Nevyhody NATu

[Jiri Rosenmayer]

On Fri, Aug 02, 2002 at 10:31:18AM +0200, Juraj Lutter wrote:
> On Fri, Aug 02, 2002 at 10:18:30AM +0200, Jiri Rosenmayer wrote:
> > Samotnyho by me zajimalo, jak se s timhle v budoucnu vyporada svet IPv6. 
> > 
> > Na jednu stranu bude tolik IP adres, ze NAT nebude potreba. Na druhou stranu
> > se urcite najde nekdo kdo bude NAT chtit pouzivat kvuli bezpecnosti. Budou
> > ty sluzby naprogramovany dobre, ze se vyporadaji s NATem, nebo budou udelany
> > blbe a zase budem v ...... ?? Za podobny pripad povazuju IP options, ktere
> 
> V principe nieje ziadny rozdiel v NAT pre ipv4/ipv6. Nakoniec, aj pri
> verejnych IP adresach sa da firewallu povedat ako/co ma
> prepustat/blokovat, takze nevidim prehnany dovod na obavy pri nasadeni
> IPv6 do ostrej prevadzky.

To samozrejme ano, NAT lze v IPv6 bez problemu udelat. Ale kdyz si prectete nejaky
clanek o tom, co nam ma IPv6 vyresit, tak jednou z veci jsou peer2peer sluzby,
ktere casto neni mozne pouzit kdyz mam NAT. Ale kdyz pouziju v IPv6 NAT, tak se
moznosti pouzivat P2P zbavim taky. Navic, dnes v IPv4 kazdy vyvojar pocita s tim, ze kdyz vyvine
novou aplikaci, ze by asi mela chodit i kdyz v ceste bude NAT, protoze skoro jakakoliv sit
je schovana za NATem. V IPv6 si vyvojar muze rict: "IP adres je dost, nevim proc bych se 
mel trapit s najakym NATem ve sve aplikaci". 

Vzpomente na problemy NATu v IPv4. FTP je priklad sam pro sebe, vzpominam si, ze 
driv Linux neumel prekladat ICMP, clovek si musel patchovat jadro ( tohle teda nepamatuju,
jsem moc mladej, ale vim o tom :-)) ), IPSec to umi jen kdyz podporuje variantu pres UDP.  

A to stejny jsem mel na mysli s IP options.

				Jirka


> 
> otis
> 
> --
> Juraj Lutter
> http://wilbury.sk/
> bgpd eats bugs for breakfast.
> 


---
Jiri Rosenmayer
Vedouci odd. security
SkyNet, a.s.
Ptasinskeho 309/6
CZ 602 00 Brno

http://www.skynet.cz
tel: +420 5 41 59 41 59
fax: +420 5 41 59 41 00
e-mail: Jiri.Rosenmayer at SkyNet.Cz
PGP fingerprint: 1907 1F79 CC70 74EE FC55 F649 5651 33A4 50D4 ABB9