Vlákno názorů k článku
Den za skutečný internet v úterý 6. června, napište svému poskytovateli
od Vladimír Cejvik Bílek - Ono už moje.o2.cz podporuje IPv6?
Zavádění IPv6 mělo smysl...
-
Filip JirsákStříbrný podporovatelZaměňujete příčinu a důsledek. P2P aplikace nevznikají, protože by skoro nikomu nefungovaly. Až bude dostatečný podíl IPv6, P2P aplikace se zase objeví.
-
L.Stříbrný podporovatelNeobjeví. Protože typicky bude v cestě alespoň jeden firewall, co to stejně zařízne.
-
Jan HrachStříbrný podporovatelNa druhou stranu dneska poskytovateli nikdo nebrání každému uživateli automaticky forwardnout na svém NATu třeba 20 portů -- a nedělá to skoro žádný…
-
BobTheBuilderStříbrný podporovatelWTF?
Provideři, kteří stojí počtem klientů za zaznamenání, používají CGNAT. Tam žádný port nejde forwardnout, dokonce ani dvě různá spojení nemusí jít ze stejné veřejné IP adresy toho CGNATu.
A když je to menší provider, který by byl ochoten forwardnout nějaký port, určitě to nebude 80 a 443, takže zapomeňte na web nebo aspoň na Let's Encrypt certifikát přes acme.sh -
Filip JirsákStříbrný podporovatel
Bylo by to složité jak pro poskytovatele – musel by udržovat vazbu mezi klientem a jednou veřejnou IP adresou a dvaceti porty; přišel by o možnost ty IPv4 adresy podle potřeby měnit. Tak by to bylo složité pro klienta – musel by ty porty dál přesměrovávat na svém routeru. A bylo by to složité pro tu službu – nestačilo by zadávat DNS název nebo IP adresu, musel by se zadávat ještě port.
-
Jan HrachStříbrný podporovatel
To ne, ale některé služby mají port nastavitelný přímo v DNS záznamu (SRV záznam) a někdy se to dá překousnout (SSH mám v konfiguraci a na web můžu lízt na nestandardní port pokud to používám jen já/lidi s odkazem a není to „profi“ web).
-
L.Stříbrný podporovatel
Nevím, která léta myslíte tou "zlatou érou BitTorentu". Nicméně dneska si žádný poskytovatel nemůže dovolit vystavit BFU zákazníky jen tak do internetu, protože by za chvíli neřešil nic jiného, než "Hej, někdo od vás hackuje / ddosuje naše servery!"
-
Filip JirsákStříbrný podporovatel
Mohl byste jmenovat alespoň dva ISP, kteří na firewallu blokují příchozí spojení ke klientům? Záměrně píšu dva, protože předpokládám, že máte nějakého šíleného ISP, který to dělá – ale pak je osamocenou výjimkou (naštěstí).
-
L.Stříbrný podporovatel
Jirsák: P2P aplikace nemohou fungovat, protože ISP blokují příchozí spojení!
Jirsák o den později: Mohl byste jmenovat alespoň dva ISP, kteří na firewallu blokují příchozí spojení ke klientům?Dál asi nemá smysl komentovat.
-
L.Stříbrný podporovatel
Včera 21:53. Pravda, ne přímo. Ale celá diskuse je o tom, že P2P aplikace nefungují, protože se málokdy mohou spojit přímo z klienta na klienta.
-
Včera 21:53. Pravda, ne přímo.
Tam ale není ani slovo o tom, že by to mělo být kvůli tomu, že to ISP blokuje firewallem. Naopak, pokud je tam něco řečeno nepřímo, tak z věty o tom, že s IPv6 se P2P aplikace zase objeví, mi vychází, že tenhle důvod na mysli určitě neměl.
Co můžu říct z vlastní zkušenosti, tak tam, kde jsem měl připojení s pevnou a globálně routovatelnou adresou, mi ISP nikdy příchozí provoz neblokoval (nanejvýš to někdy nabízel jako službu navíc).
-
Filip JirsákStříbrný podporovatel
Proč by to dělal? Navíc by to byl firewall klienta, kde si to bude moci snadno povolit. Pořád bude pro provozovatele služby mnohem jednodušší napsat do návodu „povolte příchozí komunikaci na firewallu“ než „zařiďte si u ISP veřejnou IPv4 adresu“.
-
L.Stříbrný podporovatel
To není pravda. "zařiďte si u ISP veřejnou IPv4 adresu" má 38 písmen, kdežto "povolte příchozí komunikaci na firewallu" má 41 písmen. Tedy jednodušší (nebo alespoň rychlejší) je napsat "zařiďte si u ISP veřejnou IPv4 adresu".
Ale jinak je to prašť jako uhoď, BFU nebude ani u jednoho vědět o co jde, takže mu to stejně nebude fungovat.
-
Filip JirsákStříbrný podporovatel
Chápu, argumenty nemáte. Klientovi to bude fungovat, protože když neví, o co jde, nemůže firewall na routeru ani zapnout, takže nebude potřeba ho ani vypínat.
-
L.Stříbrný podporovatel
Ten firewall může být nějak nakonfigurovaný by default. A jsme zase v p***
Argument mám, ale vy ho nechápete, nebo děláte, že ho nechápete. Dneska je možné z bezpečnostních důvodů otevřít volně do internetu pouze tu síť, kterou spravuje někdo znalý. A to BFU není. Takže je nutné síť takového BFU "preventivně" zablokovat zvenku firewallem.
-
BobTheBuilderStříbrný podporovatel
Mám v pořadí druhého providera s IPv6 a asi tak 4. - 5. router/modem.
Všechny měly by default zapnutý firewall na IPv6 a co jsem chtěl mít zvenku přístupné, musel jsem povolit.
To je uspokojivý stav: kdo nic neví/nemá/nepotřebuje, nemusí se o nic starat. Kdo to chce/potřebuje, nastaví si to. -
Filip JirsákStříbrný podporovatel
Je to opačně. Aby firewall plnil svou funkci, musí ho provozovat někdo znalý. Drtivou většinu domácích sítí je potřeba z hlediska bezpečnosti považovat za sítě otevřené do internetu. Protože i když jsou třeba za NATem, nikdy nevíte, zda tam není nějaké zařízení v moci útočníka, přes které se lze dostat na všechna ostatní zařízení.
Opravdu by bylo dobré, kdybyste uvedl ISP, který komunikaci z venku blokuje na firewallu. Zatím to totiž vypadá, že si jen vymýšlíte.
-
Znám jen jednoho takového ISP. IPv6 jim šlape krásně, ale ten implicitní IPv6 firewall na straně sítě je takový... zvláštní.
Na požádání to ale pro konkrétní přípojku hned vypli.
https://windyghoul.cz/internet.phpOstatní ISP nechávají firewallovat až routery u zákazníků.
-
Ty zjevne nechapes, ze je zasadni rozdil dat branu pred dum ke kteremu vede silnice, protoze nechci aby mi na ten muj dvur jezdil jen tak ledackdo vs nemit tu silnici vubec, takze si neprivezu nic ani sam (ale muzu si objednat dopravu treba letecky, vynesou to do vesmiru a pak mi to na dvore pristane).
-
Filip JirsákStříbrný podporovatel
Ve skutečnosti IPv4 došly mnohem dříve, než skončily P2P aplikace. IPv4 adresy došly někdy kolem přelomu tisíciletí, věci jako Skype nebo BitTorrent existovaly dávno po tom.
ČLÁNKY DO MAILU