-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
inf wrote:
>> Se A conversa com B, B conversa com A. Quebrar essa simples regra foi
>> idiotice.
>
>Acho que se deveria levar este conceito para como funcionam as linhas
>telefonicas: Se A conversa com B, B conversa com A aproveitando a mesma
>ligacao. Assim, se A nao quer ser incomodado ou ficar exposto. Por que B
> tem que poder ligar de volta? Se arruma solucao para tanta coisa, nao
> podemos ficar apenas na primeira e quase confiavel ligacao de A para B?
Existe uma solução para isso e chama-se SCTP. Ele substitui o TCP.
Mas já vimos que o IPv6, que existe há uns 10 anos, não conseguiu ainda
ser adotado na Internet. Vai saber quando o SCTP vai conseguir substituir
o TCP...
Quem sabe em 2050 consigamos trafegar SCTP/IPv6 normalmente e o TCP/IP
seja coisa do passado.
>Acho que uma solucao definitiva que tenha como prioridade seguranca
> seria muito bom, mas ate la, precisamos de um modo de sobreviver. Acho
> que NAT ainda e melhor que nada.
Sim, sim, melhor do que nada. Melhor ter apenas um IP do que nenhum.
Melhor ter um IP dinâmico do que nenhum.
Mas obviamente seria muito melhor que toda e qualquer empresa e usuário
final tivesse tantos IPs estáticos quanto precisasse, não? É essa a
premissa do IPv6.
Não estou dizendo que seja possível viver sem o NAT hoje. Estou apenas
questionando o seu uso desenfreado, que está apenas atrasando a solução
definitiva (IPv6).
>> IPv6 não suporta NAT. Repetindo: não existe NAT sobre IPv6. A
>> bidirecionalidade é restaurada.
>
>Ate quando? Acho que no inicio do IPv4 tambem nao tinham pensado em NAT,
>quando a industria se ver sem saida, acaba apelando para solucoes ruins,
> mas que atendem a necessidade imediata. Se a "solucao definitiva"
> chegar antes, otimo, senao, IPv6 pode mudar. Nao conheco muito do
> protocolo, poder ser que tenha sido criado toda uma estrutura para
> impedir isso, mas nunca duvide da criatividade do ser humano para
> "driblar regras", a civilizacao cresce deste jeito.
Bom, você só está perguntando "até quando" porque não conhece direito o
IPv6.
Alguns cálculos básicos:
diâmetro da Terra = ~40.000 km
superfície da Terra = 20106192982.97467594 km² (~2 x 10¹⁶ m²)
bits no IPv6: 128
IPs possíveis: 2¹²⁸ = 340282366920938463463374607431768211456
IPs/m² da Terra: 1,7 x 10²²
bits reservados para uma rede: 64
bits reservados para endereço de rede: 16
bits reservados para endereçamento global: 3
bits disponíveis: 128 - 64 - 16 - 3 = 45
nº de redes (usuários, empresas, etc.) possíveis: 2⁴⁵ = 35184372088832
nº de habitantes na Terra: 6,2 bilhões
redes / habitante: 5674,9
E lembre-se que isso foi alocando apenas 1/8 (12,5%) de todas as
combinações possíveis. Se precisar mais, ainda tem espaço de sobra.
E note que por "rede", eu estou me referindo a um prefixo de 48 bits: isto
é, 65536 subnets de 18446744073709551616 IPs cada uma.
>> Quer um exemplo? Email.
>>
>> "Tente pingar minha máquina. Meu IP é 10.3.0.77."
>>
>> Aquele IP acima não quer dizer absolutamente nada para alguém fora da
>> rede. Mesmo para aqueles que eu consigo pingar.
>>
>> Suponha agora que eu precise abrir uma porta para receber um arquivo.
>> Como eu vou descobrir qual é o meu IP externo? Como eu vou fazer para
>> o firewall/NAT permitir que eu receba a conexão? É exatamente esse o
>> problema que o servidor de FTP em modo passivo, o cliente de FTP em
>> modo ativo ou um programa usando H.323 enfrentam.
>
>Entao talvez seja hora de ja pensar em NAT ou em outra alternativa ao
> criar um novo servico/protocolo. Sei que FTP e e-mail sao "ancioes",
> mas o H323 ja poderia ser criado pensando mais em seguranca, em se
> adaptar a pratica do mercado, ja que o NAT deve ser mais antigo que o
> H323 ( e mesmo ou estou me equivocando? ).
O H.323 apareceu antes que o NAT se proliferasse. H.323 é uma pilha de
protocolos da UIT, desenvolvido praticamente independente da Internet.
Tanto que ele está praticamente morto hoje: só se fala de SIP e protocolos
relacionados para voz sobre IP.
Hoje em dia, qualquer novo protocolo é concebido para atravessar NATs e
tem pelo menos alguma consideração de segurança por trás. O que é uma boa
coisa, independente das razões que levam a isso (hackers, etc.)
- --
Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org
thiago.macieira (AT) trolltech.com Trolltech AS
GPG: 0x6EF45358 | Sandakerveien 116,
E067 918B B660 DBD1 105C | NO-0402
966C 33F5 F005 6EF4 5358 | Oslo, Norway
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFEJBHUM/XwBW70U1gRAumcAJ9oNHmmrC3K5UJqXfBY+rkKCeueSgCeNXrH
zJ5mTbCiYA4vCpK75ZbbRGQ=
=xsYJ
-----END PGP SIGNATURE-----
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
