On 12/05/2019 17:13, Mateusz Viste wrote:
>> Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT =>
>> DROP.
> Ale ja się pytam które. Tak konkretnie.

Przecież tego jest na tony w necie. Tu masz przykład:

https://en.wikipedia.org/wiki/Application-level_gate
way

> Bo póki co podałeś tylko FTP, a
> to mocno chybiony przykład - by nie powiedzieć mętna dezinformacja.

Nic nie jest chybione. W latach 90 znalezienie serwera ftp z trybem
pasywnym było mało prawdopodobne. Sytuacja utrzymywała się do co
najmniej 2005 roku. Do dzisiaj widuje serwery ftp, głównie
uniwersyteckie mirrory, które albo nie mają trybu pasywnego albo mają
tylko dla wybrancyh hostów. Nic dziwnego że sporo serwerów ftp ma
równolegle dostęp przez www.

>> Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję
>> to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp
>> od czasów wcześniejszych niż pamiętam.
> Brzydkie hacki

Nie, to część integralna NATa, powstała razem z nim. Który sam z siebie
jest lub nie hackiem, podobnie jak firewalle.

> implementacjach NAT, jak i w implementacjach firewalli. Co więcej,
> wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie
> proste.

O ile nie musisz wspierać protokołów "aktywnych". Wtedy nagle staje się
mniej trywialne.

> Wsparcie tego samego w NAT natomiast wymaga nie lada magii:
> przepisanie części streamu TCP aby podmienić adres i port przedstawiany
> przez klienta, przeliczenie na nowo checksumów TCP, przesunięcie numerów
> sekwencyjnych, wykonanie tymczasowego przekierowania danego portu po
> stronie WAN, no i śledzenie tego całego bałaganu aż do końca połączenia
> kontrolnego.

Całkiem sprawnie sobie z tym radzimy od lat 90 co najmniej. Ogólnie
internet to bałagan jest i jakoś sobie radzimy. Ipv6 tak na marginesie
tylko dorzuca swoje głupoty do całości bałaganu.

> W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
> kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.

Czemu na kilka sekund ;) ?

> Przy czym cały czas mówimy o czymś, co powstało 40 lat temu i w praktyce
> dziś już nie występuje - wszelkie sensowne implementacje FTP od bardzo
> dawna wspierają (i preferują) PASV.

Wyłącz i pouzywaj internetu jako superuser a nie suweren. Sprawdzisz w
praktyce. Na ten przykład nie da się łaczyć do niektórych usług VPN.
Suprise.

>> Spróbuj wyładować moduły jądra w routerze
>> odpowiedzialne za to wsparcie, spora część usług w necie umrze.
> Ponawiam pytanie - czym jest ta "spora część usług"?

Link powyżej.

> Wcześniej pisałeś,
> że połowa. Które to protokoły? A w szczególności - na co Marcin, jako
> użytkownik końcowy, powinien zwrócić uwagę zastępując u siebie NAT
> firewallem?

Suweren potrzebuje facebooka, porno i to mniej wiecej tyle. Dla niego
internet może działać na płynny rosół, nikogo nie będą interesować
duperele techniczne.

Niestety mnie interesują.

> No i do tej pory nie rozumiem, za czym postulujesz. Czy za tym, aby
> zlikwidować wszystkie firewalle świata, bo NAT jest fajny i bezpieczny?

Nat ani fajny ani bezpieczny. Ale jak to zwykle bywa w IT już dawno
zdobył świat i nie będzie lepiej. I ja go wcale nie chce, jak chce
statyczny numer IPv[4|6] ale ja nie jestem suweren. Moje zdanie się nie
liczy. Nastepny numer jaki dostane od dostawcy internetu będzie za
NATem. Czas się pogodzić.

>> Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało
>> sensowne.
> Trend w kierunku IPv6 utrzymuje się od kilku dobrych lat.

Owszem trend jest. Np. moje T[h]uje rosą od kilku lat po parenaście cm.
Czyli trend jest.

> Nic nie
> wskazuje na to, by zainteresowanie tym tematem malało - wręcz przeciwnie.

Tak, nic nie wskazuje na to aby moje T[h]uje miały maleć.

To świadczy o tym że za chwile zdobędą świat. Jak zdążą przed śmiercią
termiczną wszechświata oczywiście.

> Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z
> 1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM

Wow. Czas się wynosić z IPv4 i oglądać te kilka stron na 6 podnosząc
statystyki.

>> Cały internet działa po 4 i raczej nie zmieni się to w
>> najbliższym czasie
> Legacy IPv4 zostanie z pewnością na długo. Nie zmienia to faktu, że
> internet IPv6 cały czas rośnie, a pojawienie się powszechnych usług IPv6-
> only jest tylko kwestią czasu.

Tak, też na to liczyłem. Kilka lat temu zrobiłem sobie w domku
infrastrukturę IPv6 ready. Podpieli internet z IPv6. Ale nie działa.
Zapytałem czemu nie działa skoro w umowie jest że działa. No więc nie
działa bo nikt nie pytał i "chyba się popsuło jakoś kiedyś, nie wiadomo
kiedy". Nie, nie naprawili. Na co to komu, Panie...

>> a te śladowe ilosci ipv6 na które stać tylko duże firmy nic nie dały -
>> dalej cały ruch odbywa się po ipv4 ze śladową ilością ipv6 i oni mają
>> to bardziej dla picu nic z sensownych powodów.
> To ciekawa teoria, jakoby duże, poważne firmy inwestowały od lat w coś
> tylko dla jaj. A twierdzenie, że na IPv6 stać tylko duże firmy to kolejna
> rażąca próba dezinformacji. Nie umiem odgadnąć co tobą kieruje - masz
> jakieś stare pule IPv4 do sprzedania?

A więc SPISEK! To było wiadomo od początku!

Duże firmy inwestowały sobie w IPv6 bo należeli do róznych konsorcjów
zajmujących się tym tematem, bo było to marketingowo istotne aby
błyszczej jako nowoczesne, bo im rozwiązywało jakieś problemy
wewnątrzne, bo było cool itd itp. Na zewnątrz wystawili kilka stron i na
tym koniec. Kurtyna. Czekamy na akt 2, czyli wejście chińczyków a może i
rosjan robiących własne internety.

> Tacy "malutcy" samowolnie tego nie zrobią, bo im się faktycznie nie chce
> i/lub nie mają czasu i/lub wydaje im się, że są mądrzejsi od reszty. Na
> szczęście to nie oni wyznaczają kierunek rozwoju i w pewnym momencie będą
> zmuszeni przejść na IPv6 aby przeżyć. Może nie dziś, i pewnie jeszcze nie
> jutro - ale prędzej czy później to nastąpi.

No to czekamy do pojutrza. Na chwile obecną w mojej okolicy nie ma ani
jednego dostawcy domowego internetu który ma taki ficzer. Poza dużymi
stronami pozostałą część infrastruktury netowej działa po staremu bez
śladu potrzeby zmian. Suweren nie ma potrzeby. Należy liczyć aby
powstała jakaś usługa z okolic darmowego porno, działająca tylko na
ipv6. Wtedy operatorzy internetu na wyścigi dorzucą ten ficzer. A tak,
nie masz szans na użycie sobie.

PS. Kilka lat temu tunelowałem sobie ipv6. Ale tunel zamkneli. To
zmieniłem tunel i też zamkneli. To następny i ... zamkneli. No i dupa.
Deewolucja.

Jak chcesz się bawić to się baw. Przecież ja też tego nie robiłem z
sensownych powodów.