Portál AbcLinuxu, 5. května 2025 13:15

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
22.10.2012 03:43 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Odpovědět | Sbalit | Link | Blokovat | Admin

Jen doplním, že ten IPv6 NAT je podle všeho "jen" 1:1, díky bohu.

Max avatar 22.10.2012 07:19 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Zatím ...
Zdar Max
Měl jsem sen ... :(
22.10.2012 09:56 luky
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Co Vam tak vadi ma maskarade? Je to super vec, kdyz se nechcete nastavovat s routovanim a firewallem.
22.10.2012 10:17 Raduz
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Hlavně to, že si lidé myslí že se díky maškarádě nemusí nastavovat s routováním a firewallem...
Dreit avatar 22.10.2012 10:44 Dreit | skóre: 15 | blog: Dreit a jeho dračí postřehy | Královehradecký kraj
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7

+1 :-D

Nope
22.10.2012 11:08 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
no parkrat uz mi maskarada zachranila zivot, setkal jsem se uz s promyslovým bazmekem který nemel default GW, a neslo ani pridavat routy, proste akorat umel komunikovat se svyma pointama na likalni siti, pristup z venku byl mozny pouze diky maskarade. Ale to nic nemeni ze to co jsi psal je pravda.
cynic_asshole avatar 22.10.2012 12:01 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Slyšel jsi už o ARP proxy?
Neznáš nějakou linuxovou distribuci pro Windows?
22.10.2012 13:15 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
V čem je ARP proxy (pro tento účel) lepší než NAT?
pavlix avatar 22.10.2012 13:39 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Mimochodem, všem doporučuju, pokud to jde, dávat přednost bridgování před extrémními hacky jako ARP proxy.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
23.10.2012 05:08 Michal
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7

Vsem doporucuju, pokud to jde, pouzivat routovani misto NATu, ARP proxy, atd. Bohuzel ne vzdycky to jde.

Napr moje VMs ve VirtualBoxu bez NATu nemuzou mit IPv6. Routovat v6 subnet na muj laptop muzu leda doma, ale ne nikde jinde nad siti nemam takovou kontrolu. Navic bych je musel vzdycky precislovavat (RA je prima ale ne na zmenu IP x-krat za den). Bridgovat nemuzu protoze moje WiFi karta nezvlada vic nez jednu lokalni MAC adresu. Atd. NAT tohle vsechno resi.

23.10.2012 08:52 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Blbá wifi karta, moje bridguje v pohodě :) Co se týče přečíslování, tak jsem virtuálům strkal dvě síťovky. Jedna bridgnutá, kde se adresa mění a je na ní internet a pak interní se statickou adresou, kterou znám a můžu na ní z "hypervisoru" lézt.
23.10.2012 11:57 Sten
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
NAT tohle sice řeší, ale řeší to blbě. V případě takového hardware je lepší ARP proxy. Ostateně, stejně jedu na OpenVPN.
pavlix avatar 23.10.2012 12:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Bridgovat nemuzu protoze moje WiFi karta nezvlada vic nez jednu lokalni MAC adresu.
Maškarádu jako workaround pro vskutku idiotský návrh bezdrátových standardů uznávám. A to jak na L3, tak na L2.

Nicméně pro větší flexibilitu bych se i v tomto případě držel nerovnice:

Routing > Bridging > Proxy ARP > NAT

První nerovnost je spíše kvůli pořádku, druhá je pro mě dělící čára mezi konvenčním řešením a černou magií, třetí už je dělící čára, kde ztrácíme funcionalitu.
NAT tohle vsechno resi.
Naivní představa.

Nicméně, ani tvůj případ není jednoznačný. Já vždycky řeším problémy podle skutečné situace. A pokud si nosím hromadu testovacích virtuálů do sítí, nad kterými nemám kontrolu, tak pro mě třeba IP maškaráda nepřipadá v úvahu, protože to ty virtuály nemusím vůbec mít. Mým preferovaným řešením na bázi routingu je v tomto případě IPv6 tunel do jedné nebo více spolehlivých sítí, které mi poskytují prefix.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 22.10.2012 13:38 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
pristup z venku byl mozny pouze diky maskarade
Tohle asi nebude typický use case pro IP maškarádu. A řekl bych, že když už dokážeš nasměrovat traffic, tak klidně můžeš použít jednoduchý source NAT a exponovat služby toho bazmeku pomocí jedné neobsazené IP.

Sice nemám po ruce relevantní zdroj a článek ho neodkazuje, nicméně pokud to správně chápu, tak právě 1:1 source NAT budeš mít k dispozici, ale maškarádu v tuto chvíli ne. Vývojáři tedy řeší přesně tento typ černé magie.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Luboš Doležel (Doli) avatar 22.10.2012 13:48 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Dohledal jsem toto, ale nevím, jestli to je přesně ono.
pavlix avatar 22.10.2012 23:20 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Díky. SNPT a DNPT. Takže to ani přesně nemapuje na SNAT a DNAT. Zdá se mi to, nebo to nepoužívá connection tracking? Tedy křišťálově čistý bezstavový překlad, pokud jsem něco nepochopil špatně. Co by mě pak ale zajímalo, je zda musím pro komunikaci z mapovaného prefixu přidávat obě dvě pravidla.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
23.10.2012 00:06 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7

No conntrack to podle mě používá, minimálně pro REDIRECT: 

+       ct = nf_ct_get(skb, &ctinfo);
+       NF_CT_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED ||
+                           ctinfo == IP_CT_RELATED_REPLY));
+
+       if (ipv6_dev_get_saddr(dev_net(par->out), par->out,
+                              &ipv6_hdr(skb)->daddr, 0, &src) < 0)
+               return NF_DROP;
+
+       nfct_nat(ct)->masq_index = par->out->ifindex;
+
+       newrange.flags          = range->flags | NF_NAT_RANGE_MAP_IPS;
+       newrange.min_addr.in6   = src;
+       newrange.max_addr.in6   = src;
+       newrange.min_proto      = range->min_proto;
+       newrange.max_proto      = range->max_proto;
+
+       return nf_nat_setup_info(ct, &newrange, NF_NAT_MANIP_SRC);
Aby také ne, když to přidává celou "nat" tabulku.

Viz také http://lwn.net/Articles/514087/.

pavlix avatar 23.10.2012 00:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Tenhle výcuc bude asi z jiného patche, než odkázal Doli, že?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
23.10.2012 01:48 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7

Ano, 8a91bb0c304b0853f8c59b1b48c7822c52362cba je zastřešující commit celé té série, mnou postnutý kousek je z "netfilter: ip6tables: add MASQUERADE target".

To ale nic neměni na tom, že REDIRECT je v podstatě přesně (conntrack-enabled) DNAT na IP adresu interface, na který přišel packet. Alespoň tomu tak je v (ipv4) iptables.

Úplně bezstavový NAT, bez jakékoli interakce s conntrackem, čistě přepis adresy na specifikovanou hodnotu, je možné realizovat přes RAWNAT, který je už nějakou nekrátkou dobu v xtables-addons, oficiálně podporován Janem Engelhardtem.

pavlix avatar 23.10.2012 04:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Hezké.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
22.10.2012 11:48 luky
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Muzete mi popsat nevyhody, jake podle vas ma maskarada napriklad pro instalaci Windows stanic pripadne update ruznych HW bazmeku? A jake nastaveni firewallu a routovani je podle vas nutne?
pavlix avatar 22.10.2012 12:29 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Firewall se používá k ochraně sítě proti přístupu zvenčí (případně i obecněji). Použití maškarády žádné bezpečností záruky neposkytuje (pokud není doplněno firewallem). Maškaráda z principu zabezpečení sítě snižuje (zpřístupňuje služby).

Ne každá síť je triviální domácí síť připojená na jednu krabičku, která to zanatuje. Nelze zrušit routing jen kvůli tomu, že máme maškarádu.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
22.10.2012 12:54 Raduz | skóre: 5
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
No, nejdřív bych se zeptal já jak s tou instalací Win stanic a updated různých HW bazmeků maškaráda přesně souvisí. Jako jasně, chápu že člověk má lepší pocit, když si řekne "Tak, tady je moje uzavřená LAN plná oveček s privátními adresami, a vlci jsou až za tímhle NAT serverem.", ale už je chyba si myslet "...takže je to v pohodě, vlci mají smůlu, protože o ovečkách nevědí, a vrátka si sami neotevřou." Jenže vlci jsou sakra rafinovaní, a převléknou se ti za ovečku ani nevíš jak. A pak máš najednou ohrádku plnou vlků...

Dost bylo metafor. To na co jsi se ptal s maškarádou nijak nesouvisí. Všechno se to dá udělat bezpečně i s veřejnými adresami, jen to samozřejmě dá nějakou práci. Pokud se domníváš, že díky NATu se té práci vyhneš, mýlíš se, a navíc se necháváš ukolébat falešným pocitem bezpečí. Není firewall, není bezpečnost. A jestli přes běžný default GW routuješ privátní nebo veřejné adresy je co se náročnosti nastavení celkem jedno.
22.10.2012 17:06 j
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Konfigurace firewallu s NATem je o rad slozitejsi nez bez nej => poskytuje mnohem vic prostoru pro potencielni chybu. Navic sebou NAT nese i dalsi bezpecnostni rizika - napr si musi pamatovat navazana spojeni, coz si router pamatovat nemusi. Pokud hacknu takovou krabku, mam okamzitej prehled, nemusim ani nic nikde snifovat.

Max avatar 22.10.2012 22:56 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Ještě bych přidal to, že NAT více zatěžuje hw.
Zdar Max
Měl jsem sen ... :(
pavlix avatar 22.10.2012 23:23 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Konfigurace firewallu s NATem je o rad slozitejsi nez bez nej => poskytuje mnohem vic prostoru pro potencielni chybu.

To je pravda, naštěstí netfilter tohle docela spokojeně obchází.
Navic sebou NAT nese i dalsi bezpecnostni rizika - napr si musi pamatovat navazana spojeni, coz si router pamatovat nemusi.
To by se ti projevilo jen v extrémním prostředí, jinak je IMO riziko ekvivalentní a v případě firewallu na stejné krabce spíše totožné (tedy až na falešný pocit bezpečí).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
23.10.2012 10:48 darkenik
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
tak ak nemame nat, musime nakonfigurovat FW, s najvacsou pravdepodobnostou stavovy firewall, takze tabulka spojeni tam bude tak ci tak.
23.10.2012 12:00 Sten
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
I když máte NAT, musíte (měl byste) nastavit firewall ;-)
27.10.2012 17:37 Jezus | skóre: 15 | Jablunkov
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
+1 Maskarada je neskutecne zlo
pavlix avatar 27.10.2012 17:43 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Náhodou. Díky tomu, že NATu obecně a různým kombinacím port redirectů, maškarád, bridgování, icmp redirectů apod nikdo pořádně nerozumí, tak jsem měl jako OSVČ aspoň vždycky nějaký ten výdělek :).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 22.10.2012 12:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Jen doplním, že ten IPv6 NAT je podle všeho "jen" 1:1, díky bohu.
Snažím se tuhle oblast sledovat a taky mě úplně netěší, že autoři plácnou do článku nic neříkající informaci, že se začleňuje nějaký překlad adres. To by rovnou mohli napsat, že kernel bude mít „novou síťovou fíčuru“ a informační hodnotu by to mělo skoro stejnou.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
22.10.2012 10:32 KOLEGA | skóre: 17 | blog: odpocinuti_vecne
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
Vždycky přemýšlím, kdo je tak ochotný a sesmolí pro nás takovéhle slohy... Každopádně díky moc
progdan avatar 22.10.2012 16:38 progdan | skóre: 34 | blog: Archař | Teplice/Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 4. 10. 2012: IPv6 NAT a co dále bude v Linuxu 3.7
Jonathan Corbert (a Lubos samozrejme :) )
Collecting data is only the first step toward wisdom, but sharing data is the first step toward the community.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.