DHCP / DHCP6

Dan Lukes dan at obluda.cz
Tue May 5 18:33:37 CEST 2015


On 05/05/15 17:13, Jan Dušátko:
> To co resim je spise co vubec pro IPv6 dovolit a nedovolit, protoze komunikace, a zvlaste nekontrolovana je
> rizikem.

Ale v tomhle se IPv6 nijak zvlast od IPv4 nelisi. Zrejme tam, kde's 
povoloval TCP spojeni pres IPv4 ho ve stejnem rozsahu povolis i pro 
IPv6. A dalsi otazku analogicky.

Jestli myslis na IPv6 speciality, ktere svuj obraz v IPv4 nemaji, tak 
jasne, tech tam par je. Pro zacatek se podivej, co zakazat nesmis ;-)

Nahledni do /etc/rc.firewall na funkci setup_ipv6_mandatory()

Ale ted bys spis mel resit jak uz dneska Windowsum zakazat vsechny ty 
tunely. Protoze co je ti platnej firewall pokud ma kazda vnitrni stanice 
verejne dosazitelnou IPv6 adresu.

Tedy:
>  CM="### Deny 6to4, Teredo, ISATAP ###"
>  $fwcmd add 1050 unreach filter-prohib ip4 from any to any proto ipv6 via ${out} // $CM
>  $fwcmd add 1051 unreach filter-prohib udp from any to any 3544 out xmit ${out}

>>> hledam prave i branu pro IPv6-IPv4 komunikaci

> Pro zacatek IPv6 klientum komunikovat s IPv4 protistranou

No, slysel jsem, ze to nekteri cinsti provideri tak maji. Ale nikdy jsem 
to sam nevidel a ani neslysel o nekom skutecnem a konkretnim, kdo by to 
tak doopravdy mel.

Technologicky je samozrejme mozny z IPv6 vybalit TCP komunikaci a 
prebalit ji do IPv4. Jen je treba dobre zvolit zdrojovou IPv4 adresu a 
port abys to pri navrati dokazal prehodit zase zpatky, ale to je vec 
celkem dobre znama z klasickyho prekladu na IPv4. V IPv6 prostoru je na 
tohle vyhrazeny prefix, ktery obsahuje cely IPv4 adresni prostor.

Na FreeBSD pro to existuji i nastroje - faith interface a faithd daemon. 
K tomu navic potrebujes specialni DNS resolver konvertujici A odpovedi 
do AAAA zaznamu, protoze aplikace s IPv6-only konektivitou nehleda A 
zaznamy a bez konvertoru by se o TCP spojeni nepokusila, neb by nevedela 
kam ...

... ve skutecnosti je asi daleko jednodusi a z funkcniho hlediska 
jistejsi jim k tem IPv6 adresam proste nahazet prekladany privatni IPv4 
adresy. To je lety dost provereny zpusob reseni nedostatku IPv4 adres. 
Mozna proto je tezky takovou IPv6 only sit v realu potkat.

> IPv4 klientum umoznit komunikovat s IPv6

To jde v obecnosti dost tezko. Do cilove IPv4 adresy se proste nevmackne 
informace o tom, kam v celem obrovskem IPv6 prostoru chces komunikovat.

Ale pro specialni pripady reseni existuji.

SMTP a DHCP je jednodussi provozovat lokalni. Typicky koncovy uzivatel 
dneska nepouziva prakticky nic jinyho, nez www prohlizec, takze nam 
zbyva vyresit HTTP(s). Na to mu staci pres autokonfiguraci (DHCP a/nebo 
DNS) vnutit HTTP proxy, ktera sama nativni IPv6 konektivitu ma. A v tu 
ranu ma konektivitu na IPv6 HTTP servery i koncovy uzivatel. Vcetne HTTPS.

Taky jsem to tak nejakou dobu mel, nez jsem narazil na vykonostni limity 
proxy. Pak jsem to zrusil a bylo po vykonostnich problemech ;-)

>> Proste to delej tak, jak's to doted delal s DHCPv4, jen dvakrat.
> Prave to 2x je pro moji lenost jako mavani rudym hadrem pred rozzurenym

Nepredpokladam, ze ty soubory editujes rucne. Pokud je generujes, tak to 
znamena, ze ten script upravis tak, aby misto jednoho konfiguraku 
generoval dva. Nadale ale budes samozrejme stale volat ten svuj jediny 
generujici script. Jednou.

On 05/05/15 17:24, Ivo Hazmuk:
> A uplne jsme zapomneli na multicast.

A z opacneho konce jsme nezminili, ze nam z IPv6 uplne ukradli broadcast ;-)

Dan






More information about the Users-l mailing list