IPV6, érthetően.. ?? Egyszerűen nem értem így valaki magyarázza el úgy, hogy még én is megértsem :) Mi ez ? Évek óta megy itthon egy saját dhcp szerverem (isc dhcp server) de de ipv6 le van tiltva mert nem értettem így beállítani se tudtam.
De most rávettem magam, immáron 10. alkalommal hogy megértsem, és nem értem, képtelen vagyok felfogni.
Alap V4 ismereteim, kb összefoglalva home network használó oldalról nézve kicsit leegyszerűsítve.
Vannak public és nem public címek, private pl 192.168.xx meg 10.x.x.x ezek belső címek.
Itt van esetemben kb 80 cím kiosztva, ezek az itthoni gépek, berendezések és számítógépek.
A többi a külső.
van gateway illeve a router ami felé mennek a csomagok, nat-olja hogy a public ip címről menjenek ki a csomagok és oda térjenek vissza majd ott eldönti hogy melyik belső címre küldözgesse őket.
Ha portot akarok nyitni tudom hogy melyik portot melyik ip cím melyik portjára küldje, beállítom megy.. Ez megy, routeren menüpontok, linux alatt ha az a firewall iptables.
Idáig tiszta.
Azt jön az ipv6 és nem értem. Mi a célja ?? Egyszer olvasom hogy így közvetlenül címezhetőek a belső hálózaton levő egységeim. De akkor hogyan lesz firewall, tehát ha egy gépem nincs rendesen lepasswordozve és firewall sincs beállítva mert home networkon minek akkor most az elérhető ? Próbáltam külső gépről elérni de nem leli így feltehetőleg nem, de ezt írták.
Akkor most mi ez, mire kell hogyan megy ez ??
válasza:Na pont ez a rész nem tiszta..
Azt olvastam hogy kapok egy tartományt. Ha akkor a dolgáltató osztja ki a címet, akkor jól értem hogy a szolgálató routerhe megszűnik tűzfalként működni és tulképpen minden gépem, egységem tűzfal nélkül lesz publikus elérhetőséggel a neten ?
Mert idáig megnyugtatott hogy van egy eszköz (mind1 hogy gép vagy router vagy bármi) ami mögött levő berendezések kívülről elérhetetlenek. Ha csinálok egy virtuális gépet, lehetett a root password egy a betű, lehetett a root logint engedni mert belső hálózaton van.
Most akkor ezentúl nem lehet ??
Vagy esetleg egy esphome bug miatt az 1 dollaros espressif controlleren át ki tudják nyitni a kapumat, meg letölteni a home pornómat ? :) Van 40 ilyen itthon, ha van ipv6 akkor ezeket el tudom érni ? Esetleg a mosógépemben egy bug miatt kikapcsolható a riasztóm ?
Ennek tényleg nem értem hogy mi a célja, az egész egy oltári nagy káosz továbbra is..
válasza:Ez nem igaz. A forgalomnak így is át kell mennie a routeren, ami tud tűzfalként funkcionálni (ha van benne ilyen funkció). Csak olyan lesz, mintha az IPv6 cím első fele (a tartomány) lenne a publikus cím, a második fele (amit a DHCP tesz hozzá és osztja tovább) pedig a privát. Ha a publikus cím mögötti eszköz (router) megfogja a csomagot, nem fog eljutni a céleszközhöz. Annyi a jó az egészben, hogy nem kell port forward, mert a "publikus+privát cím kombinációjával" (a teljes IPc6 címmel) el lehet érni közvetlenül az eszközt, így portütközés se lesz, például ha egy hálózaton ketten játszotok ugyan azzal a játékkal, az gyakran gondot okozott régen, hogy ugyan azt a portot használta volna. Ez megszűnik, mert az IPv6-al meg tudja mondani a küldő, hogy a belső hálózaton belül konkrétan melyik eszköznek szól.
Attól, hogy van egy bug a mosógépben, még nem tudják kinyitni az okoszárad, az egy teljesen másik eszköz más IPv6 címmel. Ha van egy bug az okoszárban, akkor viszont mosógép se kell, közvetlenül hozzá tudnak férni és ki tudják nyitni. Ez viszont kiküszöbölhető úgy, hogy az okoseszközöket nem engeded ki a netre, hanem egy elszeparált hálózatra csatlakoztatod őket, amin át tudnak egymással, az okosotthonos központi egységgel és az oda csatlakozó okostelefonnal kommunikálni, így ha a ház közelébe érsz, felcsatlakozol erre a szeparált hálózatra és tudod nyitni az okoszárat. Nyilván így távolról, neten keresztül nem lehet általad se nyitni, de sok értelme nincs is, így egy értelmetlen funkció feláldozásával biztonságba helyezed magad.
válasza:A tűzfalazás és a forgalomirányítás/NAT-olás két teljesen különböző dolog. Mint ahogy eddig sem tiltotta meg senki, hogy tűzfallal védd a saját hálózatot, ezután sem fogja.
"Vagy esetleg egy esphome bug miatt az 1 dollaros espressif controlleren át ki tudják nyitni a kapumat, meg letölteni a home pornómat ? :) Van 40 ilyen itthon, ha van ipv6 akkor ezeket el tudom érni ? Esetleg a mosógépemben egy bug miatt kikapcsolható a riasztóm ?"
"Ennek tényleg nem értem hogy mi a célja, az egész egy oltári nagy káosz továbbra is.."
Többek közt* az volt a cél, hogy bármilyen eszközt egyedileg lehessen címezni, mert úgy gondolták a fejlesztők, hogy a jövőben bármelyik eszköznek szüksége lehet arra, hogy bármelyik másikkal közvetlenül kommunikáljon. A különbség annyi, hogy IPv6 esetén minden egyes úgymond alhálózat annyi címet kap, mint az összes létező IPv4-es cím a négyzeten. De ettől függetlenül te nyugodtan használhatod a tűzfalad (amennyiben az támogatja az IPv6-os forgalomszűrést).
* azon túl, hogy egyszerűbb a forgalomirányítás a routerek számára, nagyobbak lehetnek a payload-ok a csomagon belül, az eszközök mobilissá válhatnak (pl. az otthon felkonfigurált IP kamerád átviheted a 200km-rel odébb lévő nyaralódba anélkül, hogy akár csak egyetlen címet is átírnál rajta), egyszerűbb lesz a multicasting, illetve minden eszköznek lehet egy öngenerált link-local címe, tehát DHCP-re sem feltétlenül lesz szükség (ugyanakkor továbbra is lehet használni, mint ahogy statikus címeket is)
ezt így értem csak az életszerűségét nem.
Oké, bedugom a kamerát és egyből nézhetem 200km-el odébb.
Idáig bedugtam a kamerát, ha akartam egy fix portot megnyitottam és nézhettem, most úgymond az összes port nyitva lesz default.
Na ez az ami nekem furcsa volt hogy ez miért előny.. Próbáltam elképzelni akár cégeknél azt hogy van 200 workstation és miért kellene mindegyiknek public ip cím, miért kell public ip cím itthon a tévének, a mosógépnek, a riasztónak, a kapunak, a nappali lámpájának.
Nekem örökké az jön le hogy legyártanak 100 "számítógépet/okos eszközt" ebből 99nek jó hogy nincs pubikus elérhetősége és 1 az aminek kell.
Ha 1 darabot kell felkonfigurálni az kényelmes, ha 99ben kell konfigolni és letiltani dolgokat az veszélyesebb mert 99 beállításnál több a hiba lehetőség mint 1 egységnél.
Szerintem.
válasza:"Idáig bedugtam a kamerát, ha akartam egy fix portot megnyitottam és nézhettem, most úgymond az összes port nyitva lesz default."
Azért ez elég sokmindentől függ. Nem minden internetelőfizetés néz úgy ki, hogy a bejövő vonal végén van egy router, ami NAT-ol, és azon belül van a belső hálózat. Vanak olyan hálózatok, ahol nincs címfordítás, egy eszköz van a vonal végén, ami eléri a netet és ennyi.
De ha van is router, akkor is ott az UPnP, ami sok router esetén alapból be van kapcsolva. Innentől fogva, ha egy eszköz listenel kifelé a publikus net felé, akkor az kívülről elérhető lesz. Te egy olyan állapotból indulsz ki, amiről azt feltételezed, hogy az az alapértelmezett, pedig ez nincs így.
A kérdés az, hogy akarod-e védeni a hálózatod vagy sem. Ha igen, akkor bekapcsolod a tűzfalad, "deny all"-ra állítod, és aminek ki kell mennie, azt kiengeded.
Én értem egyébként a problémád, de szerintem te rossz helyen keresed a megoldást. Nem a címzési protokoll feladata az, hogy a bugoktól és az emberi hibáktól megóvja a hálózatod biztonságát.
Viszont az IPv4 már nem képes ellátni azt a feladatot, amiért létrehozták, hogy megcímezze az eszközöket. Az, hogy mindenféle NAT-olásokat használtunk, meg a NAT-on csináltunk port forwardot, az egy kerülőmegoldás.
"Na ez az ami nekem furcsa volt hogy ez miért előny.. Próbáltam elképzelni akár cégeknél azt hogy van 200 workstation és miért kellene mindegyiknek public ip cím"
Elsősorban ne workstationökbe gondolkodj, hanem IoT-ban. Amit említettél is, Espressif controller, mosógép, hűtő, vagy egy gyárban a robotok, szenzorok, stb.
Az, hogy van IPv6, nem azt jelenti, hogy most azonnal fel kell használni az összes létező címet, hanem azt, hogy jódarabig nem lesz probléma az eszközök megcímzésével.
"Ha 1 darabot kell felkonfigurálni az kényelmes, ha 99ben kell konfigolni és letiltani dolgokat az veszélyesebb mert 99 beállításnál több a hiba lehetőség mint 1 egységnél."
Továbbra is egyetlen eszközt kell csak konfigurálni, a tűzfalat. Deny all, és ami kell, azt kinyitod.
Ezt így értem.. Azt is hogy a NAT-olás alapvetően nem védelem.
De egyszerűsítek.. Idáig is digi netem volt, ipv6 címeket nem osztott ki, így maradt a gyári router (van több de ap-ként üzemel)
Egyszer csak megjelent az ipv6, ez a digi vackán letilthatatlan.
Én letiltottam, kb 6 virtuális gépen egyből, a az asztali gépen és a windowson is.
Most nézegetem az ipv6ot és jelenleg ez gyanús:
ha engedélyezve van, akkor mindennek szabad utat adtunk.
A torrentnek idáig volt egy port nyitva, tökéletes, ez kell neki, megnyitom, kész.
Ott a router mellett amit kaptam, működik, ennyi.
Itt kap ipv6 címet a gép, nem kell beállítani semmit és megy isteni.
CSerébe mintha nem is lenne tűzfalam, a hostot be kell állítani.
Azt megyek tovább, veszek egy mosógépet.. Mindegy hogy milyen gép, mindegy milyen szoftver van rajta, ipv4 esetén kívülről elérhetetlen.
Jön az ipv6, tudom, olyan bonyolult lesz a címe hogy kicsi az esély meglelni.. De mégis, a mosógép egyszer listeningel az interneten, egyszer van accesse a belső netre, a szoftvert amit futtat nem lehet ellenőrizni, tehát ipv6 szűrés kell neki.
Ez régen úgy ment bedugtam a mosógépet, felment wifire, és kész, ma szűrögetek, oké megtanulom idővel de te is tudod, nem mindenki lesz ilyen.
Ezt kb úgy tudnám mondani hogy állati jó az a ház, ahol üveg fal van mindenütt, de nem tudsz pucéran kimenni a konyhába, csak ha előtte besötétítesz.
Itt is, oké, van ipv6 semmi baj, csináljunk rsa keyeket mindenhez, tiltsuk le a passwordos logint ha van akkor legyen irtózatosan bonyolult..
Szerintem határozottan komplexebb feladat, és már értem hogy idáig azért nem értettem, mert számomra értelmezhetetlen az egész.
Kb úgy is tudnám mondani hogy jelenleg kinn van a csengő, ha megfelelő ember csenget akkor kiszólok, ez esetben bejöhet és beszélhetünk. Ha nem, akkor benn a házban a családom békében nyugalomban.
Itt megoldották hogy ne kelljen csengetni cserébe kinn a tömegben bújkálok, és ha megtalál akkor megvédem magam, ha a feleségemet találják meg ő is megvédi magát ,tisztára mint a walking dead c filmben :)
válasza:Te bonyolítod túl.
A teendő annyi, hogy tűzfalban deny all, és akkor se az újonnan vásárolt mosógép, se semmi nem fog kimenni a netre, amíg át nem engeded a tűzfalon.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!