On 04/19/15 13:37, Zbyněk Burget:
muj ISP mi dal na vedomu, ze prechazi na IPv6
Soucasne ale jeste samozrejme funguje i puvodni IPv4.
Aha, takze neprechazi, ale zavadi. To je ale *podstatny* rozdil.
Tak jsem se chtel zeptat, co vsechno mne ceka za problemy, kdyz na tu IPv6 budu chtit prejit.
Vypada to jako slovickareni, ale tim, ze pouzivas spatny slovo o tom nasledne taky spatne premejslis. Tvuj ISP na IPv6 neprechazi a ty samozrejme taky ne. Zavedenim IPv6 se na stavajici IPv4 konektivite nic nemeni.
Co se serveru tyce, zminujes jen SSHD. Ano, to systemove je defaultne nakonfigurovane tak, ze bude-li k dispozici IPv6, zacne poslouchat (i) na nem. Tim se v praxi nic nemeni dokud pro jmeno toho serveru nepublikujes v DNS AAAA zaznam. SSH klient, kterym se tam pripadne pokusis spojit, nema (bez toho AAAA zaznamu) tuseni, ze by tam snad nejaka IPv6 byt mohla, takze ji ani nezkusi. A IPv4 funguje jako driv.
Co se klientu tyce, pises, ze tam nic neni, coz znamena, ze tam bud' skutecne zadny neni, nebo jsi na DNS server zapomel.
I v druhem pripade se ale v podstate nic nedeje. Pripadny DNS server zacne smerem do sveta pokladat DNS dotazy (i) pres IPv6. To je ale taky vsechno - odpovedi, ktere tim bude dostavat se (obvykle) nemeni. DNS typicky nefunguje tak, ze poskytuje jiny obsah pokud dotaz pridje pres IPv4 a jiny pokud prijde pres IPv6.
Bude to opravdu tak jednoduche, ze jen nastavim na vnejsim adapteru IPv6 a zmenim default routu (+ drobnost s ListenAddress u sshd) nebo toho bude vic?
Neprechazis na IPv6. Nezmenis default routu. Zavadis IPv6, pridas IPv6 default route.
Hlavne vic veci, na ktere si budu muset davat pozor, pripadne nejaka dalsi bezpecnostni pravidla pro firewall + ? + ?
Zalezi jako ho mas napsanej dosud. Co se tyce blokovani konkretni TCP respektive UDP komunikace, tam obvykle zadne zasahy nutne nejsou. jestli firewall blokuje spojeni na TCP port 80, blokuje ho bez ohledu na to, ktere z IP se na prenosu toho TCP podilelo.
Takze jedine nad cim se je nutne pripade zamyslet jsou "provozni" a "pomocne" pakety. Napriklad ICMP6. Nebo kdybys snad chtel pri filtrovani komunikace pouzivat nejake IPv6 specificke informace - treba nejake IPv6 Extension headers.
O neco komplikovanejsi to zacne byt az/pokud se rozhodnes IPv6 nejen prijmout na vstupnim interface, ale taky nabizet klientum do vnitrni site. Ale ani tam to neni nejak zasadne slozitejsi.
Navic, uz ted vsichni tvoji Windows uzivatele IPv6 konektivitu, ktera navic zcela obchazi tvoje firewally, maji, takze z hlediska jejich bezpecnosti muzes tim, ze jim zacnes IPv6 konektivitu poskytovat "nativne" tezko neco zasadne zhorsit.
Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
