DHCP / DHCP6
Jan Dušátko
jan at dusatko.org
Tue May 5 21:05:50 CEST 2015
Dne 5.5.2015 v 18:33 Dan Lukes napsal(a):
> On 05/05/15 17:13, Jan Dušátko:
> Jestli myslis na IPv6 speciality, ktere svuj obraz v IPv4 nemaji, tak
> jasne, tech tam par je. Pro zacatek se podivej, co zakazat nesmis ;-)
>
> Nahledni do /etc/rc.firewall na funkci setup_ipv6_mandatory()
>
> Ale ted bys spis mel resit jak uz dneska Windowsum zakazat vsechny ty
> tunely. Protoze co je ti platnej firewall pokud ma kazda vnitrni
> stanice verejne dosazitelnou IPv6 adresu.
>
> Tedy:
>> CM="### Deny 6to4, Teredo, ISATAP ###"
>> $fwcmd add 1050 unreach filter-prohib ip4 from any to any proto ipv6
>> via ${out} // $CM
>> $fwcmd add 1051 unreach filter-prohib udp from any to any 3544 out
>> xmit ${out}
>
Tak jsem se podival na ty tunely, blokuji co jde. Mimo teredo i moje
"oblibene" IPSec, PPTP ....
Ideu transparentnosti komunikace 4to6 a 6to4 opoustim, to by byl
neuveritelny bordel.
> Dan
Diky clankum na lupe a rootu jsem si dal par veci dohromady, ted si ctu
dalsi knizky a dokumentaci. Zacinam mit pocit, ze IPv6 byla na zacatku
krasna idea ... a vznikl z ni neuveritelny bastl. Centralni sprava
obtizna az nemozna, ale firmy vytvarejici zarizeni pro infrastrukturu z
ni musi mit radost (hlavne ekonomicky), protokol zbytecne slozity.
V tuhle chvili resim jak nastavit pravidla + zahazovani extra header,
hop2hop. Protoze jsem se v tom jeste stale nezorientoval, hledam i ktere
"site" mohu odriznout podobne jako na IPv4, ktere dalsi protokoly
nepujdou a pripada mi to strasne rozsahle.
Jsou tu dalsi zalezitosti, ktere musim doresit - destination header,
undetermined transport, packet reassembly (tak to mam na IPv4 +
agersivni politika zahazovani IP+cilene omezeni propustnosti),
To co hledam je funkcionalita napr ra-guard a nd-snooping, coz jsem
zatim nenasel.
Kazdopadne privitam jakekoliv dalsi napady a navrhy. Reseni vypnout IPv6
neni spatne, ale neresi cely problem (Windows a Teredo), stejne tak jako
IPv6 mi prinasi problemy (mobilni platformy a snaha vyhradit jim na male
siti specificke misto).
Kazdopadne z jedineho odpoledne, ktere jsem IPv6 venoval, mam znacne
skepticky pohled na vec. Nejde o to, ze IPv6 je uplne jine nez IPv4. Ale
rozumny zpusob vyvoje je evoluce. Tohle je typicka revoluce.
Honza
--
Jan Dušátko
Phone: +420 602 427 840
e-mail: jan na dusatko.org
SkypeID: darmodej
GPG: http://www.dusatko.org/downloads/jdusatko.asc
More information about the Users-l
mailing list