Názory k článku Už i v Africe docházejí IPv4 adresy

Skutečně chtějí vrtat do konfigurace CDMA? Já spíš čekám, že ho časem úplně vypnou.

Ale tak mat meno v reverznom DNS zavana porusenim ochrany osobnych udajov. Totiz IP adresa je povazovana za osobny udaj ak je nou mozne identifikovat konkretnu osobu. Ak tam existuje reverzny DNS zaznam s menom tak tu ta identifkacia ocividne existuje. Preto by som sa informoval na nejakom urade o ochrane osobnych udajov.

Šmankote, vy jste tím svým IPv6 náboženstvím tak zaslepený, že ani nerozumíte (nebo nechcete?) napsané větě!

A to konkrétně jak?

https://www.root.cz/clanky/sixxs-vypne-ipv6-tunely-sluzby-ukonci-6-cervna/nazory/914226/
https://www.root.cz/clanky/sixxs-vypne-ipv6-tunely-sluzby-ukonci-6-cervna/nazory/914355/

Zajímavé. Teď se nabízí druhá otázka: Je to běžně na NATech provozovaných ISP povolené?

Opravdu SOHO routery nezahazují packety s lokální DST IP adresou na WAN portu ?

inovátorský přístup a držím palce :). Chápu správně, že u 24 portového mám 22x vyšší úroveň zabezpečení na tom posledním portu? Hned bych jeden takový bral, člověk nikdy neví.

z problémů musíš udělat feature. Stačí se domluvit s ISP, aby prodávali tvoje routery s připojením, zákazníci by jim pak nepřetěžovali linku. Vyměnit trochu pásma za bezpečnost je dobrá cena.

Chci rozsah 2^256 IP adres. Vida, mně nestačí ani IPv6. Co budeme dělat?

Vycházíte z toho, že každý jeden uživatel veřejnou statickou IP chce, což se mi nezdá.
Naprostá většina lidí nemá pro ni nemá (nejen) na mobilu využití. A může se stát, že někteří lidé (třeba já) dokonce někde dostanou veřejnou statickou IP z donucení i přestože o ni nestojí a raději by byli s dynamickou IP za NATem.

Jedna věc je, že u tebe v síti jsou debilní pravidla. Druhá věc je, že ti, co by na cokoliv potřebovali víc IP adres, je prostě nemají. A třetí věc je, že bez IP adres některý věci nefungují (torrenty, sdílení souborů, IoT, multiplayer gamesy, ...)

Já narážel na to, že ty IP adresy jsou nesmyslně promrhané.
Věcem co popisuješ obvykle stačí mít forwardovaných několik málo portů do vntřní sítě. Takže by stačilo, kdyby ISP dali každému klientovi pár "veřejných portů" na statické veřejné IP adrese sdílené s více uživateli, ze kterých si mohou věci forwardovat k sobě do sítě podle toho, jak si to nastaví v nějakém pěkném webovém rozhraní.

Pár veřejných portů je pitomost.
Pár veřejných adres by se za kompromis považovat dal.

Jasně. Jsou jen dva nebo tři a jsou v podstatě k ničemu. Jen se starají o naprostou většinu komunikace na internetu, že...

Protože to nabídne poměrně zajímavou službu zákazníkům?

V jakém kontextu by měla třeba komunikace IOT aplikace vygenerovat ICMP zprávu?

Moment. Když má můj počítač s veřejnou IPv4 otevřených více TCP/IPv4 spojení s jedním serverem a několik spojení s dalšími servery a dojde mi zpráva ICMP MTU exceeded, jak poznám, ke kterému spojení se to vztahuje a co pak mám dělat? Co řešit to stejně?

Nestačilo by přehazovat v TCP/IP paketech don't fragment flag a tyhle ICMP zahodit?

Mimochodem, celý koncept MTU je při technologii přepojování paketů trochu obskurní záležitost, protože se vztahuje k vlastnostem cesty někde, kde nic jako cesta neexistuje.

Pokud problém MTU vyřeším tak, že shodím flag don't fragment, paket fragmentuji a pošlu dál, tak to fungovat nemusí, protože třeba cílový IP stack neumí skládat frgmenty dohromady. Klasicky je to třeba nějaký embedded krám s omezenými prostředky, to je velice častý případ, pokaždé nekomunikují spolu PC obludy. :-)
Uvnitř ICMP paketu je datová část, kam se vkládá začátek paketu na který se reaguje tím MTU exceeded, takže dle toho si pak můžu přiřadit, které spojení to způsobilo, pokud ta ICMP zpráva dorazí korektně zpět.

Jaký je přínost těchle přístupů oproti variantě dvěma kliknutími zprovozníme IPv6?

...pěkné webové rozhraní... ...služby na obskurních portech místo standardních... To je řešení jak noha!

Kverulanty a potížisty budeme ignorovat.

Routery v páteři že nemají desítky až stovky giga RAM?

Ne. Tam jsou takový toky, že se to routuje v FPGA nabo ASICu. Procák, co by to ustál, neexistuje. Paměť není potřeba (krom routovacích tabulek), jenom mrkne do hlavičky, mrkne do tabulky a přesype paket na odpovídající lajnu.

-1
Tu urážku sis mohl odpustit.
Netvrď mi tady, že se běžná IP adresa přesunuje několikrát do měsíce.
ISP nepotřebuje mít představu, jak vypadá rozdělení IP adres na celém světě. Jeho zajímá, s kým má přímý peering a s kým musí komunikovat přes páteř. To požadované množství informací velice zmenšuje. (Konkrétně na zapamatování si těch pár milionů adres, které mají lidé, se kterými má přímá spojení, což jsou řádově megabajty dat.)

Právě že pokud má konektivitu přes několik linek, potřebuje pro každou cílovou síť vědět, kam to směrovat. Tzn. mít přehled, kterou lajnou to jede nejrychlej a v reálným čase rozhodovat.

Pokud teď routuju řekněme na 200.200.150.100, vím, že platí pravidla pro 200.200/16. Před deseti minutama se někdo spojil s 200.200.150.37 a nejlíp to valí po lince #4. Můžu rovnou předat.

Když to víc fragmentuju a IPčka budou náhodně po světě, tak zjistím, že 200.200.150.100 nemá definovaný pravidlo a hledám znovu celou cestu, protože tuhle síť tenhle týden ještě nikdo nekontaktoval... Latence jak kráva a eviduju 4000M záznamů.

A ono to není o tom, že se udělá statická tabulka s číslem portu, kam to přehodit. Na úrovni BGP existují záložní trasy, každý záznam má čítač pro timeout (a ono každu ms dekrementovat čítač pro 4mld nebo 65k sítí je trochu rozdíl).

A dokážeš si představit ten režijní traffic, co se povalí páteří, aby si všichni očuchali trasy? Brrr

Ty firmy to mají rozdělený na A.B.C.D, kde to A je přidělený prefix, B je kód oblasti C je oddělení, D je konkrétní stroj (čísla nemusí mít 8b). Uvnitř se routuje transparentně:
A je naše? Zůstává uvnitř fitrmy, jinak předej ven.
B je naše? Zůstává na pobočce, jinak to hoď do příslušnýho tunelu na jinou pobočku.
C je naše? Nedělej nic (je to v LANce), jinak přepošli na router odpovídajícího oddělení.
D řeší switch.

Bylo by tak fajn, kdyby tohle šlo i v globálním netu. Mít dlouhou adresu, ke je v prefixu kontinent, země, isp, jeho zákazník, síť zákazníka a konkrétní stroj... Routování jednodušší, než teď a adresa by při tom vyšla na každou krabičku.

Vždyť se od začátku urážíš sám. Již několikrát jsi jasně předvedl, že nemáš ani páru jak to funguje, ale neustále hájíš svou pravdu proti lidem, jako je pan Caletka. Vždyť jsi úplně směšný. :o)

https://www.youtube.com/watch?v=0uoFQceJh1E

Já si to představuji takhle:
na adrese paměti
Konstanta+(((((A)*2­56+B)*256)+C)*256+D)*ve­likost_záznamu
bude záznam kam směrovat zprávu pro IP adresu A.B.C.D

Jo, ale neseženeš tak velkou a rychlou paměť, co by ti to vyblila v reálným čase. V téhle kapacitě jsou jenom DDR SDRAM a ty se na toto moc nehodí.
Cyklus 1: Nastavení adresy řádku
Cyklus 2: Nastavení adresy sloupce
Cyklus 3-8 (pro rychlou CL6): čekání
Cyklus 10: Hurá, na sběrnici jsou data

Co vyhledávat, ale aspoň vymyslet, jak to číst. V rychlosti na páteři už je poznat i délka spojů menších pamětí na desce.

SRAMka v téhle kapacitě není dostupná (resp. když 1b zabere 4x větší plochu na čipu, tak by byla pekelně drahá a ještě z hodně brouků).

DRAMka má strašný režie. U grafiky nebo operační paměti podpořené cache se to dá skousnout a používat bursty, ale 16G s extrémně rychlým a opravdu náhodným přístupem je furt trochu mimo.

Aha, panejo.

A to jako proč? Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý přístup z netu . . .

"U IPv4 vám to nevadí? Proč?"

Ty máš pocit že dnes jsou domácí routerý běžně přímo dostupné z netu? Jaksi se mi nedoneslo, že by domácnosti v ČR měly standartně veřejnou ipv4.

Kecy. Můžeš mi tedy ukázat, jakou ipv4 adresu si mám na svém ipv4 routeru zjistit, abych se k němu mohl připojit z přímo z netu odkudkoliv tak, jako mi to umožní ipv6 pokud nebude za NATem, terý bude sypat jenom lokální adresy? Jinak se vlastně ani nemusíš obtěžovat odepisovat.

"A to jako proč? Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý přístup z netu . . ."

Zase jenom kupa keců.

Veřejná ipv4 adresa je normální pojem, kterému až na tento tvůj výstup samozřejmě dobře rozumíš, a umožňuje přímý přístup z internetu (přesně z WWW).
V ČR je několik mil. domácností. Máš pocit že má každá věřejnou ipv4 adresu aby jsi k jejich routeru (klasická domácí síť) mohl lézt přímo z WWW ?

Zajímavé. Tady jsi tomu ještě rozuměl taky:

"
Filip Jirsák 100 Bronzový podporovatel Dnes 13:17

Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý přístup z netu . . .
U IPv4 vám to nevadí? Proč?
"

... pro předcházející komunikaci si laskavě přečti vlákno do kterého lezeš.

Pak proběhlo nějaké tvoje ťápání ale odpověď na to, kolik domácností má na routeru ipv4 veřejnou adresu jsme se stále nedozvěděli.

To víš že záleží, ale jenom pokud ISP (pokud máš připojení přes ISP jako většina domácností) umožní, aby byla ta veřejná adresu z venku "viditelná". A bavili jsme se tu ve vláknu o tom, že by to s ipv6 umožnil a dělalo by se to standartně a ty jsi začal ťápat o tom, že to jde už s ipv4. Jde, ale nedělalo se to standartně, nedělá se to standartně a ani nebude. Takže u ipv4 to samozřejmě nevadí. S ipv6 se tu samozčejmě ta možnost naskytla skrz laciné rozsahy s ipv6.
Kdyby jsi napsal zrovna že sis ani nepřečetl vlákno do kterého píšeš a vůbec nevíš o čem jsme se bavili, mohli jsme si toto ušetřit. Nazdar.

> privátní IPv4 adresa vás před ničím nechrání
samozrejme ze ano, 99,9% utocnikov proste ucinny pristup za NAT neziska
(ak by ano, tak nepotrebujeme IPv6 na to, aby fungovala end-to-end konektivita, vsak)

NULL: Filip má blíže k pravdě než ty. Pokud jsi na internetu, je tvoje IP adresa z venku viditelná, tak funguje internet. Jen pokud jí nemáš veřejnou, sdílí jí s tebou více lidí a jste schovaný za nějakým NATem.

Pokud může webový server tobě poslat odpověď na tvůj požadavek o načtení nějaké stránky, může ti také nějaká data poslat útočník. Jak je tady zmíněno tisíckrát, NAT není silná bezpečnostní překážka.

Jediné co tě zajímá je firewall a ideálně zavření veškeré vnější komunikace.

@Tomáš2

No, já teď sedím za NATem ISPčka, pingneš mě jako kdybych měl ipv6 přidělenou z veřejného rozsahu? Aha . . .

argument typu, když to neumíš ty, neumí to nikdo je dost nebezpečný. Nejsem útočník a nemám důvod to dělat. Za NATem nejsi přímo adresovatelný, ping tedy logicky fungovat nebude. NAT tě ale nechrání před cizím přístupem.

Obecně stačí, abych tě donutil navštívit určitý server nebo udělat někam spojení, poté mám pootevřené dveře, abych ti mohl poslat data a tvůj router je bez problémů příjmul a předal dál, klidně na lokální rozsah.

Řada routerů byla napadnuta právě takhle, což mluví za vše. Dnes se prodávají hotová řešení, útočník nemusí znát složitosti za zneužitím slabiny, prostě je použije.

@Tomáš2

Nechrání tě plně, ale taky tě přímo nevystavuje do WWW. To je ti snad jasné. Donutit něco navštívit můžeš, ale na co domácnosti a jejich 0,- routery a 0 znalosti oproti ISP vystavovat do přímo do WWW aby do nich neustále někdo bušil jako do serverů? Být "schovaný" za NATem je pořád aspoň trochu výhoda. Vzpomeň si třeba na rom0. Ano, přisli napadení i z lokálu, ano mohli být prolomeno i NATování, ale být tu domácí routery za 25,- veřejně ve WWW tak padly všechny do 2 dnů . . . .

@Tomáš2

Jako mě by se třeba líbilo mít ipv6 i několik zdarma doma z veřejného rozsahu a využil bych to, ale by default bych to rozhodně nedával. Už tak se kolem routerů mých známých občas naběhám. A s tím napadením: Jenom si vem, kolik nákaz a jak nebezpečné jsou domácí wi-fi a ty by jsi to otevřel plně ještě i po drátě. . . .

od toho tady je ale firewall a řada ISP ho nasazuje, je poté si u nich požádat o povolení portů. NAT není od toho, aby něco chránil, i ty nejlevnější routery mají firewall a není jediný důvod ho nezapnout, bohužel bývá ve výchozím stavu vypnutý, což nechápu, já ho mám zapnutý i na mobilu.

Odstranit 99,9 % "bušení" není řešení bezpečnosti, ale jen nebezpečný pocit, že je vše v pořádku. Řada implementací NATu je dost nevhodná a routuje i to co nemá.

@Tomáš2

"Odstranit 99,9 % "bušení" není řešení bezpečnosti,"

Jasně že není, ale dost toho odstíní, a je rozhodně lepší, když to odstíní ISP, než když to nějaký .... hodí přímo na uživatele . . .

O tom pocitu tady mluví akorát <Jirsák> a ty. Jediné co jsem napsal je v podstatě to, že nechci přidávat další díru do cedníku. Už jsi mi spoustu dalších děr popsal, ale pořád nevím, proč přidávat další možnou světu přístupnou díru. . .

@Jirsák

Nech si ty svoje kecy. Speciálně kvůli takovým nechápačům když se jim to hodí aby mohli otravovat - jako ty, už dokonce píšu o WWW, protože si uvědomuji, že napsat jenom internet nebo net je jenom další záminka, pro takové ..... jako ty, přispěchat a začat dělat jak najednou nechápeš a jak je to všechno jinak
Ať se ti to líbí nebo ne, za NAT prostě není tak dobře vidět, adresy mohou být přidělovány náhodně a navíc se jejich rozsahy mohou krýt pro další subnety.
Nikdy jsem netvrdil že tě NAT před něčím chrání, s tím tady pořád dokola prudíš ty a omláš to jenom ty. Já jenom říkám, že za NATem nejsi přímo vystavený do netu (pro nechápavce kontextu a vlákna když se mu to hodí: do WWW).
Je jasné že ze síťě vedle na mě vidět asi půjde a půjde mě adresovat, ale už vidím, jak někde z Afriky pingneš moji 192.168.45.489. Ha Ha Ha - když se teda za NAT neschohvám. A pak si zkus pingnout 8.8.8.8 abys viděl, jaký je v tom rozdíl.

+ Když je to jinak, tak tě vyzívám, aby jsi pingnul můj router od sebe z WWW, když je na mě teda za NATem vidět z WWW a vystavuje mě do netu stejně jako ipv4 přidělená z veřejného rozsahu (pro účelově nechápavého: pokud ISP umožní ji za NATem vidět). Ale klidně mě můžeš teda pingnout i z jiné sítě protože síŤ přece není jenom ta WWW. (ISP gateway máš za Nickem a moje ip je 192.168.20.103)
Přeju veselý ping (-pong) Jirsáku.

2Null to ze je jirsak pitomec neznamena,z e v tomhle pripade tu nejses za 10x vetsiho vola prave ty, protoze ma naprostou pravdu a NAT te nechrani ani trochu, Naopak, NAT razantne zhorsuje bezpecnostni situaci, protoze nastavit firewall tak, aby spravne fungovat s natem je nekolikabnasobne slozitejsi a BFUcka jako TY to naprosto nemuzou zvladnout.

Vubec nevis o cem zvanis, nevim proc bych neco nekde pingal, kdyz se ktomu muzu rovnou pripojit.

@j

Mohl by jsi mi ukázat, kde jsem napsal, že NAT je nějaká bezpečnost?

Už jsem to asi rozluštil.

Zde

"A proč by neměla mít? Proč ty televize a ledničku nenechat přímo přístupné z netu? Tady jsi za natem ISPčka a to je nuda, ne?"

jsem měl napsat místo "jsi za natem ISPčka" tohle "jsi za natem (a samozřejmě firewallem) ISPčka"

a zde

"A to jako proč? Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý (adresa) přístup z netu . . ."

Celou dobu tady žvatleš, že jsi a NATem dobře schovaný před útočníkem, protože nejsi vidět pomocí standardních nástrojů jako PING z jinýho kontinentu

Je to mimochodem stejná pitomost, jako tvrdit, že nemůžeš zemřít na otravu, protože u nás kobry nežijí...

V bezpečnosti neplatí, že pokud prokážeš neprůstřelnost pro jeden vektor útoku, tak útočník nepoužije jiný a jsi v suchu. Zkus chvíli pro změnu myslet jako zločinec, který chce třeba výkupný za zašifrovaný data, jedno od koho. Vážně je pro tebe NAT problém?

@Petr M

"V bezpečnosti neplatí, že pokud prokážeš neprůstřelnost pro jeden vektor útoku, tak útočník nepoužije jiný a jsi v suchu."

Super, tak na co se starat. Existuje více vektorů útoku, tak ser.m na všechny. Práda . . . Kdybych se vrátil k tomu tvému "příkladu" s kobrou tak bych mohl říct: Když tě kousne kobra tak se otrávíš, tak už je to jedno, můžu si dělat co chci a sahat na kdejakého hada.

@Jirsák

"už vidím, jak někde z Afriky pingneš moji 192.168.45.489. Ha Ha Ha - když se teda za NAT neschohvám
To, že není možné pingnout neexistující IP adresu, neznamená, že jste schovaný."

No, pravda, upsal jsem se a nevšiml jsem si toho 4 -> 1. Ale ty moc dobře víš co jsem tím myslel.

"10.93.9.40"

Co odpovídá je jedno - tak zkus pingnout 10.93.9.40 a uvíme jak ten NAT prostřelíš.

"To ovšem nejdřív budete muset vymyslet, co znamená „pingnout od sebe z WWW“."

Abys mě pingnul od sebe z kompu přes " „internet“ nebo „net“ " nebo odkud chceš, třeba tvůj server

MImochodem

" Např. momentálně píšu ze sítě UPC a modem/router má přidělenou veřejnou IPv4 adresu" - na co když je to přece jedno?

"Za tím NATem je je nějaký počítač, který má IP adresu 10.93.9.40. . . . Přitom ale na tu IP adresu je 1:1 mapovaná veřejná IP adresa . . . "

A to tak má každý a každý ISP nebo jenom tento který jsi vybral, co? ;-)

"Ignorujete, že existují techniky, jak se přes NAT dostat"

A na co jsou, když je to jedno a není potřeba se přes NAT někam dostávat protože je všechno veřejné, viditelné a jasné?

"jak jste schovaný za NATem >>>a nikdo se k vám nedostane<<<<"
"nevíte o žádném mapování z veřejné IP adresy na vaši privátní, že takové mapování neexistuje."

To tvrdím kde?

"útočníka to není žádná překážka"

Na co máš teda tu veřejnou ip? Však je to mapované, není to vůbec žádná překážka . . .

"Podstatné je to, že to tak můžete mít i vy, a nijak to neovlivníte ani o tom nemusíte vědět."

A nebo nemusí. Tak má to tak každý ISP pro všechny? Koho by to napadlo, že webový server bude mapovaný na ip z veřejného rozsahu když má odpovídat na dotazy. Už ses na 10.93.9.40 dostal?

"není potřeba se přes NAT někam dostávat protože je všechno veřejné, viditelné a jasné?
Tvrdí kdo?"

Ty. Tak tvrdíš mi tu že NAT není žádná překážka, dokonce se dostáváš na 10.93.9.40 za NATem, nebo zde
" Já celou dobu tvrdím, že NAT je pro oprávněného uživatele zbytečná komplikace, ale pro útočníka to není žádná překážka" - žádná překážka přece, ne?

"Uznávám, že je neopodstatněné hledat smysl ve výrocích o sítích u člověka..."

Ano, možná by jsi se měl víc soustředit na to co chce člověk říct a ne na to, za co se dá popotahovat. No, už jsme se od "veřejná ipv6, kterou ISP zpřístupní, je to samé jako ipv4 z priv. rozsahu v nějaké podsíti" k "musí to být mapované", tak uvidíme co dál . . . .

"Asi vás to překvapí, ale servery provozujeme primárně pro uživatele, ne pro útočníky"

To mě nepřekvapuje. Ale nevím, na co bych neměl zavírat okno, když už zamykám ty dveře a bytný (ISP) zamyká vchodové.

"Už ses na 10.93.9.40 dostal?
Samozřejmě. Jak bych asi jinak znal tu privátní IP adresu?"

Haha . . . Ne že ti opovídá, ale jestli na "10.93.9.40" dokážeš něco poslat? Asi ne že. A dokázal bys něco poslat na "10.93.9.40" kdyby to měla veřejnou ipv6?

A kolik % těch domácností v ČR má teda mapované veřejné ipv4 stejně tak jako ten tvůj příklad "10.93.9.40"?

Ale v pohodě, host s veřejnou ipv6 nebo privátní ipv4, co na tom . . .

@Dytis

No jasně že je snáze napadnutelný ten s veřejnou adresou. Pokud vím, tak platí pravidlo, že služby které nepotřebuješ, máš mít vypnuté - zde veřejná ip pro většinu lidí. Přímá adresovatelnost na veřejnou ip je prostě jeden z možných vektorů útoku - ano, cílený - ale je, a naopak to nahrává každému kdo chce cílit a nechce nebo neumí hledat. Malý nebo málo pravděpodobný vektor? Ano, ale proč ho nezaříznout, když veřejnou ip nepotřebuju (nebo ten můj děda, já bych ji i využil . . . .)

@jirsák

Ne že ti opovídá, ale jestli na "10.93.9.40" dokážeš něco poslat? Asi ne že.
Jak „asi ne“?

" A pak zkuste pingnout 78.108.96.2. Víte, jaká IP adresa vám na ten ping odpovídá? 10.93.9.40"

Ale pingáš 78.108.96.2 ne 10.93.9.40" protože "... Přitom ale na tu IP adresu je 1:1 mapovaná veřejná IP adresa...." jak jsi tvrdil.

Tak co, kolik domácností má mapovanou veřejnou ipv4?

@Jirsák

" a když vám napíšu, že pingám 10.93.9.40, vysvětlujte my, že mám halucinace a ve skutečnosti je to 78.108.96.2"

Filip Jirsák 100 Bronzový podporovatel 4. 4. 2017 9:38
"
Vy si zkuste pingnout www.vlada.cz. To teprve uvidíte ten rozdíl.A pak zkuste pingnout 78.108.96.2. Víte, jaká IP adresa vám na ten ping odpovídá? 10.93.9.40. Pokud to nevíte, to je také IP adresa z privátních rozsahů, stejně jako 192.168.20.103. Gratuluju, právě jste prostřelil neprůstřelný NAT, a to přitom o sítích nevíte vůbec nic.
"

To nebude o halucinacích ale o tom, že jsi konečně zjistil, jak se (nedá)dá adresovat veřejná/privátní ip pokud na tu síť z venku nevidíš. Ale každý si to může zkusit sám

$ ping 10.93.9.40

Nevím, proč když když zamykám branku (ISP), vchodové dveře (PC + firewall), tak bych měl nechávat otevřené okno. Je to jenom komplikace (otvírat, větrat, zavírat) a zloděj bytař se tam stejně dostane i přes dveře

A kolik těch ISP má teda pro každou domácnost mapovanou veřejnou ip jako ten server v tom tvém příkladě?

ISPíků jedoucí metodou, že každý zákazník má svoji veřejnou IP, ale ta je na hlavní bráně překládána pomocí NAT 1:1 je relativně dost (ale množina je menší, než těch, kde jsou za CGNAT typu 1:N). Tohle používají ti, co mají dost svých IPv4 adres a nechtějí e srát s data retention.
Pk jsou tací, kteří tko dávaí veřjku jen za příplatek, ale tam bych mohl vědět, zda platím něco navíc nebo ne...

Být bez NATu je jako přijít do kancelářské budovy a někým na návštěvu a nikde se nahlásit.

Být s NATem je jako přijít do kanecelářské budovy, dojít na vrátnici a říct, že jdu za tím a tím. Když se někdo na vrátnici neohlásí a rovnou jde dál, tak to nikdo neřeší. Recepční není od toho, aby honila lidi po chodbě.

Až teprve turniket v podobě firewallu tě donutí jít na vrátnici sdělit, kam jdeš. A potom je jedno, jestli ti vrátný prostě otevře (bez NATu), nebo zavolá dotyčnýho, ať si tě odvede (s NATem). Provozovatel budovy má přehled, kdo je uvnitř a co tam asi dělá a ví, že se tam necourá nikdo, kdo pro to nemá důvod.

ve zjednodušené podobě je celá diskuze poněkud legrační, protože jedni a titíž lidé tvrdí, že nat je zlo, protože se za něj nedá jednoduše dostat a všichni s tim maj problém a zároveň je jako zabezpečení k ničemu, protože kdo chce se přes něj bez problémů dostane :-)

Ale to se nepopírá. Záleží na úhlu pohledu.

Dav na náměstí je na pytel, pokud máš najít konkrétní osobu.
Dav na náměstí je super, pokud tam chceš odpálit bombu.

NAT je na pytel, pokud chceš s někým komunikovat napřímo bez prostředníka.
NAT je super, pokud se chceš nabořit do sítě a nezajímá tě konkrétní cíl. Probourat NAT je jednodušší, než firewall a když ho prorazíš, bereš vše...

Nevím, co je na tom legračního
No, původně jsem myslel, že xichtík na konci bude stačit, ale evidentně jsem měl výslovně napsat, že následuje nadsázka a že to nemáte brát vážně. ..žiši...

Pamatujete, jak vloni byla část republiky bez netu, protože krabičky od Ubiquity chytly vira? 99% těch krabiček bylo za CGNATem... Tož asi tak.

Bylo by naprosto krásné, pokud by většina koncových zákazníků byla ochotna si vzít domácí router za 750 Kč. Řada jich není ochotno ani šmejd za 300 Kč, takže u řady lidí ani není a domácí router je nahrazen nastavením sítě ISP (pomíjím případ, že jsou ISP, kteří nechějí, aby lidi home router měli, že jim ho dodávají jako službu na své infrastruktuře).
Představa o tom, že pokud je děda za CGNNAT ISPíka, tak jeho router je v pohodě, to už vyvraceli jiní. Popravdě je taková situace často horší, než kdyby doopravdu tu veřejku přímo na routeru měl. On totiž v dané iluzi žije i ten ISP a u řady z nich to vypadá tak, že na tom domácím routeru natvrdo zapnul ovládání přes WAN, nechá default heslo, aby se to nepletlo a mohl router kdykoliv poladit na dálku...
Jink souhlasím, že na počet ISP v ČR (cca 2500) jich většina veřejky nedává (protože je často vůbec nemají).
Co se týče té IPv6 (a i IPv4 v podstatě), tak doporučení pro domácí router říká, že by v základu měl být aktivní stavový firewall, který dovnitř pouští jen odpovědí na spojení vzniklá z vnitřku plus ping, IPsec, MIP. Jak jsou na tom takové levné krabičky s IPv6 a firewallem v reálu, tak to jsem nezkoumal.

Ještě bych dodal, že chci nejen sedět za NATem, ale taky chci mít co chvíli novou IP adresu.

Máš nějakého poskytovatele VPN, který je spolehlivý, nemusím mu platit žádné peníze (krom těch, které dám za připojení se k internetu svému poskytovateli), nezvyšuje latence a nesnižuje rychlost přenosu?

Meh. Chceš tvrdit, že to, že něco není dokonalé je důvodem, proč je to horší než nic?

Požadavky na anonymitu jsou nesmyslné? No to jste to dopracoval..
Souhlasím s tím, že je zcela nevyřeší. Nesouhlasím s tím, že nepomůže
S problémy způsobenými existencí NATu jsem ochoten žít.

Jenže já nikde nic takového nevtvrdil. Vždyť jasně píšu, NAT anonymitu nezajistí, ale že jí pomůže.

Jednak by to musela být zcela jiná IP adresa. Rozhodně nestačí, abych dostal jen jinou IP adresu z rozsahu, který celý patří jenom mně.
A druhak ne, nestačí. Když najdu u vašeho scénáře dva příspěvky odeslané ze stejné IP v podobný čas, lze očekávat, že i autor je stejný. A ty IP adresy se zase nemohou měnit moc často. (třeba každou minutu) Protože to IMHO otevřená spojení to nesou docela těžce.

V tom, že za stejnou adresou sedí i další uživatelé, kteří mohou být autory toho příspěvku.

To ma jednoduchy reseni. ;) Pis takovy prispevky, kde nebude vadit, kdyz te nekdo odhali. Pokud potrebujes nutne napsat neco hur odhalitelnyho, pouzij VPN. A pokud by to melo byt neco, co fakt nesmi nikdo zjistit, tak mame Tor (netvrdim, ze odhaleni je zcela vylouceny, ale nic tak extremniho, aby to nekomu stalo za namahu, pravdepodobne nikdy delat nebudes). Naprosta anonymita na internetu je jen iluze, s tim je potreba se smirit.

Jenže já nechci psát ŽÁDNÝ příspěvek, ani dělat prakticky žádnou aktivitu na internetu tak, aby šlo snadno odhalit, že když jsem dělal jednu aktivitu, dělal jsem i druhou.
Protože co je komu do toho, co všechno kde na internetu píšu nebo prohlížím?

Internet ale neni navrzenej tak, aby byl anonymni. To, ze diky NATu je za jednou adresou pulka sidliste a na prvni pohled neni videt kdo je kdo, je jiste zajimavej vedlejsi efekt, kterej se nekomu libit muze, to nepopiram.

Zkus to navrhnout svymu poskytovateli, ze bys mel zajem o IPv6, ale s prefixem menicim se kazdou hodinu, to by snad mohlo stacit. Pokud vas bude vic, treba ho ukecate. A bude-li to pouze volitelna vec, tak drzim palce.

A co kdybych mu navrhl, ať na IPv6 kašle a víc NATuje a přiděluje IP náhodně? K tomu ho myslím ukecám snáz.

V tom pripade zaber, protoze kdyz jsem to zjistoval naposledy, SATT sice s distribuci IPv6 k zakaznikum nespechal, ale svuj prefix uz par let maji, takze to neni dobry znameni! ;) Taky nezapominej na to, ze zdaleka ne vsichni to vidi stejne, nekteri maji staticky verejny adresy radi.

Děkuji za info, jdu tam volat.

A můj odpor vůči IPv6 je o tom, že chci tento neplánovaný vedlejší efekt udržet a posílit.

:D :D :D :D :D

1) Pokud se ti nelíbí, že z tvojí IP adresy lezeš ven jenom ty, pořiď ti TOR exit node.
2) Pokud chceš na net bez dohledatelné IP adresy, používej TOR.
3) IPv6 adres na stroji můžeš mít kolik chceš. Současně. Takže můžeš z jiné IP adresy tahat mail a z jiné adresy současně brouzdat po netu a na další mít IM klienta. Takže argument s omezením času nějakým otevřeným spojením neberu.

Proč bych nasazoval TOR, když mi to, co zajistí dynamická natovaná IPv4 stačí?

Ad tři: Zkusím znovu napsat co jsem psal výše. Ty IPv6 adresy budou ale jen z jednoho rozsahu, o kterém všichni budou vědět, že celý patří jednomu člověku. Tudíž o každém příspěvku poslaném z toho rozsahu bude jasné že patří témuž člověku jako všechny ostatní příspěvky poslané z toho rozsahu. Tudíž to neřeší nic

Opět se budu citovat:
"Nechci, aby běžní lidé (=kdokoliv krom policie, armády, tajných služeb a mého ISP) dokázali poznat čistě na základě času a IP adresy, zda jsem něco někde na internetu psal já, nebo ne."

Na toto mi dynamická natovaná ipv4 stačí.

"Na toto mi dynamická natovaná ipv4 stačí."

Ne, nestačí.

Proč?

@Z

Chápu požadavek na anonymitu, tedy že běžný ovčan nemůže dohledat na základě IP adresy na koho je registrovaná přípojka.
Co ale nechápu je to, proč nechceš, aby bežný ovčan nepoznal, že píše ze dvou různých účtů. To jako, že teď ses na rootu totálně ztrapnil, takže začně psát pod nickem "Y" a nikdo nic nepozná?

Ne, to jako že tobě nic není do toho, co píšu na weby o lokomotivách.

"Ne, to jako že tobě nic není do toho, co píšu na weby o lokomotivách."

1) Tvoje osoba mi je totálně u řiti.
2) Stejně by se to dalo poznat (příspěvek z IP 1.2.3.4 psaný naprostým idiotem).

1) To jsem rád. Měj se pěkně.

Ahoj,
nebojte se konfigurace fw a nebojte se oprostit od toho překladu adres. Buďte dusledný jak v zabezpečení (fw), tak v anonymizaci (VPN, TOR, ...). Add anonymizace. I v rámci jedné IP adresy jste anonymní. Nikdo přeci nemůže říci, že jste u toho stroje seděl právě vy. Například z mé stanice se může přihlásit několik uživatelů (mám Linux). ... Normálně bych vám neoponoval, ale kdo jednou řešil problémy s NATem, ten musí stát rozhodně na druhé straně barikády a to i přes jistou netriviálnost a syrovost IPv6. :-)

Pokud každý uživatel dostane jeden pevný /22 IPv6 rozsah jenom pro sebe, lze očekávat, že každý příspěvek odeslaný z jednoho IPv6 rozsahu patří jednomu a témuž uživateli.

Nemyslím si, že je někomu něco do toho, co píšu a kam chodím kde jinde na internetu. I kdyby měl tak bohulibé účely, jako je třeba cílení reklamy.
Inu... Na svém linkedinu jméno a fotku mám. Linkedin používá google analytics.
Tudíž pokud vlezu na jiný web, kde je také google analytics (třeba root) a něco tam napíšu, tak google dostane informaci o tom, že já, P.N. jsem napsal komentář na rootu.
Ano, používám něco, co se GA a podobné zmetky snaží odstřihnout, pochybuji ale, že to má stoprocentní úspěšnost.

Ne uživatel, ale přípojka od ISP. To je trochu rozdíl. A /22 nedostaneš ani náhodou.

To číslo jsem dával jenom jako příklad. U menších rozsahů je to totéž.

TOR je taky proti pravidlům? WiFi router od ISP za oknem a nepoužívání vnitřní sítě je nelegální?

Kdo chce, hledá způsoby, kdo ne, hledá důvody.

Nah, na TORu mě štve obrovská latence a nepoužitelná rychlost. To na běžné internetění není. Použitelné wifi v okolí taky nejsou. Běžně tu komunikaci tuneluju přes domácí server, ale ten má taky pokaždé stejnou veřejnou IP adresu.

@Z

"Anonymita. Nechci, aby běžní lidé (=kdokoliv krom policie, armády, tajných služeb a mého ISP) dokázali poznat čistě na základě času a IP adresy, zda jsem něco někde na internetu psal já, nebo ne."

S tak debilními názory se ani nedivím, že chceš anonymitu.

Tvoje myšlenkové pochody o anonymitě jsou dost odrtržené od reality:

1) Když tě někdo bude chtít identifikovat, použije fingerprinting browseru, takže tě identifikuje ještě spolehlivěji než podle IP.

2) Jak se liší současný stav, kdy máš IPv4 a jsi za NATem, ale je vidět veřejná IP tvého poskytovatele od situace, kdy máš veřejnou IPv6 se zapnutým privacy extensions a běžný člověk si dohledá dle prefixu také pouze tvého ISP?

U 2) rozdil je. Kdyz ted vleze na nejakej web, ten vidi adresu 1.2.3.4 a za tou je treba stovka ruznych pripojek/domac­nosti. Zatimco kdyz tam vleze s 2001:2:3:4:<c­okoliv>, da se predpokladat, ze je to porad jen jedna pripojka. Snem Z ovsem je zustat u IPv4 a aby ISP dynamicky natoval idealne na celej svuj verejnej rozsah, takze server by videl treba 1.2.3.<neco> a moznych uzivatelu, kteri z tech adres prisli, by bylo aspon par tisic. :)

Říká člověk, který sedí za torem..

1) Kombinace fingerprintu browseru a IP adresy identifikuje účinněji než samotný fingerprint. Nehledě na to, že s fingerprintem se dá dál pracovat.
2) Privacy extensions v IPv6 funguje pokud vím tak, že ISP rozdělují rozsahy. Každý uživatel dostane svůj (třeba) /64 rozsah a privacy extensions říká, že mi každou chvíli dá jinou IP adresu z toho mého rozsahu, ne? No ale moment. Pokud vím, že daný ISP dává uživatelům /64 rozsahy, tak vím, že všechny zprávy poslané z jednoho /64 rozsahu adres patřícího tomu ISP jsou poslané jedním uživatelem....

Hint: A co když ho neurčí? ;-)

HINT: Panopticlick dává celkem slušný odhad.

Nemohu si pořídit připojení od 20 ISP.

Mohu svůj fingerprint měnit.
A mohu být dokonce tak ďábelský, abych používal více prohlížečů. A to třeba i z nějakého virtuálního počítače.

@Z

1) Jo a kombinace otisku prstu a čísla velikosti bot identifikuje účiněji než samotný otisk prstu. Přesto tě velikost boty nemusí vůbec trápit, když znáš otisk prstu.
2) Prefixy /64 dávají jen zmrdi. Správně se má přidělovat /48 a nebo nejméně /56.
A co jako? Je problém, když se bude vědět, že ty zprávy šly ze sítě jednoho uživatele?

Ten /64 má ISP a z něho čerpá adresy pro zákazníky. Pro domácnost (jedna síť) je standard /48, takže 65536 domácností.

Pokud nejsou nikde registrovaní jednotliví zákazníci, tak se podle IP dá dohledat právě jenom ten ISP (/64) a dalších 16b funguje jako "transparentní CGNAT", takže z toho je sice poznat přípojka, ale nedá se dohledat její adresa a konkrétní člověk (pokud si na ní někdo nespustí nějakou veřejnou službu s veřejným záznamem). Tyhle bity se používají na "prostřelení" CGNATu, pokud che někdo komunikovat napřímo, nebo odpovědět.

Dalších 48b se mění naprosto náhodně a není poznat, co za stroj v síti to dělá. Tam už stejně nastupuje třeba víra ve zbytečnost https a další pověry.