Před týdnem jsem zažádal Telefoniku O2 o přidělení IPv6 prefixu. Nejdřív jsem teda musel operátorce vysvětlit, co to je IPv6 prefix, a pak mě to stálo ještě dva další telefonáty na infolinku, nicméně ipv6-test.com už ukazuje, že jsem přes IPv6 spojen.
Navzdory očekávání jsem ale mírně zmaten. Nebo možná hodně zmaten. Očekával jsem totiž, že ve světě IPv6 jsou všechny adresy veřejné. Očekával jsem, že se na moji ‚veřejnou‘ IPv6 zvenku dopingám. Nikoli však. Nejenže se nedopingám, ale nemůžu se zvenku ani připojit na žádný otevřený port. Jako bych byl za NATem nebo ohňovou zdí nebo co. Takhle jsem si teda ten internet nepředstavoval. Já bych všechny ty internety zakázal.
Jestli někdo očekával konstruktivní blog post, tak sorry. Jen ventiluju svou frustraci. Ale úplně bych to nezatracoval, třeba se něco dozvíme v diskusi.
[1]: Jestli tomu správně rozumím, znamená to tedy, že člověk při aktivaci IPv6 u O2 přijde o veřejnou IPv4 adresu a zároveň mu nebude přidělen blok z veřejného IPv6 rozsahu? To je tedy ještě horší, než jsem myslel (viz http://www.o2.cz/osobni/forum/?topic_id=2757&post_id=16743#16743). :-/
Nepleť si stavový firewall a NAT. Stavový firewall (tzn. na Linuxu třeba Netfilter/iptables bez explicitního vypnutí conntracku) umožňuje povolit nová spojení jen jedním směrem - tedy zakázat nová příchozí spojení na tvé zařízení.
Spojením se myslí jakýsi kanál mezi dvěma stranami - jako otevřené spojení se může předpokládat proběhnutý TCP handshake, UDP packety spatřené v obou směrech s odpovídajícími porty, ICMP to stejné, .. + další detekce. Pak stačí povolit iniciátory spojení jen v jenom směru.
Očekávám, že tohle bude běžná praxe s IPv6 ve firemních sítích (hlavně těch s MS Windows), protože otevření obou směrů představuje přidané bezpečnostní riziko.
V případě ISP jde ale pochopitelně o naprostou blbost - možná jako doplňová služba pro běžné uživatele, kteří si nedokáží ochránit PC sami, ale rozhodně ne jako "by default" služba.
Telefónica žádný NATv6 ("překlad z IPv4 na IPv6") nevyužívá.
Člověk o veřejnou IPv4 adresu nemusí přijít, ale musí si zaplatit za veřejnou IPv4 adresu (já vím, je to fail).
Ad nedostupnost zvenku - na rootu bych očekával alespoň výpis traceroute -I (ICMP) a tcptraceroute zvenku na ten počítač v O2 IPv6 síti. Třeba pak zjistíme, že problém není u Telefóniky, ale u tebe :)
[5] modem by to měl dělat by default, pokud není špatně nastavený. teprve na žádost zákazníka (změnu nastavení) může něco pustit dovnitř. jinak by všichni s ipv6 měli všechny stroje v domácí síti dostupné z internetu, aniž by o tom cokoliv tušili. a to není moc ok :)
Tomáš je autorem několika více či méně známých projektů jak z oblasti operačních systémů, tak internetu. V současnosti samozvaný expert na Linux, Bash, PHP a MySQL.
Přečteno 17 813×
Přečteno 15 909×
Přečteno 14 368×
Přečteno 9 470×
Přečteno 8 609×
Internet Info Root.cz (www.root.cz)
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.