Перехід на IPv6 означає скидання NAT. Це гарна річ?

Це канонічне запитання про IPv6 та NAT

Пов'язані:

• Як працює підмережа IPv6 і чим вона відрізняється від підмережі IPv4?
• Як я можу "занурити пальці ніг" у динамічну мережеву адресацію IPv6?
• IPv6 без nat, але як щодо зміни isp?

Тож наш Інтернет-провайдер нещодавно створив IPv6, і я вивчав, що повинен мати на собі перехід, перш ніж стрибнути в бій.

Я помітив три дуже важливі проблеми:

1. Наш офісний маршрутизатор NAT (старий Linksys BEFSR41) не підтримує IPv6. Також немає жодного більш нового маршрутизатора, AFAICT. Книга, яку я читаю про IPv6, говорить про те, що в будь-якому випадку це робить NAT "непотрібним".

2. Якщо ми повинні просто позбутися цього маршрутизатора і підключити все безпосередньо до Інтернету, я починаю панікувати. У пеклі немає ніякого способу, щоб я розмістив нашу базу даних рахунків (з великою кількістю інформації про кредитні картки!) В Інтернеті, щоб кожен бачив. Навіть якби я запропонував налаштувати на ньому брандмауер Windows, щоб взагалі було доступно лише 6 адрес до нього, я все одно прориваюся в холодний піт. Я не довіряю Windows, брандмауеру Windows або мережі достатньо великої, щоб навіть було зручно з цим.

3. Є кілька старих апаратних пристроїв (тобто принтерів), які взагалі не мають можливості IPv6. І, ймовірно, перелік проблем із безпекою, які відносяться до 1998 року. І, швидше за все, жодним чином їх не зафіксувати. І немає фінансування нових принтерів.

Я чую, що IPv6 та IPSEC повинні якось зробити це безпечним, але без фізично розділених мереж, які роблять ці пристрої невидимими для Інтернету, я справді не можу зрозуміти, як це зробити. Я також можу реально побачити, як будь-яка створена я захисна сила буде перекрита в короткому порядку. Я вже багато років працюю над серверами в Інтернеті, і я досить добре знайомий з речами, необхідними для їх захисту, але про розміщення чогось приватного в мережі, як-от наша платіжна база даних, завжди не виникало сумнівів.

На що я повинен замінити NAT, якщо у нас фізично немає окремих мереж?

Перш за все, нічого страшного в тому, щоб перейти на загальнодоступні IP-адреси, якщо ваші пристрої безпеки налаштовані правильно.

На що я повинен замінити NAT, якщо у нас фізично немає окремих мереж?

Те саме, з чим ми фізично їх розділяли з 1980-х, маршрутизатори та брандмауери. Одне велике посилення безпеки, яке ви отримуєте з NAT, - це те, що воно змушує вас конфігурацію заперечення за замовчуванням. Для того, щоб отримати будь-яку послугу через неї, ви повинні чітко пробивати отвори. Фанатніші пристрої навіть дозволяють застосовувати ACL на основі IP-адрес до цих отворів, як і брандмауер. Можливо, насправді у них "Брандмауер".

Правильно налаштований брандмауер забезпечує точно таку саму послугу, що і NAT-шлюз. NAT-шлюзи часто використовуються, оскільки їх легше ввійти в безпечну конфігурацію, ніж більшість брандмауерів.

Я чую, що IPv6 та IPSEC повинні якось зробити це безпечним, але без фізично розділених мереж, які роблять ці пристрої невидимими для Інтернету, я справді не можу зрозуміти, як це зробити.

Це неправильне уявлення. Я працюю в університеті, який має розподіл IPv4 / 16, і переважна більшість наших споживачів IP-адрес припадає на це публічне виділення. Безумовно, всі наші робочі станції та принтери для кінцевих користувачів. Наше споживання RFC1918 обмежено мережевими пристроями та певними конкретними серверами, де такі адреси потрібні. Я не був би здивований, якби ви просто тремтіли просто зараз, тому що, звичайно, я це зробив, коли я з’явився в перший день і побачив пост на моніторі з моєю IP-адресою.

І все ж ми виживаємо. Чому? Оскільки у нас є зовнішній брандмауер, налаштований для заборони за замовчуванням з обмеженою пропускною здатністю ICMP. Тільки тому, що 140.160.123.45 є теоретично маршрутом, це не означає, що ви можете потрапити туди, де б ви не знаходилися в загальнодоступному Інтернеті. Це те, що були покликані робити брандмауери.

Враховуючи правильні конфігурації маршрутизатора, і різні підмережі в нашому виділенні можуть бути абсолютно недоступними одна від одної. Це можна зробити в таблицях маршрутизаторів або брандмауерах. Це окрема мережа, яка задовольняла наших аудиторів безпеки раніше.

У пеклі немає ніякого способу, щоб я розмістив нашу базу даних рахунків (з великою кількістю інформації про кредитні картки!) В Інтернеті, щоб кожен бачив.

Наша платіжна база даних знаходиться на загальнодоступній IPv4-адресі і існувала протягом усього її існування, але ми маємо доказ, що ви не можете потрапити звідси. Тільки тому, що адреса знаходиться у загальнодоступному списку маршрутизованих версій v4, це не означає, що її гарантовано доставлять. Два брандмауери між злом Інтернету та власними портами бази даних відфільтровують зло. Навіть зі свого столу, за першим брандмауером, я не можу потрапити до цієї бази даних.

Інформація про кредитні картки - це один особливий випадок. Це підпорядковане стандартам PCI-DSS, і в стандартах прямо зазначено, що сервери, що містять такі дані, повинні знаходитися за NAT-шлюзом ¹ . Наші є, і ці три сервери представляють наше загальне використання сервера RFC1918 адрес. Це не додає ніякої безпеки, а лише рівень складності, але нам потрібно перевірити цей прапорець для перевірок.

Оригінальна ідея "IPv6 робить NAT справою минулого" була висунута ще до того, як інтернет-бум дійсно вдарив у повний мейнстрім. У 1995 році NAT був вирішенням для вирішення невеликого розподілу IP. У 2005 році він був зафіксований у багатьох документах із найкращих практик безпеки та принаймні в одному з основних стандартів (PCI-DSS для конкретності). Єдина конкретна перевага, яку NAT дає, - це те, що зовнішня особа, яка виконує відновлення в мережі, не знає, як виглядає IP-ландшафт позаду пристрою NAT (хоча завдяки RFC1918 вони гарно здогадуються) та на NAT-free IPv4 (такий як моя робота) це не так. Це невеликий крок до глибокої оборони, не великий.

Заміна адрес RFC1918 називається Унікальними локальними адресами. Як і RFC1918, вони не здійснюють маршрут, якщо однолітки спеціально не погоджуються надати їм маршрут. На відміну від RFC1918, вони (мабуть) глобально унікальні. Перекладачі адрес IPv6, які переводять ULA на глобальний IP, існують у шестірні периметру передач, напевно ще не в передачі SOHO.

З загальнодоступною IP-адресою ви можете просто вижити. Просто пам’ятайте, що «публіка» не гарантує «доступність», і ви будете добре.

Оновлення 2017 року

В останні кілька місяців Amazon Aws додає підтримку IPv6. Він щойно був доданий до їхньої пропозиції amazon-vpc , і їх реалізація дає певні підказки щодо того, як очікується зробити масштабне розгортання.

• Вам надається розподіл / 56 (256 підмереж).
• Виділення - це повністю маршрутизована підмережа.
• Очікується, що ви встановите свої правила брандмауера ( групи безпеки ) відповідно обмежуючими.
• NAT немає, він навіть не пропонується, тому весь вихідний трафік буде надходити з фактичної IP-адреси екземпляра.

Щоб додати ще одне з переваг безпеки NAT, вони тепер пропонують Інтернет-шлюз, не доступний лише для виходу . Це пропонує одну перевагу, схожу на NAT:

• До підмереж, що знаходяться за нею, не можна отримати прямий доступ з Інтернету.

Що забезпечує шар глибокої оборони, якщо неправильно налаштоване правило брандмауера випадково дозволяє в'їзний трафік.

Ця пропозиція не переводить внутрішню адресу в одну адресу, як це робить NAT. Вихідний трафік все ще матиме вихідний IP-адресу примірника, який відкрив з'єднання. Операторам брандмауера, які шукають білі списки ресурсів у VPC, буде краще білі мережі, а не конкретні IP-адреси.

Маршрут не завжди означає доступність .

¹ : У жовтні 2010 р. Змінилися стандарти PCI-DSS, виписку, що вимагає RFC1918-адреси, було видалено, а "мережева ізоляція" замінила його.

Наш офісний маршрутизатор NAT (старий Linksys BEFSR41) не підтримує IPv6. Немає жодного нового маршрутизатора

IPv6 підтримується багатьма маршрутизаторами. Тільки не так багато дешевих, орієнтованих на споживачів та SOHO. Найгірший випадок, просто використовуйте вікно Linux або перезавантажте роутер за допомогою dd-wrt або чогось іншого, щоб отримати підтримку IPv6. Варіантів багато, напевно, просто потрібно виглядати важче.

Якщо ми повинні просто позбутися цього маршрутизатора і підключити все безпосередньо до Інтернету,

Ніщо про перехід на IPv6 не передбачає, що ви повинні позбутися пристроїв безпеки периметра, як ваш маршрутизатор / брандмауер. Маршрутизатори та брандмауери все ще залишатимуться необхідною складовою майже кожної мережі.

Всі маршрутизатори NAT ефективно виконують функцію надзвичайного брандмауера. Немає нічого магічного у використанні RFC1918 адрес, які так сильно захищають вас. Саме державний біт робить важку роботу. Правильно налаштований брандмауер захистить вас так само добре, якщо ви використовуєте реальну або приватну адреси.

Єдиний захист, який ви отримуєте від адрес RFC1918, це те, що дозволяє людям уникнути помилок / лінь у вашому конфігурації брандмауера і все ще не бути вразливим.

Є кілька старих апаратних пристроїв (тобто принтерів), які взагалі не мають можливості IPv6.

Тому? Навряд чи вам потрібно буде зробити це доступним через Інтернет, а у внутрішній мережі ви зможете продовжувати запускати IPv4 та IPv6, поки всі ваші пристрої не підтримуються чи не замінюються.

Якщо запуск декількох протоколів не є можливим, можливо, вам доведеться встановити якийсь шлюз / проксі.

IPSEC повинен якось зробити це безпечним

IPSEC зашифровано та автентифікує пакети. Це не має нічого спільного з позбавленням від вашого прикордонного пристрою, і більш захищає дані в дорозі.

Так. NAT мертва. Були кілька спроб ратифікувати стандарти для NAT через IPv6, але жодна з них ніколи не збилася з місця.

Це фактично спричинило проблеми для провайдерів, які намагаються відповідати стандартам PCI-DSS, оскільки стандарт фактично говорить про те, що ви повинні стояти за NAT.

Для мене це одні з найчудовіших новин, які я коли-небудь чув. Я ненавиджу NAT, і ще більше ненавиджу NAT-клас.

NAT лише коли-небудь мав бути бандаїдним рішенням, щоб пройти нас до тих пір, поки IPv6 не стане стандартним, але він увійшов в інтернет-суспільство.

Для перехідного періоду, ви повинні пам'ятати , що IPv4 і IPv6 є, крім аналогічного назви, абсолютно різні ¹ . Таким чином, пристрої, які є Dual-Stack, ваш IPv4 буде NATET, а ваш IPv6 не буде. Це майже як мати два повністю відокремлених пристрої, просто упаковані в один шматок пластику.

Отже, як працює доступ до Інтернету IPv6? Ну, спосіб, яким працював Інтернет, перш ніж був винайдений NAT. Ваш Інтернет-провайдер призначить вам діапазон IP (такий самий, як зараз, але вони зазвичай призначають вам / 32, що означає, що ви отримаєте лише одну IP-адресу), але ваш діапазон тепер матиме мільйони доступних IP-адрес у ньому. Ви можете заповнити ці IP-адреси за вибором (з автоматичною конфігурацією або DHCPv6). Кожна з цих IP-адрес буде видима з будь-якого іншого комп’ютера в Інтернеті.

Звучить страшно, правда? Ваш контролер домену, домашній медіа-ПК та ваш iPhone із прихованою копією порнографії - все це стане доступним з Інтернету ?! Ну, ні. Ось для чого призначений брандмауер. Ще однією чудовою особливістю IPv6 є те, що він змушує брандмауери від підходу "Дозволити всім" (як і більшість домашніх пристроїв) підходу "Заборонити всім", де ви відкриваєте служби для конкретних IP-адрес. 99,999% домашніх користувачів із задоволенням зберігатимуть брандмауері за замовчуванням та повністю заблоковані, а це означає, що забороняється передавати незатребуваний трафік.

¹ _{Гаразд, це набагато більше, ніж це, але вони жодним чином не сумісні один з одним, хоча вони обидва дозволяють однакові протоколи, що працюють на вершині}

Вимога PCI-DSS щодо NAT добре відома як театр безпеки, а не фактична безпека.

Найновіший PCI-DSS відмовився від виклику NAT абсолютною вимогою. Багато організацій пройшли аудит PCI-DSS за допомогою IPv4 без NAT, показуючи стаціонарні брандмауери як "еквівалентні впровадження безпеки".

Існують інші документи театру безпеки, які закликають до NAT, але, оскільки це руйнує аудиторські сліди і ускладнює розслідування / пом'якшення інцидентів, більш поглиблене вивчення NAT (з PAT або без нього) несе негативний захист.

Хороший надійний брандмауер без NAT - це надзвичайно чудове рішення NAT у світі IPv6. У IPv4 NAT є необхідним злом, яке слід терпіти заради збереження адреси.

Мине (на жаль) деякий час, перш ніж ви зможете піти з односкладної мережі лише для IPv6. До цього часу спосіб запуску з двома стеками з перевагою IPv6, коли він є.

Хоча сьогодні більшість маршрутизаторів споживачів не підтримують IPv6 з біржовим програмним забезпеченням, багато хто може підтримувати його сторонніми прошивками (наприклад, Linksys WRT54G з dd-wrt тощо). Крім того, багато пристроїв бізнес-класу (Cisco, Juniper) підтримують IPv6 нестандартно.

Важливо не плутати PAT (багатоосібний NAT, як це звичайно на споживчих маршрутизаторах) з іншими формами NAT та з брандмауером без NAT; Як тільки Інтернет стане лише IPv6, брандмауери все одно запобігатимуть впливу внутрішніх послуг Так само система IPv4 з NAT один на один не захищена автоматично; це робота політики брандмауера.

З цього приводу існує велика плутанина, оскільки мережеві адміністратори бачать NAT в одному світлі, а малий бізнес та приватні клієнти бачать його в іншому. Дозвольте уточнити.

Статичний NAT (іноді називається один-до-одного NAT) не пропонує абсолютно ніякого захисту для вашої приватної мережі або окремого комп'ютера. Змінювати IP-адресу безглуздо, що стосується захисту.

Динамічні перевантажені NAT / PAT, як, наприклад, більшість житлових шлюзів та Wi-Fi AP, абсолютно допомагають захистити вашу приватну мережу та / або ваш ПК. За конструкцією таблиці NAT в цих пристроях є таблицею стану. Він відслідковує вихідні запити та відображає їх у таблиці NAT - час з’єднання закінчується через певний час. Будь-які непотрібні вхідні кадри, які не відповідають тому, що знаходиться в таблиці NAT, за замовчуванням випадають - NAT-маршрутизатор не знає, куди надсилати їх у приватну мережу, тому він їх скидає. Таким чином, єдиний пристрій, який ви залишаєте вразливим для злому, - це ваш маршрутизатор. Оскільки більшість подвигів безпеки базується на Windows - такий пристрій між Інтернетом та ПК на ПК Windows справді допомагає захистити вашу мережу. Це може бути не первісно призначена функція, що потрібно було економити на загальнодоступних ІС, але це робить роботу. Як бонус, більшість із цих пристроїв також мають можливості брандмауера, які багато разів за замовчуванням блокують запити ICMP, що також допомагає захистити мережу.

З огляду на вищенаведену інформацію, розміщення з NAT під час переходу на IPv6 може піддавати мільйонам споживачів та пристроїв малого бізнесу потенційні злому. Це не матиме жодного впливу на корпоративні мережі, оскільки вони професійно керують брандмауерами на їхньому краю. Споживчі та малі бізнес-мережі, можливо, більше не мають NAT-маршрутизатора на базі * nix між Інтернетом та своїм ПК. Немає причин, щоб людина не могла перейти на єдине рішення між брандмауером - набагато безпечніше, якщо його розмістити правильно, але також виходить за рамки того, що 99% споживачів розуміють, як це зробити. Динамічний перевантажений NAT дає можливість захисту лише за допомогою його - підключіть ваш житловий маршрутизатор і ви захищені. Легко.

Однак це не означає, що NAT не може бути використаний таким же чином, як і в IPv4. Насправді, маршрутизатор міг бути розроблений таким чином, щоб мати один IPv6-адресу на порту WAN з приватною мережею IPv4 за ним, що NAT на нього (наприклад). Це було б простим рішенням для споживачів та мешканців. Інший варіант - поставити всі пристрої з відкритими IP-адресами IPv6 --- проміжний пристрій тоді може діяти як пристрій L2, але забезпечити таблицю стану, перевірку пакетів та повноцінний функціонування брандмауера. По суті, немає NAT, але все ще блокує будь-які непотрібні вхідні кадри. Важливо пам'ятати, що ви не повинні підключати ПК безпосередньо до свого WAN-з'єднання без жодного посередницького пристрою. Якщо, звичайно, ви не хочете покластися на брандмауер Windows. . . і це інша дискусія.

Будуть певні болі, що рухаються до IPv6, але немає жодної проблеми, яку не вдасться вирішити досить легко. Чи доведеться вам викопати старий маршрутизатор IPv4 або житловий шлюз? Можливо, але з'являться нові недорогі рішення, коли прийде час. Сподіваємось, багатьом пристроям знадобиться спалах мікропрограми. Чи міг IPv6 бути спроектований так, щоб більш чітко вписатись у поточну архітектуру? Звичайно, але це те, що воно є, і воно не відходить - Тож ти можеш так само навчитися, жити, любити.

Якщо NAT виживе у світі IPv6, швидше за все, це буде NAT 1: 1. Форма NAT, яку ніколи не бачили в просторі IPv4. Що таке 1: 1 NAT? Це 1: 1 переклад глобальної адреси на локальну адресу. Еквівалент IPv4 перекладав би всі з'єднання в 1.1.1.2 лише на 10.1.1.2 тощо для всього простору 1.0.0.0/8. Версія IPv6 полягала б у перекладі глобальної адреси на Унікальну локальну адресу.

Підвищену безпеку можна забезпечити, часто обертаючи відображення адрес, які вас не цікавлять (наприклад, внутрішні користувачі офісу, які переглядають Facebook). Внутрішньо ваші номери ULA залишатимуться однаковими, тому DNS з розділеним горизонтом продовжуватиме працювати нормально, але зовні клієнти ніколи не знаходяться на передбачуваному порту.

Але дійсно, це невелика кількість покращеної безпеки для клопоту, який він створює. Сканування підмереж IPv6 - це дійсно велике завдання і нездійсненно без певної розвідки про те, як присвоюються IP-адреси в цих підмережах (метод генерації MAC? Випадковий метод? Статичне призначення людських читаних адрес?).

У більшості випадків, що трапиться, це те, що клієнти, що стоять за корпоративним брандмауером, отримають глобальну адресу, можливо, ULA, і по периметру брандмауер буде налаштований таким чином, щоб забороняти всі вхідні з'єднання будь-якого типу до цих адрес. Для всіх намірів і цілей ці адреси зовні недоступні. Як тільки внутрішній клієнт ініціює з'єднання, пакети будуть дозволені через уздовж цього з'єднання. Необхідність змінити IP-адресу на щось зовсім інше вирішується, змушуючи зловмисника переходити через 2 ^ 64 можливих адреси в цій підмережі.

RFC 4864 описує захист локальної мережі IPv6 , набір підходів для забезпечення сприйнятих переваг NAT у середовищі IPv6, фактично не вдаючись до NAT.

У цьому документі описано ряд методів, які можуть поєднуватися на сайті IPv6 для захисту цілісності його мережевої архітектури. Ці методи, відомі в сукупності як Захист локальної мережі, зберігають концепцію чітко визначеної межі між приватною мережею "всередині" і "зовні" і дозволяють брандмауер, приховувати топологію та конфіденційність. Однак, оскільки вони зберігають прозорість адреси там, де це необхідно, вони досягають цих цілей без недоліків перекладу адрес. Таким чином, захист локальної мережі в IPv6 може забезпечити переваги трансляції мережевих адрес IPv4 без відповідних недоліків.

Спочатку викладається, що таке сприйняті переваги NAT (і розблоковує їх, коли це доречно), потім описується особливості IPv6, які можна використовувати для надання тих самих переваг. Він також містить примітки щодо впровадження та тематичні дослідження.

Хоча тут надто довго для перевидання, обговорюються переваги:

• Простий шлюз між "всередині" та "зовні"
• Державний брандмауер
• Відстеження користувача / програми
• Приховування конфіденційності та топології
• Незалежний контроль над адресацією в приватній мережі
• Мультихомінг / перенумерація

Це в значній мірі охоплює всі сценарії, в яких, можливо, бажав би NAT і пропонує рішення для їх реалізації в IPv6 без NAT.

Деякі з технологій, які ви будете використовувати:

• Унікальні локальні адреси. Віддайте перевагу цим у своїй внутрішній мережі, щоб внутрішні комунікації залишалися внутрішніми і щоб внутрішні комунікації могли продовжуватися, навіть якщо у провайдера відключений.
• Розширення конфіденційності IPv6 з коротким життям адреси та не очевидно структурованими ідентифікаторами інтерфейсу: Це допомагає запобігти атаці окремих сканерів і сканування підмережі.
• IGP, Mobile IPv6 або VLAN можна використовувати для приховування топології внутрішньої мережі.
• Поряд з ULA, DHCP-PD від ISP робить перенумерування / мультихомінг простішим, ніж з IPv4.

( Повні деталі див. У RFC ; знову ж таки, занадто довго, щоб передрукувати або навіть взяти значні уривки з нього.)

Для більш загального обговорення безпеки переходу IPv6 див. RFC 4942 .

Типу. Насправді існують різні "типи" IPv6-адрес. Найближчий до RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) називається "Унікальна локальна адреса" і визначається в RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Отже, ви починаєте з fd00 :: / 8, потім додаєте 40-бітний рядок (використовуючи заздалегідь визначений алгоритм в RFC!), І ви закінчуєте псевдослучайним префіксом / 48, який повинен бути унікальним у всьому світі. У вас є залишок адресного простору, який ви хочете призначити.

Ви також повинні заблокувати fd00 :: / 7 (fc00 :: / 8 та fd00 :: / 8) на своєму маршрутизаторі (IPv6) поза вашою організацією - звідси "локальний" у назві адреси. Ці адреси, перебуваючи у глобальному адресному просторі, не повинні бути доступні світові взагалі, лише за допомогою вашої "організації".

Якщо вашим серверам PCI-DSS потрібен IPv6 для підключення до інших внутрішніх хостів IPv6, ви повинні створити префікс ULA для своєї компанії та використовувати його для цієї мети. Ви можете використовувати автоконфігурацію IPv6, як і будь-який інший префікс, якщо бажаєте.

Зважаючи на те, що IPv6 був розроблений таким чином, що хости можуть мати декілька адрес, машина може мати - крім ULA - також глобально маршрутизовану адресу. Таким чином, веб-сервер, який повинен спілкуватися як із зовнішнім світом, так і з внутрішніми машинами, може мати як призначений ISP префекс-адресу, так і ваш префікс ULA.

Якщо ви хочете, щоб NAT була схожа на функціональність, ви також можете поглянути на NAT66, але загалом я би архітектор навколо ULA. Якщо у вас є додаткові запитання, ви можете ознайомитися зі списком розсилки "ipv6-ops".

ІМХО: ні.

Є ще деякі місця, де SNAT / DNAT можуть бути корисними. Для прикладу деякі сервери були переміщені до іншої мережі, але ми не хочемо / не можемо змінити IP-адресу програми.

Сподіваємось, NAT назавжди піде. Це корисно лише тоді, коли у вас є дефіцит IP-адреси та немає функцій захисту, які не забезпечуються кращим, дешевшим та легшим керуванням стаціонарним брандмауером.

Оскільки IPv6 = немає більше дефіциту, це означає, що ми можемо позбавити світ некрасивого хака, який є NAT.

Я не бачив остаточної відповіді про те, як втрата NAT (якщо вона справді піде) на IPv6 вплине на конфіденційність користувачів.

Із IP-адресами окремих пристроїв, які публічно піддаються впливу, веб-сервісам буде набагато простіше проводити опитування (збирати, зберігати, агрегувати за часом та простором та веб-сайтами та сприяти безлічі вторинних цілей використання) ваших подорожей по Інтернету з різних пристроїв. Якщо ... Інтернет-провайдери, маршрутизатори та інше обладнання дозволяють легко та легко мати динамічні адреси IPv6, які можна часто змінювати для кожного пристрою.

Звичайно, незалежно від того, що у нас все ще буде випуск статичних MAC-адрес wi-fi, але це вже інша історія ...

Існує багато схем підтримки NAT в сценарії переходу V4 до V6. Однак якщо у вас є вся мережа IPV6 та підключено до висхідного постачальника IPV6, NAT не є частиною нового світового порядку, за винятком того, що ви можете тунелювати між V4 мережами через мережі V6.

Cisco має багато загальної інформації про сценарії 4to6, міграцію та тунелювання.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Також у Вікіпедії:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Політика та основна ділова практика, швидше за все, сприятимуть існуванню NAT. Багато IPv6-адрес означає, що Інтернет-провайдери будуть спокушатися стягувати плату за пристрій або обмежувати з'єднання лише обмеженою кількістю пристроїв. Дивіться цю останню статтю про /. наприклад:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

FYI, хтось цікавий використовує NAT / NAPT з IPV6 може. Всі операційні системи BSD, які мають PF, підтримують NAT66. Чудово працює. З блогу ми використовували :

ipv6 nat (nat66) від FreeBSD pf

хоча nat66 все ще знаходиться в стадії розробки, але FreeBSD pf вже підтримує його.

(відредагуйте pf.conf та вставте наступні коди)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Ви все налаштовані!

Відмінно працює для нас, хто вже багато років використовує кальмари з однією IP-адресою. За допомогою IPv6 NAT я можу отримати 2 ^ 120 приватних адрес (локальний сайт), який включає 2 ^ 56 підмереж завдовжки з моїми 5/64 підмережами. Це означає, що я повинен бути в 100 мільярдів разів розумнішим, ніж будь-який інший гуру IPv6, тому що в мене більше адрес.:D

Правда полягає в тому, що тільки тому, що я маю більше адрес (або, можливо, я використовував IPv6 довше, ніж ви), насправді не робить IPv6 (або я для того ж питання) кращим. Однак це робить IPv6 складнішим, коли замість PAT потрібен брандмауер, а NAT вже не є вимогою, але є можливим варіантом. Мета брандмауера - дозволити всі вихідні з'єднання та зберегти стан, але блокувати вхідні ініційовані з'єднання.

Що стосується NAPT (NAT з PAT), знадобиться певний час, щоб люди вийшли з розуму. Наприклад, поки ми не зможемо вашого прадіда налаштувати власний брандмауер IPv6 без локальної адресації (приватні адреси) та без допомоги гуру, може бути непоганою ідеєю пограти з можливою ідеєю NAT, оскільки це буде все, що він знає.

Нещодавні пропозиції, висунуті для ipv6, запропонували інженерам, які працюють над новою технологією, включити NAT в ipv6, таку причину: NAT пропонує додатковий рівень безпеки

Документація розміщена на веб-сайті ipv6.com, тому, здавалося б, всі ці відповіді, в яких зазначається, що пропозиції NAT не мають безпеки, виглядають трохи збентеженими.

Я усвідомлюю, що в якийсь майбутній момент (про це можна лише здогадуватися) регіональна IPv4-адреса неминуче закінчиться. Я погоджуюся, що IPv6 має деякі серйозні недоліки користувачів. Проблема NAT надзвичайно важлива, оскільки вона по суті забезпечує безпеку, надмірність, конфіденційність і дозволяє користувачам без обмежень підключати майже стільки пристроїв, скільки вони хочуть. Так, брандмауер є золотим стандартом проти небажаного вторгнення в мережу, але NAT не тільки додає ще один рівень захисту, але він, як правило, забезпечує захищений дизайн за замовчуванням незалежно від конфігурації брандмауера або знань кінцевого користувача, незалежно від того, як ви його визначаєте IPv4 з NAT і брандмауер як і раніше захищений за замовчуванням, ніж IPv6 лише з брандмауером. Інша проблема - конфіденційність, наявність маршрутизованої адреси в Інтернеті на кожному пристрої відкриє користувачам усілякі можливі порушення конфіденційності, збирання особистої інформації та відстеження таким чином, які навряд чи можна уявити сьогодні в такій масі. Я також вважаю, що без Nat нам можуть бути відкриті додаткові витрати та контроль через Ісп. Ісп може почати стягувати плату за кожний пристрій або за користувачем, як ми вже бачимо при встановленні USB, це значно зменшить свободу кінцевого користувача відкрито підключати будь-який пристрій, який вони вважають за потрібне. На сьогоднішній день мало хто пропонує IPv6 провайдера США в будь-якій формі, і я вважаю, що нетехнологічний бізнес буде повільно перемикатися через додаткову вартість, отриману мало або зовсім не отримавши вартості.