на главнуюВсе эхи RU.NETWORKS
войти ?

Re: IPv6

От Ivan Shmakov (2:5020/400) к Valentin Nechayev

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


From: Ivan Shmakov <ivan@theory.asu.ru>

>>>>> "VN" == Valentin Nechayev <netch@segfault.kiev.ua> writes:
>>>>> "IS" == Ivan Shmakov wrote:

[...]

VN> Та же фигня, вид сбоку - или он что-то знает про UDP, TCP, SCTP и
VN> какой-нибудь хренСГорыTP, и он их пропускает - или ничего не знает
VN> и обходится эвристиками типа "разрешение по паре IP",

IS> ... Эвристиками?

VN> после которого он нахрен бесполезен.

IS> В случае острой необходимости пропустить некий протокол между двумя
IS> IP-адресами через firewall, можно закрыть глаза на безопасность и
IS> сделать (src, dst, proto) -> allow. При использовании NAT -- все,
IS> приехали.

VN> Это слишком грубое решение. Разрешить, например, весь TCP означает
VN> фактически открыть таз миру.

Проблема в том, что если firewall не умеет некоторый протокол,
его можно разрешить для данной пары адресов на firewall, после
чего управлять доступом настраивая firewall на той конкретной
системе, где оный протокол требуется.

Частично переложить обязанности NAT на конечную систему с
маршрутизатора, очевидно, куда сложнее.

[...]

--
FSF associate member #7257
--- ifmail v.2.15dev5.4
* Origin: Aioe.org NNTP Server (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.NETWORKS?msgid=<1187352136@violet.siamics.int>+3793fd5a