DHCP / DHCP6
Dan Lukes
dan at obluda.cz
Tue May 5 18:33:37 CEST 2015
On 05/05/15 17:13, Jan Dušátko:
> To co resim je spise co vubec pro IPv6 dovolit a nedovolit, protoze komunikace, a zvlaste nekontrolovana je
> rizikem.
Ale v tomhle se IPv6 nijak zvlast od IPv4 nelisi. Zrejme tam, kde's
povoloval TCP spojeni pres IPv4 ho ve stejnem rozsahu povolis i pro
IPv6. A dalsi otazku analogicky.
Jestli myslis na IPv6 speciality, ktere svuj obraz v IPv4 nemaji, tak
jasne, tech tam par je. Pro zacatek se podivej, co zakazat nesmis ;-)
Nahledni do /etc/rc.firewall na funkci setup_ipv6_mandatory()
Ale ted bys spis mel resit jak uz dneska Windowsum zakazat vsechny ty
tunely. Protoze co je ti platnej firewall pokud ma kazda vnitrni stanice
verejne dosazitelnou IPv6 adresu.
Tedy:
> CM="### Deny 6to4, Teredo, ISATAP ###"
> $fwcmd add 1050 unreach filter-prohib ip4 from any to any proto ipv6 via ${out} // $CM
> $fwcmd add 1051 unreach filter-prohib udp from any to any 3544 out xmit ${out}
>>> hledam prave i branu pro IPv6-IPv4 komunikaci
> Pro zacatek IPv6 klientum komunikovat s IPv4 protistranou
No, slysel jsem, ze to nekteri cinsti provideri tak maji. Ale nikdy jsem
to sam nevidel a ani neslysel o nekom skutecnem a konkretnim, kdo by to
tak doopravdy mel.
Technologicky je samozrejme mozny z IPv6 vybalit TCP komunikaci a
prebalit ji do IPv4. Jen je treba dobre zvolit zdrojovou IPv4 adresu a
port abys to pri navrati dokazal prehodit zase zpatky, ale to je vec
celkem dobre znama z klasickyho prekladu na IPv4. V IPv6 prostoru je na
tohle vyhrazeny prefix, ktery obsahuje cely IPv4 adresni prostor.
Na FreeBSD pro to existuji i nastroje - faith interface a faithd daemon.
K tomu navic potrebujes specialni DNS resolver konvertujici A odpovedi
do AAAA zaznamu, protoze aplikace s IPv6-only konektivitou nehleda A
zaznamy a bez konvertoru by se o TCP spojeni nepokusila, neb by nevedela
kam ...
... ve skutecnosti je asi daleko jednodusi a z funkcniho hlediska
jistejsi jim k tem IPv6 adresam proste nahazet prekladany privatni IPv4
adresy. To je lety dost provereny zpusob reseni nedostatku IPv4 adres.
Mozna proto je tezky takovou IPv6 only sit v realu potkat.
> IPv4 klientum umoznit komunikovat s IPv6
To jde v obecnosti dost tezko. Do cilove IPv4 adresy se proste nevmackne
informace o tom, kam v celem obrovskem IPv6 prostoru chces komunikovat.
Ale pro specialni pripady reseni existuji.
SMTP a DHCP je jednodussi provozovat lokalni. Typicky koncovy uzivatel
dneska nepouziva prakticky nic jinyho, nez www prohlizec, takze nam
zbyva vyresit HTTP(s). Na to mu staci pres autokonfiguraci (DHCP a/nebo
DNS) vnutit HTTP proxy, ktera sama nativni IPv6 konektivitu ma. A v tu
ranu ma konektivitu na IPv6 HTTP servery i koncovy uzivatel. Vcetne HTTPS.
Taky jsem to tak nejakou dobu mel, nez jsem narazil na vykonostni limity
proxy. Pak jsem to zrusil a bylo po vykonostnich problemech ;-)
>> Proste to delej tak, jak's to doted delal s DHCPv4, jen dvakrat.
> Prave to 2x je pro moji lenost jako mavani rudym hadrem pred rozzurenym
Nepredpokladam, ze ty soubory editujes rucne. Pokud je generujes, tak to
znamena, ze ten script upravis tak, aby misto jednoho konfiguraku
generoval dva. Nadale ale budes samozrejme stale volat ten svuj jediny
generujici script. Jednou.
On 05/05/15 17:24, Ivo Hazmuk:
> A uplne jsme zapomneli na multicast.
A z opacneho konce jsme nezminili, ze nam z IPv6 uplne ukradli broadcast ;-)
Dan
More information about the Users-l
mailing list