Názor k článku Praktické zkušenosti: nasazení IPv6 v síti poskytovatele od Zdenek - - Pořád všichni pochybují o "firewallových" účincích NATu. Uvědomte...

Pořád všichni pochybují o "firewallových" účincích NATu. Uvědomte si, že popisovaná zranitelnost NATu platila pouze pro dávný návrh fyzicky symetrického NATu. To je dávno pryč. Současné NATy mají jasně odlišené veřejné a vnitřní rozhraní. Dokonce u *WRT je na tom postavená bezpečnost služeb, které se nabindují jen na vnitřní IP adresu a zvenčí se na ně bez port forwardingu nejde dostat.
I kdyby ten NAT byl hloupě symetrický, jakože není, stejně by se tam muselo chodit ze stejné podsítě poskytovatele bez použití brány. Poskytovatelé, aspoň ti větší, dělají Guest Isolation, což například předejde tomu, aby si lidi v paneláku navzájem četli sdílené dokumenty.
Vím, že existují i způsoby zapouzdření paketu, aby se objevil až v cílové síti, ale ten zase musí někdo dekódovat, takže to v podstatě předpokládá hack/špatnou konfiguraci něčeho jiného a pak se někam lámat s úrovní důvěryhodnosti místní sítě.