IPv4 бояре vs IPv6 бомжи

Ну слегка подорожало, бывает.

v6 нужно, только сетевики на аппаратуру раскошеливаться не хотят.

Интересно, реполоджи предупреждала, мол, вы подключены по айпи версии 4, поддержка которого может стать слишком дорогой в будущем.

Видимо, таки дорожает.

У меня ipv6 не поддерживает провайдер, а мне по барабану, он еще много кем не поддерживается.
Помимо хетцнера есть еще много других хороших хостеров.

А вообще, старая шарманка, надоело уже. Пора б уже IPv8, с прицелом на межпланетный интернет, запилить. Потом же будете ныть, что у Марса полно неиспользуемых подсетей IPv6, а на Земле они целых три кредита стоят.

это еще норм. мой провайдер берет 6 евро/мес за статический адрес

Африка становится мировым хостером, каждое племя держит свой датацентр в деревне...

Главное чтобы UUID-ы не подорожали. Потому что вслед за UUID-ами подорожают сначала int64_t, потом int32_t, а под конец и до char доберутся, ироды.

Ну да, когда до внедрения IPv8 дойдёт, мы как раз может опять в космос летать начнём.

Вот зачем ковид изобрели, теперь всё понятно! Чтобы IPv4 адреса экономить

Ну, китайцы подали заявку на регистрацию протокола IP-new или как-то так. Т.е. инет мало того что (может) развалится на региональные сегменты, там ещё и протоколы будут разные.

IPv6 положа руку на сердце не нужен. Собаке пятая нога. В «классическом» варианте без NAT это ещё и огромный шаг назад.

В «классическом» варианте без NAT это ещё и огромный шаг назад.

ты из этих штоле

Коммуналка vs отдельная квартира в чистом виде. Хотя, в какой-то степени это «в духе времени», коворкинги-коливинги и вот это вот всё. :) Тоже считаю маразмом и банальным разводом.

Китайцы собираются к 2030 году полностью на ipv6 перейти, выкинув ipv4 на мороз. А ip new, это, как я понял, больше про требования к прикладным протоколам и про регулирование сетей по собственным правилам, а не по навязанным IANA

Китайцы собираются к 2030 году полностью на ipv6 перейти, выкинув ipv4 на мороз.

Вопрос не в том, что так можно, а в том, что в этом ну нет необходимости. Работал и работаю в трёх провайдерах, ну нет какого-то дикого спроса на белые ip, нехватки и т.д.. Диапазоны продавали и сдавали в аренду другим операторам, потому что ну нафиг не нужно столько, сколько нахватали у RIPE первоначально. Полторы калеки берут по 150 рублей в месяц (офигеть как дорого да?) для собственного почтовика и всё. И это исключительно фирмы. У физиков для подкроватных сервачков(с) думаю потребность ещё меньше.

Да идите вы в жопу с таким подходом, мудаки. Меня вот дико не устраивает неоднозначности в адресации, когда у тебе приходится за одним адресом прятать десятки компьютеров и всякого выкручиваться, или же платить за использование чисел.

И это ещё не говоря о том, что вы рекламируете вышли услуги как «доступ к интернет», а по факту это доступ только к IPv4-интернету, для доступа к v6 нужно ещё с отдельной компанией-брокером договариваться.

для доступа к v6 нужно ещё с отдельной компанией-брокером договариваться

ipv6 идёт в нагрузку, хоть обожрись. 99% клиентских устройств про него не знают или не настроены должным образом. Почему? Потому что никому не нужно, видимо. Дома ростелек тоже его просто так выдаёт, ну да я могу открыть какую-нибудь специальную страничку яндекса и увидеть, что у меня ололо-ipv6 есть. Смысл практический какой?

Практический смысл в том, что все адреса уникальны по умолчанию и их много. При необходимости можно адресоваться к любому устройству, без необходимости на коленях выпрашивать адреса по одной штуке за раз.
Ещё не возникнет проблем с не-уникальными адресами, когда понадобится объединить несколько локальных сетей.
Простые люди не покупают ipv4 адреса пачками не потому, что оно им не надо, а потому что за воздух платить никто не хочет. В текущей ситуации им гораздо выгоднее купить 1 адрес, а остальное построить на костылях. Но измерять потребность лишь по способности платить за услугу в корне не верно. Очевидно, что отсутствие прозрачной адресации препятствует нормальной работе и развитию некоторых технологий, и мы не можем адекватно оценить потребность в них.

всё верно, NAT - коммуналка

Почему? Потому что никому не нужно, видимо.

Не надо ля-ля. У меня в окрестностях только один провайдер даёт ipv6 и то неофициально. Он как бы есть, но про это нигде не говорится. И это не тот, который у меня сейчас.

Т.е. сначала v6 хрен достанешь, а потом удивляются, что его никто не использует.

Частная сеть, из которой можно выходить во внешний мир, это как раз квартира. Это твоё пространство, под твоим администрированием, куда из внешнего мира нельзя влезть никак. В чём тайный смысл, чтобы всю твою внутреннюю топологию видел весь мир?

Это твоё пространство, под твоим администрированием, куда из внешнего мира нельзя влезть никак.

Достаточно прописать маршрут 192.168.0.0/16 или что там у тебя на соседнем с твоей сетью маршрутизаторе в твою сеть, и можно невозбранно лазить. Для контроля доступа есть файервол.

Практический смысл в том, что все адреса уникальны по умолчанию и их много. При необходимости можно адресоваться к любому устройству

а ты хочешь, чтобы _любое устройство_ было доступно по умолчанию отовсюду? выпустить миллионы роутеров с дырявыми прошивками столетней давности и миллиарды компов голой жопой в интернет?
99% обычных людей в интернете смотрят котиков, а не поднимают какие-то сервера, к которым позарез нужен прямой доступ. более того, они знать не знают ни про какие айпи-адреса и не хотят знать. и сейчас они могут спокойно сидеть за провайдерским маршрутизатором и в буй не дуть.
это ни разу не оправдыват торговлю воздухом (и да, 150 рублей в месяц за какие-то виртуальные циферки - это реально перебор), но белый айпи на каждой железке - такое нафиг никому не уперлось

О какой голой жопе ты вообще говоришь? В любом современном раутере есть фаервол, который закрывает любые жопы, как пердящие по IPv4 + NAT, так и по IPv6 без NAT. Использование свойств (на самом деле технических недостатков) NAT-а вместо нормального фаервола есть ламерство и идиотизм. И вообще NAT не stateless, что приводит к потере производительности и разрыву TCP соединений, в случае перезагрузки раутера. Нафиг нафиг такое убожество!

тоже получил сообщение. ну и самые дешевые клауды их тоже подоррожали на 1 евро.

и сейчас они могут спокойно сидеть за провайдерским маршрутизатором и в буй не дуть

…за исключением маленькой неудобности, что чтобы поискать в гугле надо капчевать, и бана по айпи на случайных форумах.

И вообще NAT не stateless, что приводит к потере производительности и разрыву TCP соединений, в случае перезагрузки раутера.

В современных реалиях слабый аргумент, т.к. без stateful firewall жить один фиг нельзя.

В мультиплеерные игры по интернету игрокам за NAT играть без сервисов-посредников неудобно.

Зачем кому-то может понадобиться stateful firewall в раутере, тем более в домашнем раутере? Такой firewall если и нужен, то лишь на самом хосте. Более того, NAT ни коем образом не stateful firewall, даже отдалённо. То есть аргумент о меньшей безопасности IPv6 в связи с ненужностью там NAT попросту несостоятельный.

В смысле, кому может понадобиться? Он там и так есть. Как ты собираешься резать входящие подключения, не зная состояние соединения?.

Пора б уже IPv8, с прицелом на межпланетный интернет

ipv6 на солнечную систему хватит я думаю. Там примерно 18 квинтиллионов сетей по 18 квинтиллионов адресов в каждой.

ну можно колво адресов поделить на 10, а кол-во сетей примерно на 1.2 чтоб реалистичнее.

В смысле, кому может понадобиться? Он там и так есть. Как ты собираешься резать входящие подключения, не зная состояние соединения?.

А зачем мне их знать в раутере? Я просто настрою DENY на все порты по умолчанию, кроме явно прописанных иначе. Эффект защиты от голых жоп локальных IPv6 хостов будет точно таким же, как от IPv4+NAT.

v6 нужно, но тупые админы не хотят его учить)

И как ты узнаешь порты, необходимые для работы исходящих соединений?

Речь не об исходящих соединениях, а о входящих. Ещё раз, мы обсуждаем безопасность подключения локальной сети без NAT.

Чтобы заблокировать входящие подключения, нужно как-то отличать их от исходящих. Для этого и нужен stateful firewall, т.к. именно он знает с какой стороны было инициировано соединение и его текущее состояние.

Ога, тоже пришло. Пошел зарегал бесплатно Oracle, для впн хватит. Дурачки из Hetzner получали 3 евро, теперь получат не 4, а хер без масла.

Чтобы заблокировать входящие подключения, нужно как-то отличать их от исходящих. Для этого и нужен stateful firewall, т.к. именно он знает с какой стороны было инициировано соединение и его текущее состояние.

Для того, чтобы отличить входящий пакет от исходящего нужно всего лишь знать в каком направлении он маршрутизируется - с какого на какой сетевой интерфейс. Никакой state держать, для этого, не нужно. В случае UDP понятия «соединение» вообще не существует.

Так у тебя что при входящих, что при исходящих соединениях пакеты ходят в две стороны. Если ты будешь резать тупо по портам, то пристрелишь и ответы для исходящих соединений тоже.

Так у тебя что при входящих, что при исходящих соединениях пакеты ходят в две стороны. Если ты будешь резать тупо по портам, то пристрелишь и ответы для исходящих соединений тоже.

Для ответов исходящих соединений используются номера портов из отдельного пула. Естественно их я блокировать не буду.

А что гарантирует, что на этих портах никакое устройство не будет ждать входящего соединения?

NAT от вторжений не защищает.

Если хочется, то одним правилом на роутере запретить форвард входящих подключений и будет «как раньше». Вангую это будет дефолтной настройкой потребительских роутеров.

А касательно того, что удалённый сервер сможет различить, с какого компа ты зашёл, то уже сейчас в браузерах 100500 дырок приватности от передачи user-agent и кук до WebRTC. Если ты эти дырки не залатал, то от IPv6 ничего не изменится, если залатал, то и IPv6 NAT на роутере осилишь настроить (если тебе прямо совсем важно, что сайт не мог различить два коннекта).

Очевидно, резать первый пакет tcp handshake, если он форвардится с внешнего интерфейса в локалку. Зачем тут stateful?

А что гарантирует, что на этих портах никакое устройство не будет ждать входящего соединения?

Соблюдение стандарта, прописанного IANA.

С UDP это работать не будет.

Во, первых, как тут уже заметили, резать надо не только tcp, но и остальные протоколы. А во-вторых, если сбивать только хэндшейк, это все равно даст возможность налить говна в локалку на полной скорости твоего интернет-соединения. Конечно, если у тебя интернет 10мбит, а локалка - 1000, то это не так страшно, но все равно неприятно.

Соблюдение стандарта, прописанного IANA.

Прям так и вижу как авторы бэкдоров выстроились в очередь за стандартами)

Прям так и вижу как авторы бэкдоров выстроились в очередь за стандартами)

Для этого им придётся преодолеть ограничения OS, которая соблюдает этот стандарт на уровне сетевой подсистемы ядра. Если какие-то OS этого не соблюдают, от них следует отказаться.

А какой state может быть у UDP соединений?

У udp формально нет state, но conntrack умеет их отслеживать.
А пересмотреть пул локальных портов в линуксе ты можешь в любой момент, нужны только рут-права.

У udp формально нет state, но conntrack умеет их отслеживать.

Как же он это сделает на раутере? Цепочка обмена UDP пакетами может начаться до того, как раутер перезапустился, и отличить продолжение этой цепочки от начала новой цепочки извне он не сможет.

А пересмотреть пул локальных портов в линуксе ты можешь в любой момент, нужны только рут-права.

Ну вот, нужны рут-права. Борьба с троянами, тем более получающими рут-права на хостах - не функция фаервола на маршрутизаторе.