Veřejné IP adresy potřebujeme úplně všichni

Pěkný článek Petře, jak dorazí dividendy, tak nakoupím nějaké tvé akcií na twiDAQ :-)

Celkom by ma zaujímalo, čo sa stane za tých niekoľko mesiacov. Budú sa dražiť IPčky? Budú sa recyklovať nejaké staré rozsahy zahltené univerzitami?

1) To s těmi 65535 porty není tak docela pravda, resp. uvedená formulace je zavádějící. Minimálně v linuxové implementaci SNAT je součástí klíče v tabulce i destination_ip. Tj. přes 1 veřejnou IP lze z vnitřní sítě vést podstatně více spojení, než 65535. Sice ne na 1 cílovou IP, ale na různé. Proto se problém nedostatku NAT portů typicky projevuje např. u ICQ, kde všichni uživatelé otevírají spojení na 1 nebo několik málo IP centrálních serverů.

2) Velcí poskytovatelé přidělují uživatelům veřejné IP proto, že jich mají/měli dost a neměli problém se k nim dostat. Ostatní (menší) ISP by to jistě rádi dělali stejně, ale z určitých důvodů u nich historický vývoj udal cestu směrem k masivnímu nasazení NATu. Mnozí z nich vyrostli (sítě s toky v jednotkách Gb/s, mnoho tisíc uživatelů, viz např. NFX), ale ten NAT mají nasazen pořád i v tomto měřítku, protože to mají technologicky zvládnuto, a často ani nic jiného nezbývá, protože v době jejich růstu už by dost IP adres stejně nedostali. Je to dáno i tím, že obrovská část ISP v ČR vlastně nejsou tak úplně ISP, protože nemají ani vlastní adresy od RIPE, ale jen propůjčené od upstream providera.

3) Ad T-Mobile - na začátku to někdo blbě vymyslel/nastavil, a nefungovalo to. Teď už to funguje. Závěr pro mě je, že to někdo špatně nastavil a nejde o principielní problém NATu. Stejně tak mohli špatně nastavit routování i bez NATu.

Noo a toto byl take duvod proc jsem si i domu koupil mensi cisco router ... a k bittorrentu .. tam se da nastesti pocet portu snadno nastavit ...

Tak adresy dosly. Na Internetu je nabidka obsahu na ipv6 porad znacne zalostna, spousta ISP ipv6 take neumi a vselijake ty domaci routery take ne (firmware samozrejme vyrobci nebudou updatovat u cehokoliv, u ceho jiz propadla zaruka). A nabidka novych routeru s ipv6 je zatim stale uplne zalostna. A to ten konec sveta predpovidali az na 2012.

Ve skutečnosti je těch volných portů méně, protože prvních 1024 jich je vyhrazeno pro obecně známé systémové démony. U těch 16 IP z příkladu by to znamenalo 16384 lidí, což je docela dost.

". Jistě si dokážete představit ty ohromné tabulky, které pak musí NAT procházet při každém paketu"
Nieco sa musi robit pri dorucovani kazdeho paketu; ci tam je NAT alebo nie; to teda nemusime uvazovat.

Z toho ostatneho: Ked si dokazeme zapamatat 65535 portov a info k nim, tak zvladneme pristupit aj priamo na miesto v pamati (porty[port]), co je 1 operacia naviac; vobec nezalezi na velkosti tabulky. Ak nie je vela pamati, tak by sa zislo aj hashtable - stale tu nevidim problem s "prechadzanim velkej tabulky".

Ako bolo teda myslene to prechadzanie tabulky?

Este som zabudol: aj mne chyba doma verejna IP, takze s clankom sa stotoznujem - myslim ale, ze NAT je riesenie na vela problemov.

Podla traceroute som doma za svojim + 3 dalsimi NATmi / podsietami a nejake vacsie obmedzenia okrem nepristupnosti zvonka nepocitujem. To by sa dalo riesit tak, ze by kazdemu zakaznikovi nasmerovali napr. 20 portov a uz by asi nikomu nic nechybalo. Aj ked sa jedna o Wifi a za NATom je vela zakaznikov, odozvy nie su nijak hrozne (do Ceska na Seznam.cz je to okolo 25ms), na Slovensko to ide este lepsie. Rychlosti a aj ceny su lepsie ako je zvykom u konkurencie.

Co viac este uzivatel potrebuje?

Komu je ten článek určen? Poskytovatelé moc dobře vědí, jak jim to NAT zatěžuje/omezuje, ti si o tom asi na rootu nečtou a koncový uživatel s tím nic udělat nemůže - chtěl jsem po O2 IPv6 a řekli mi, ať se zkusím zeptat za rok.

Jak už psali VS a branchman, Linux kernel pochopitelně nebere v úvahu jen porty. Uvažte třeba ICMP echo reply. Má ICMP porty? Nemá! Ha, to jsem vás dostal!

Pokud se nepletu, NAT na Linuxu (alespoň ten netfilterový) používá connection tracking subsystém, který toho umí DALEKO více, než jen source port mapping - mrkněte na net/netfilter/*_con­ntrack_* .

Teoreticky jde brát třeba u TCP v úvahu hodně věci (např. sekvenční čísla, tcp_timestamp, ...), které mohou dopomoci k unikátnosti daného klíče v hash tabulce / stromu / čemkoli.

...

Nicméně souhlasím s názorem, že NAT většinou není pěkné řešení. Tedy ne od ISP. Bez NATu v Internetu by mohly věci jako Skype fungovat bez proxy serverů. A to už není jen ideologický blábol.

> Bez NATu v Internetu by mohly věci jako Skype fungovat bez proxy serverů

Takový optimista bych nebyl. Na domácím routeru i na firemní/školní/ho­telové border-gateway by byl (a je, nezávisle na NATu) stavový firewall blokující příchozí spojení. Protože "bezpečnost" Windows a protože torrent a jiné P2P. Doma si tohle teoreticky můžete změnit/odblokovat, ale naprostá většina normálních lidí nebude vědět jak. Ve firmě je to no-way, u hotelové free-wifi to těžko budete s někým domlouvat, ve škole na něčem jako Eduroam (už teď dostanu veřejnou IPv4, ale INPUT DROP) taky. Takže zas vyhraje aplikace, co tohle bude umět obcházet. Nebude to muset dělat masově, ale třeba jen u poloviny lidí, ale ta funkce tam bude muset být.

V tomto směru by Internet bez NATu skutečně nebyl o moc krásnější.

Předpokládám, že u těch domácích krabiček bude i na IPv6 nastaveno výchozí blokování příchozích spojení. Vzhledem k Windows je to rozumné, i když to nabourává výhody IPv6. Možná ale už funguje UPNP...

Souhlasím s [9], ze před publikací je třeba si rozmyslet, pro koho je článek o IPv6 určen. Mě, jako koncoveho linuxového uživatele, by třeba za zajímalo, co mohu udělat pro to, abych protokol IPv6 používal nebo byl připraven pro jeho použití. (Třeba jaké domácí routery kupovat nebo nekupovat, jak nastavit síťování při instalaci Linuxu, ...)

Pokud použití IPv6 brzdí poskytovatelé připojení a koncový uživatel s tím nemůže nic dělat, tak je třeba to v článku pro koncové uživatele srozumitelně napsat. Důvodem zřejmě budou vysoké náklady na pořízení technického vybavení. Ale i to je potřeba koncovým uživatelům vysvětlit.

s tymi potrami to zase nebude take huste, jedine ze by vsetky spojenia boli perzistentne. Ale tie nie su v pripade HTTP 1.0 a kedze vacsina uzivatelov chodi akurat na web tak ak je ten nat dobre nastaveny a nie je povolene HTTP 1.1 tak sa este nejaku dobu udrzia. A nie je to jen v pripade HTTP :)

[10] bez NATu (resp. s veřejnými IP adresami) by hlavně věci jako Skype nebyly vůbec potřeba.

[14] To je hezká představa, ale ne. Věci jako Skype by snad nebyly potřeba tak často jako dnes, ale v netriviálním množství případů bych je ocenil.

Protože firewall. NAT je jen dílčí část problému. Třeba již zmíněný Eduroam (s veřejnými IPv4!). Nebo jiná síť, která je v daném místě a čase nejlepší dostupná, ale je "blbě" nastavena a jaksi nejsem v postavení, kdy bych si změnu nastavení mohl diktovat.

To neni pravda, muzete mit sedesat tisic spojeni na jednu cilovou adresu, takze celkove na natu jich muze byt mnohem vic!

Mozna dokonce na kombinaci adresa/port, ale je pravda, ze na jednom IP nepobezi asi vic hodne zadanych sluzeb.

[11] třeba u nás se na eduroamu nic neblokuje.

"Jistě si dokážete představit ty ohromné tabulky, které pak musí NAT procházet při každém paketu posílaném v obou směrech." - abychom byli objektivní, mělo by hned následovat i něco jako "a jistě si také dokážete představit algoritmy, kterým to že ty tabulky jsou ohromné vlastně až tak moc nevadí."

[13] dobře nastavenej firewall pouštějící jen http 1.0 - tak to ti přeju hodně štěstí při prolížení webu

[13] Naopak je to husté - stačí doma používat nějaké nešťastné aplikace, nebo router s firmwarem, který není 100% perfektní a časem se NATu tabulka portů zaplní a "internet začne být pomalý". Až do restartu routeru. Pár bittorrentů ve vnitřní síti a je zaděláno na kolaps.
Síťové řešení, které lze uživatelsky korektní aplikací výkonově položit, je špatné řešení.

1) Stavový firewall potřebuje tabulky všech spojení i bez NATu.
2) NAT se používá i na jiné věci, než k šetření veřejných adres.
3) Velkou (a dle mého názoru hlavní) brzdou nasazení IPv6 je zprasený návrh IPv6.

Já vam nevím. Proč přechazet na ip6, když bychom mohli rovnou na IP8? Vyhodit se budou muset časem všechny siťové komponenty ip4, tak proč to neudělat raději s dostatečnou rezervou? Až za sto let bude mít každa lednička/spinač/mo­tor/mobil/sate­lit svou vlastni Ip adresu, tak se bude tohle řešit znovu, ovšem tentokrát to bude drahší.
Btw. tušim že by se k ip adresam dala přidat předvolba a tak zustat na ip4. Se mi zda, že tu někdo volá DOCHÁZÍ ROPA!! v rámci internetu, i když to zas taková pravda není.

[23] S tym vyminanim IPv6 to zas take zle nebude myslim ze ani o 100 rokov, kedze na jeden meter stvorcovy Zeme pripada priblizne 665.570.793.348­.866.943.898.599 IPv6 adries. To by tie chladnicky museli byt sakra male :D

tych 70 portov ti tam moze vyrabat nejaka flash hra, ale na mojom laptope som nikdy nevidel netstat so 70 spojeniami pri beznej praci. tak pozor na to

Proboha, jak si pana Krčmáře vážím, tak tohle snad nemohl myslet vážně. Já osobně mám velice vysoké nároky na PC a konektivitu, myslím že mnohonásobně vyšší, než všichni BFU a VEŘEJNOU IP PROSTĚ NEPOTŘEBUJI A ANI NECHCI. Co počítač to cca 100 otevřených portů, tj. za jednou veřejnou IP klidně schovám 655 počítačů. Pouze v jediném (1)!!! z cca 500!!! ADSL modemů jisté značky, si uživatel přesměroval nějaký port na vnitřní počítač! Tj. veřejná IP by ,,TROŠIČKU" pomohla jen jednomu člověku z 500! Oproti tomu veřejné IP adresy mohou poškodit 499 BFU, kteří si prostě nebudou schopní korektně nakonfigurovat Firewall!!!
Otázka: Jak budou nakonfigurovaná zařízená dodávaná pro BFU na IPv6? Tj. budou mít všechny porty na FW otevřené i z venčí??? HAHAHA tak to těžko!!!! No a když se STEJNĚ nebude možné přímo připojit na porty daného počítače, v čem je ta DRAMATICKÁ A OBROVSKÁ výhoda oproti řešení NAT+FW? Ta, že 1 člověk z 500 lidí z toho bude mít orgazmickou radost??? Ano, 1!!! člověk z 500 veřejnou IP ASI UŽIJE! ALE DOKÁZAT TO SPRÁVNĚ NASTAVIT zvládne možná lidí 5 z 500!! Pan Krčmář, ač si ho vážím, by měl jít před zrcadlo a dát si pár facek za to co napsal, aby se zase probral. Tentokrát je prostě ÚPLNĚ MIMO. A přitom to je tak chytrý a vzdělaný člověk. Ale i mistr kat se občas utne....

[26] Pletete několik věcí dohromady. Já jsem řešil problém z hlediska poskytovatele připojení, ne z hlediska uživatele. Každopádně firewall teď řeší obvykle poskytovatel, takže proč by to nemohl řešit i v budoucnu úplně stejně a porty otevírat jen na požádání?

[27] Pan Krčmář: Tvrdíte ,,Veřejné IP adresy potřebujeme úplně všichni" A já tvrdím, že z hlediska BFU to je zcela jedno! Jestli má veřejnou IP a defaultně nastavený FW, kdy se přímo na jeho počítač stejně nemůže připojit žádná služba a nebo jestli je za NATem + FW. Kdyby jste svůj post nazval ,,Veřejná IP se může hodit všem IT profesionálům" jen bych pokýval hlavou, že ano, některým IT profesionálům se hodit může. Ale to, že všichni uživatelé a tedy i BFU, kterých je 99%, potřebují veřejné IP, je přece blbost. No s tím se nedá souhlasit. Stav do budoucna bude ten, že defaultně nakonfigurovaný (třeba) ADSL modem bude mít zapnutý FW a další FW je v systému. Kvalitně nakonfigurovat FW dokáže tak 8 z 10 IT profesionálů (berme v úvahu i programátory a oprašovače tiskáren). Prostě stále nejsem přesvědčený, že BFU bude mít z veřejné IP jakýkoliv podstatný přínos.

[28] Aha, tak to jsme se nepochopili už v úvodu. Já píšu, že všichni potřebují veřejnou IP, protože minimálně za NATem ji mají. I když nemají veřejnou IP naroutovanou na počítač, tak ji stejně potřebují. O tom je celý ten zápisek v blogu.

[27] Pan Krčmář: Ano, to jsme se nepochopili a tedy se omlouvám, za to o tom zrcadle. Doufám, že jste to neudělal :-) Já Váš článek bral jako generální odsouzení NAT, protože každý BFU přece nutně potřebuje jedinečnou veřejnou IP pro své PC :-) Teď už Vám rozumím a souhlasím s Vámi, že z tohoto pohledu opravdu všichni potřebujeme nějakou veřejnou IP.
(I kdyby to měl být TOR :-P)

na NAT mi nesahejte.
nekdy 1998 (9 ?) jsem zakoupil Winroute Pro ( tehdy na Win 95 :-)
a 8 let se za nim / 1 IP cela firma schovavala.
sice ho NMAP a pod. dokazaly zabit, ale 200 ukaznenych uzivatelu to zvladalo v pohode.

kde by byli, ti chudaci uzivatele, s Windows, bez NATu ?