Nojo, ale vysvětlujte jim to. Když se vám to náhodou podaří, spustí odpůrci další pohádku o tom, že NAT zajišťuje počítačům v privátní síti anonymitu, protože skrývá jejich adresu.

Další věc, co mě fascinuje, je, že se snad v každé takové diskuzi najde někdo, kdo prohlásí, že IPv6 je na nic, protože není kompatibilní s IPv4, a obvykle si nenechá říct, že kompatibilní rozšíření prostě navrhnout nejde.

a) bolo by vhodné demonštrovať, ako vyzerá útok na stroj za NAT-om. Tvrdenia, že NAT nie je spôsob zabezpečenia vidím všade. Konkrétne vysvetlenie prečo je to tak - nikde.

b) NAT chcú ľudia, ktorí si predstavujú, že zabezpečenie stačí riešiť na perimetri siete. Priamu adresovateľnosť každého stroja chápu tak, že každý stroj je zodpovedný za vlastnú bezpečnosť. Mám pochopenie pre ľudí, ktorých to desí.

Takže miesto odsudzovania pomýlených názorov navrhujem vysvetľovať, vysvetľovať, vysvetľovať. Nie to, že to čo chcú je nesprávne, ale to ako konkrétne riešiť ich konkrétny problém.

No, to je vsechno sice moc hezky, ale neresi to treba tuny (business critical) aplikaci, ktere jsou napsane pro ipv4 a ktere se budou muset prepsat - to stoji love, cas a riziko, "ze to nebude fungovat"

Mně jen vrtá hlavou, zda bude těch ipv6 adres opravdu dostatek. Abychom se třeba za 50let nesetkali s limity. Jen dalších 10let bude trvat, než se na ipv6 komplet přejde a to je jen vysněná vize.
Zdar Max

Sice jsem proti NATu tak, jak se běžně používá, ale myslím, že některé speciální případy bezestavového NATu mají význam i s IPv6. Např. webový server mi běží na portu 8080, takže jej nemusím spouštět s právy roota, nemusím řešit vzdání se práv roota a nemusím řešit přístup neroota k naslouchání na privilegovaném portu. Prostě jen přepíšu v paketu cílový port 80 na 8080 a v odpovědi zase zpět. Ale možná jsem na tom taky stejně, jako zastánci schovávacího NATu – znám tenhle způsob konfigurace a třeba nevím o tom, že přístup neroota na privilegovaný port se dá vyřešit editací jednoho konfiguráku Podobě se to dá využít třeba při přečíslování sítě, kde budu mít nějaká zařízení s pevně nastavenými IP adresami (i když u IPv6 k tomu asi bude menší důvod), a budu chtít přečíslování vyřešit v jeden okamžik, a teprve pak obcházet jednotlivá zařízení a překonfigurovávat je. Ale je to bezestavový NAT 1:1, který umožní některé problémy rychle obejít, a zároveň nenapáchá moc škod. Ale NAT 1:n je zlo a je smutné vidět tu spoustu argumentů „kdo potřebuje veřejnou IP adresu“, které staví princip internetu úplně na hlavu.

IP protokol se pak zabývá řešením problémů třetí vrstvy. Tedy řeší adresování uzlů a směrování paketů mezi těmito uzly. Žádný návrh ale není dokonalý. A tak se v případě IP setkáváme s NATem (nebo spíš s maškarádou),

Pozor na to, maškaráda je čtvrtá vrstva ISO/OSI.

Myslím si, že nemá smysl implementovat NAT do IPv6, ale spíše přinutit méně bystré administrátory k tomu, aby si uvědomili, že existuje celá škála řešení problémů se zabezpečením, tedy nejen NAT.

A vysvětlit jim použití privátních adres ve stylu privacy extensions v kombinaci s firewallem.

A já s chutí řeknu každému, u koho najdu IPv6 NAT, co si o něm myslím :) (případně co si myslím o jeho ISP) Za nerozšířenost IPv6 může převážně to, že každý je líný cokoliv udělat, natož se něco naučit a nedejbože tomu věnovat nějaký čas (potažmo peníze).