Před týdnem jsem zažádal Telefoniku O2 o přidělení IPv6 prefixu. Nejdřív jsem teda musel operátorce vysvětlit, co to je IPv6 prefix, a pak mě to stálo ještě dva další telefonáty na infolinku, nicméně ipv6-test.com už ukazuje, že jsem přes IPv6 spojen.
Navzdory očekávání jsem ale mírně zmaten. Nebo možná hodně zmaten. Očekával jsem totiž, že ve světě IPv6 jsou všechny adresy veřejné. Očekával jsem, že se na moji ‚veřejnou‘ IPv6 zvenku dopingám. Nikoli však. Nejenže se nedopingám, ale nemůžu se zvenku ani připojit na žádný otevřený port. Jako bych byl za NATem nebo ohňovou zdí nebo co. Takhle jsem si teda ten internet nepředstavoval. Já bych všechny ty internety zakázal.
Jestli někdo očekával konstruktivní blog post, tak sorry. Jen ventiluju svou frustraci. Ale úplně bych to nezatracoval, třeba se něco dozvíme v diskusi.
[1]: Jestli tomu správně rozumím, znamená to tedy, že člověk při aktivaci IPv6 u O2 přijde o veřejnou IPv4 adresu a zároveň mu nebude přidělen blok z veřejného IPv6 rozsahu? To je tedy ještě horší, než jsem myslel (viz http://www.o2.cz/osobni/forum/?topic_id=2757&post_id=16743#16743). :-/
Nepleť si stavový firewall a NAT. Stavový firewall (tzn. na Linuxu třeba Netfilter/iptables bez explicitního vypnutí conntracku) umožňuje povolit nová spojení jen jedním směrem - tedy zakázat nová příchozí spojení na tvé zařízení.
Spojením se myslí jakýsi kanál mezi dvěma stranami - jako otevřené spojení se může předpokládat proběhnutý TCP handshake, UDP packety spatřené v obou směrech s odpovídajícími porty, ICMP to stejné, .. + další detekce. Pak stačí povolit iniciátory spojení jen v jenom směru.
Očekávám, že tohle bude běžná praxe s IPv6 ve firemních sítích (hlavně těch s MS Windows), protože otevření obou směrů představuje přidané bezpečnostní riziko.
V případě ISP jde ale pochopitelně o naprostou blbost - možná jako doplňová služba pro běžné uživatele, kteří si nedokáží ochránit PC sami, ale rozhodně ne jako "by default" služba.
Telefónica žádný NATv6 ("překlad z IPv4 na IPv6") nevyužívá.
Člověk o veřejnou IPv4 adresu nemusí přijít, ale musí si zaplatit za veřejnou IPv4 adresu (já vím, je to fail).
Ad nedostupnost zvenku - na rootu bych očekával alespoň výpis traceroute -I (ICMP) a tcptraceroute zvenku na ten počítač v O2 IPv6 síti. Třeba pak zjistíme, že problém není u Telefóniky, ale u tebe :)
Tomáš je autorem několika více či méně známých projektů jak z oblasti operačních systémů, tak internetu. V současnosti samozvaný expert na Linux, Bash, PHP a MySQL.
Přečteno 26 216×
Přečteno 24 107×
Přečteno 19 594×
Přečteno 18 372×
Přečteno 12 972×