IPv6
Dan Lukes
dan at obluda.cz
Sun Apr 19 14:14:24 CEST 2015
On 04/19/15 13:37, Zbyněk Burget:
> muj ISP mi dal na vedomu, ze prechazi na IPv6
> Soucasne ale jeste samozrejme funguje i puvodni IPv4.
Aha, takze neprechazi, ale zavadi. To je ale *podstatny* rozdil.
> Tak jsem se chtel zeptat, co vsechno mne ceka za problemy, kdyz na tu
> IPv6 budu chtit prejit.
Vypada to jako slovickareni, ale tim, ze pouzivas spatny slovo o tom
nasledne taky spatne premejslis. Tvuj ISP na IPv6 neprechazi a ty
samozrejme taky ne. Zavedenim IPv6 se na stavajici IPv4 konektivite nic
nemeni.
Co se serveru tyce, zminujes jen SSHD. Ano, to systemove je defaultne
nakonfigurovane tak, ze bude-li k dispozici IPv6, zacne poslouchat (i)
na nem. Tim se v praxi nic nemeni dokud pro jmeno toho serveru
nepublikujes v DNS AAAA zaznam. SSH klient, kterym se tam pripadne
pokusis spojit, nema (bez toho AAAA zaznamu) tuseni, ze by tam snad
nejaka IPv6 byt mohla, takze ji ani nezkusi. A IPv4 funguje jako driv.
Co se klientu tyce, pises, ze tam nic neni, coz znamena, ze tam bud'
skutecne zadny neni, nebo jsi na DNS server zapomel.
I v druhem pripade se ale v podstate nic nedeje. Pripadny DNS server
zacne smerem do sveta pokladat DNS dotazy (i) pres IPv6. To je ale taky
vsechno - odpovedi, ktere tim bude dostavat se (obvykle) nemeni. DNS
typicky nefunguje tak, ze poskytuje jiny obsah pokud dotaz pridje pres
IPv4 a jiny pokud prijde pres IPv6.
> Bude to opravdu tak jednoduche, ze jen nastavim na vnejsim adapteru IPv6
> a zmenim default routu (+ drobnost s ListenAddress u sshd) nebo toho
> bude vic?
Neprechazis na IPv6. Nezmenis default routu. Zavadis IPv6, pridas IPv6
default route.
> Hlavne vic veci, na ktere si budu muset davat pozor, pripadne nejaka
> dalsi bezpecnostni pravidla pro firewall + ? + ?
Zalezi jako ho mas napsanej dosud. Co se tyce blokovani konkretni TCP
respektive UDP komunikace, tam obvykle zadne zasahy nutne nejsou. jestli
firewall blokuje spojeni na TCP port 80, blokuje ho bez ohledu na to,
ktere z IP se na prenosu toho TCP podilelo.
Takze jedine nad cim se je nutne pripade zamyslet jsou "provozni" a
"pomocne" pakety. Napriklad ICMP6. Nebo kdybys snad chtel pri filtrovani
komunikace pouzivat nejake IPv6 specificke informace - treba nejake IPv6
Extension headers.
O neco komplikovanejsi to zacne byt az/pokud se rozhodnes IPv6 nejen
prijmout na vstupnim interface, ale taky nabizet klientum do vnitrni
site. Ale ani tam to neni nejak zasadne slozitejsi.
Navic, uz ted vsichni tvoji Windows uzivatele IPv6 konektivitu, ktera
navic zcela obchazi tvoje firewally, maji, takze z hlediska jejich
bezpecnosti muzes tim, ze jim zacnes IPv6 konektivitu poskytovat
"nativne" tezko neco zasadne zhorsit.
Dan
More information about the Users-l
mailing list