkon není problém, takže je to spekulace o hlavní příčině problému versus spekulace o příčině problému. A pokud je spekulace o hlavní příčině problému subjektivní, těžko může být spekulace o příčině problému objektivní. Když je hlavní část subjektivní, nemůže být celek objektivní.

3819

Vývoj / Re:Dobré IDE pro Python a Java (případně jaký další jazyk zvolit?)

« kdy: 23. 08. 2017, 14:01:52 »

To Filip Jirsák: Vážně nevidíš rozdíl mezi:

...výkon ovlivňuje především uspořádání dat v paměti...

Platí to pro většinu aplikací. A moje tvrzení je stejně subjektivní a neověřitelné...

a

Sám jste psal, že výkon aplikace je čistě váš subjektivní dojem.

Tvrzení č. 1: Je subjektivní a neověřitelné, co především ovlivňuje výkon aplikace.
Tvrzení č. 2: Je subjektivní, co je výkon aplikace.

Rozdíl samozřejmě vidím. Jenže v kontextu této diskuse z prvního tvrzení plyne to druhé. Nebo vy tam vidíte nějaký podstatný významový rozdíl?

3820

Vývoj / Re:Dobré IDE pro Python a Java (případně jaký další jazyk zvolit?)

« kdy: 23. 08. 2017, 13:11:42 »

Sám jste psal, že výkon aplikace je čistě váš subjektivní dojem. Cestou do pekel je tedy například komplikovat kód jen kvůli nějakému subjektivnímu dojmu, že by se daná část mohla zrychlit.

Takový nesmysl jsem nikdy nepsal, nevkládej mi do úst tvoje subjektivní dojmy. Na výkon aplikace jsou nějaké požadavky. Pokud zákazníci nejsou s výkonem spokojeni, musí se s tím něco dělat. Řídí se to vždy požadavky zákazníků, ne nějakými subjektivními dojmy.

V tom případě to psal někdo jiný téhož jména:

To ovšem vycházíte z předpokladu, že výkon ovlivňuje především uspořádání dat v paměti. Což platí jen pro velmi okrajový počet aplikací.

Platí to pro většinu aplikací. A moje tvrzení je stejně subjektivní a neověřitelné, jako tvoje. Takže se tady můžeme donekonečna hádat, jestli ano nebo ne.

Výkon aplikace, který zajímá zákazníky, souvisí se způsobem uložení dat v paměti pouze ve velmi okrajových případech, jak už jsem psal. Např. u webových aplikací, které dne stvoří velkou část webu, zajímá zákazníka typicky doba načtení stránky, resp. se to ještě rozlišuje na načtení základu stránky tak, aby mohl uživatel např. začít číst článek, a na dobu na načtení kompletní stránky. To se řeší na úplně jiné úrovni, než uspořádání dat v paměti.

3821

Vývoj / Re:Dobré IDE pro Python a Java (případně jaký další jazyk zvolit?)

« kdy: 23. 08. 2017, 06:55:25 »

Cesta do pekel je konkrétně co? Že je to 6x rychlejší než předtím? Že se o něco snížila spotřeba paměti? Nebo že existují funkce, které pracují s daty, stejně jako ve funkcionálních jazycích?

Sám jste psal, že výkon aplikace je čistě váš subjektivní dojem. Cestou do pekel je tedy například komplikovat kód jen kvůli nějakému subjektivnímu dojmu, že by se daná část mohla zrychlit.

3822

Vývoj / Re:Dobré IDE pro Python a Java (případně jaký další jazyk zvolit?)

« kdy: 22. 08. 2017, 19:04:26 »

Problém je v zapouzdření dat do objektu, tozn. indirekce přístupů přes pointery a data rozházená všude možně po paměti. Pokud chceš výkon, musíš OOP opustit a použít data oriented programming

To ovšem vycházíte z předpokladu, že výkon ovlivňuje především uspořádání dat v paměti. Což platí jen pro velmi okrajový počet aplikací.

3823

Server / Re:Zabezpečení domácího serveru - FW

« kdy: 22. 08. 2017, 13:15:13 »

Chci se to naučit, proto sem chtěl začít s něčím úpně základním.

Základní je uvědomit si, k čemu vlastně firewall slouží. Nakonfigurování nějakých pravidel do firewallu je až ten poslední nezajímavý krok.

Protože jsem se dočetl, že fw se staví tak, že se zakáže vše a povolí jen to co je potřeba.

To ale neodpovídá na otázku, proč to tak chcete mít. Je to jeden ze způsobů, jak nastavit firewall – pokud k takovému nastavení firewallu máte důvod.

Začínáte od konce. Nejprve musíte vědět, jak fungují sítě, jak fungují jednotlivé služby. Pak možná v nějakém okamžiku narazíte na to, že byste potřeboval zařídit to a to – a a uvědomíte si, že to by se dalo nejlépe zařídit firewallem. Pak už se ale samozřejmě nebudete ptát ostatních na to, k čemu vlastně chcete firewall.

...
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

iptables -P INPUT DROP

To je přesně důvod, jak to nedělat. Vychrlit nějaký seznam pravidel, u kterých jejich adresát neví ani co dělají a už vůbec ne proč to dělají.

3824

Server / Re:Zabezpečení domácího serveru - FW

« kdy: 22. 08. 2017, 11:54:13 »

Ale to přece píšu :
Běží tam samba, ssh a logitech media server na portech  3483 a 9000,
chci jinak vše zakázat a povolit pouze tyto služby. Potřeba konkrétní sítě je přístup na tyto služby...

Nepíšete. Odkud ty služby mají být dostupné? A ten server nebude konzumovat žádné služby? Nepotřebuje synchronizaci času, DNS, stahování aktualizací, nemá odpovídat na ping?

chci jinak vše zakázat

Proč?

Potřeba konkrétní sítě je přístup na tyto služby...

Pokud by to byla pravda, je nejjednodušší tu síť prostě fyzicky odpojit od internetu.

3825

Server / Re:Zabezpečení domácího serveru - FW

« kdy: 22. 08. 2017, 11:12:15 »

Pokud se takhle ptáte, pak raději žádný firewall nezprovozňujte. Místo toho věnujte energii tomu, abyste měl na tom serveru aktuální software a měl ho správně nakonfigurovaný.

Firewall není něco, co máte, firewall se konfiguruje podle potřeb konkrétní sítě. Ty musíte specifikovat, podle toho si pak firewall nakonfigurujete a udržujete. Takže přesně to, na co vy se ptáte, musíte vědět vy a nikdo z venku vám to neporadí, protože nikdo neví, jaké služby a jakým způsobem tam chcete provozovat.