עוד מישהו שם לב לזה?
זה הופיע היום גם במודם.
עריכה: גם מכשירים תומכים ברשת הפנימית מקבלים כתובות IPV6 מהמודם.
הוט עם הוטנט - מחלקת IPV6
- Amir64
-
- גורו
- הודעות: 10043
- הצטרף: אוגוסט 2012
- נתן תודות: 178 פעמים
- קיבל תודות: 1733 פעמים
- jagheadg (פותח השרשור)
-
- חבר ותיק
- הודעות: 1148
- הצטרף: דצמבר 2010
- מיקום: כפר הדרדסים
- נתן תודות: 52 פעמים
- קיבל תודות: 112 פעמים
·כנראה שלא כי הכתובת מבחוץ זהה.hamoomin כתב:זה בא ביחד עם דאבל NAT...
לפני כמה חודשים הייתה בעיה ואז גם פורטים פתוחים נחסמו.
אם זה כמו שאתה אומר אז כנראה שעכשיו זה מסודר כמו שצריך כי אין בעיות בכלל.
בנוסף המודם מחלק כתובות IPV6 ברשת הפנימית למכשירים תומכים.
לא מכיר את הנושא. מעניין על מה זה עוד משפיע.
- NegativeIQ
-
- חבר מביא חבר
- הודעות: 4423
- הצטרף: דצמבר 2005
- נתן תודות: 11 פעמים
- קיבל תודות: 570 פעמים
לפי טכנאי של הוט שדיברתי איתו לפני כשבועיים הוטנט ויתרו על ה-NAT כי זה גרם להם יותר מידי כאב-ראש. אשמח לדעת אם זה אכן המצב.jagheadg כתב:·כנראה שלא כי הכתובת מבחוץ זהה.......
לפני כמה חודשים הייתה בעיה ואז גם פורטים פתוחים נחסמו.
אם זה כמו שאתה אומר אז כנראה שעכשיו זה מסודר כמו שצריך כי אין בעיות בכלל.
בנוסף המודם מחלק כתובות IPV6 ברשת הפנימית למכשירים תומכים.
לא מכיר את הנושא. מעניין על מה זה עוד משפיע....
לגבי IPv6 - ממליץ לכם בחום לוודא שיש לכם Firewall פעיל על המחשב (Windows Firewall / iptables) כי בניגוד ל-IPv4 אין NAT שצריכים לפתוח בו פורטים ידנית - לכל מחשב יש IPv6 ציבורי משלו ואם אין Firewall אז כל הפורטים פתוחים לאינטרנט.
אני לא הבנתי משהוNegativeIQ כתב:לפי טכנאי של הוט שדיברתי איתו לפני כשבועיים הוטנט ויתרו על ה-NAT כי זה גרם להם יותר מידי כאב-ראש. אשמח לדעת אם זה אכן המצב.......
לגבי IPv6 - ממליץ לכם בחום לוודא שיש לכם Firewall פעיל על המחשב (Windows Firewall / iptables) כי בניגוד ל-IPv4 אין NAT שצריכים לפתוח בו פורטים ידנית - לכל מחשב יש IPv6 ציבורי משלו ואם אין Firewall אז כל הפורטים פתוחים לאינטרנט....
איך באמת ב IPV6 עובד כל הנושא של הפיירוול?
לדוגמה אם יש לי מחשב ברשת ביתית שיש לו IPV6
לעולם החיצון ואני רוצה שרק פורט מסויים אהיה פתוח לדוגמה 443
איך מפנים פורט אם אין NAT?
- jagheadg (פותח השרשור)
-
- חבר ותיק
- הודעות: 1148
- הצטרף: דצמבר 2010
- מיקום: כפר הדרדסים
- נתן תודות: 52 פעמים
- קיבל תודות: 112 פעמים
·אויי ואבויי. אפילו ה RPI שלי מקבלים IPV6NegativeIQ כתב:
לכל מחשב יש IPv6 ציבורי משלו ואם אין Firewall אז כל הפורטים פתוחים לאינטרנט..........
~$ ping6 google.com
PING google.com(fra15s12-in-x0e.1e100.net) 56 data bytes
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=1 ttl=55 time=69.7 ms
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=2 ttl=55 time=72.0 ms
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=3 ttl=55 time=67.2 ms
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=4 ttl=55 time=66.8 ms
זה אומר שכל המכשירים שאצלי בבית חשופים עכשיו ישירות לאינטרנט? למה לא מזהירים מראש.
האם הדרך היחידה ל"החביא" אותם מאחורי הראוטר היא לבטל להם בהגדרות את IPV6?
https://www.leowkahman.com/2016/03/19/d ... -raspbian/
עוד כמה קישורים מעניינים:
https://www.kalitut.com/2017/11/raspber ... -ipv6.html
https://www.kalitut.com/2017/11/raspber ... sions.html
- udif
-
- חבר ותיק
- הודעות: 2067
- הצטרף: אוקטובר 2005
- מיקום: תל אביב
- נתן תודות: 37 פעמים
- קיבל תודות: 124 פעמים
NAT זה לא firewallMrYair כתב:אני לא הבנתי משהו......
איך באמת ב IPV6 עובד כל הנושא של הפיירוול?
לדוגמה אם יש לי מחשב ברשת ביתית שיש לו IPV6
לעולם החיצון ואני רוצה שרק פורט מסויים אהיה פתוח לדוגמה 443
איך מפנים פורט אם אין NAT?...
NAT במקרה מתפקד כ firewall כי NAT לא מעביר פנימה שום פורט שלא נפתח באופן יזום על ידך.
הפניית פורטים היא הוספת קישור ישיר מבחוץ פנימה גם בלי שנוצר חיבור עקב פתיחת חיבור יזום מבפנים.
במצב בו אין NAT וכל הכתובות חשופות, צריך להגדיר חוקי firewall שפשוט מגדירים למה מותר להכנס ומה לא. (IP ופורט של המקור והיעד + TCP או UDP)
אין צורך להגדיר מיפוי פנימי, כי הכל 1:1
·
- udif
-
- חבר ותיק
- הודעות: 2067
- הצטרף: אוקטובר 2005
- מיקום: תל אביב
- נתן תודות: 37 פעמים
- קיבל תודות: 124 פעמים
Re: הוט עם הוטנט - מחלקת IPV6
·jagheadg כתב:עוד מישהו שם לב לזה?
זה הופיע היום גם במודם.
עריכה: גם מכשירים תומכים ברשת הפנימית מקבלים כתובות IPV6 מהמודם....
מחיטוט ברשת (בעקבות השרשור הזה), מצאתי את המסמך הבא:
https://www.gov.il/BlobFolder/policy/03 ... otocol.pdf
- udif
-
- חבר ותיק
- הודעות: 2067
- הצטרף: אוקטובר 2005
- מיקום: תל אביב
- נתן תודות: 37 פעמים
- קיבל תודות: 124 פעמים
·ag43 כתב:·קשה לי להאמין. ממש לא חסרות כתובת IPV6.........
לשואלים לגבי הפורטים - כעקרון כל שירות במחשב אמור לקבל כתובות IPV6 משלו וכך אין צורך יותר בפורטים. אני לא יודע אם זה מיושם בפועל....
שרותים ב IPv6 משתמשים בפורטים כמו ב IPv4. למעשה כמעט וניתן היה להריץ את TCP ללא שינוי על גבי IPv6 למעט שדה ב checksum ב TCP שכולל גם כמה נתונים משכבת ה IP כמו כתובות המקור והיעד, ולכן מימוש של TCP חייב לדעת אם הוא רץ על גבי IPv4 או IPv6.
- NegativeIQ
-
- חבר מביא חבר
- הודעות: 4423
- הצטרף: דצמבר 2005
- נתן תודות: 11 פעמים
- קיבל תודות: 570 פעמים
תקרא את מה שאודי רשם - כל הנושא של NAT ואבטחה הוא תוצאה נלווית של המצוקה בכתובות IPv4. ב-IPv6 אין מצוקת כתובות, לכן אין NAT ולכן כל הנושא של הפניית פורטים בכלל לא קיים, וכן, זה אומר שצריך לקנפג Firewall, אחרת כל פורט פתוח על המחשב שלך נגיש לכל מי שיודע מה כתובת ה-IP שלך (צריך לציין שלמרבה המזל סריקות IP מלאות זה לא משהו אפשרי ב-IPv6 כי סריקה כזו לא תסתיים לפני שהשמש תכבה, אבל יש דרכים אחרות להשיג כתובות IP של אנשים).jagheadg כתב:·אויי ואבויי. אפילו ה RPI שלי מקבלים IPV6......
~$ ping6 google.com
PING google.com(fra15s12-in-x0e.1e100.net) 56 data bytes
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=1 ttl=55 time=69.7 ms
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=2 ttl=55 time=72.0 ms
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=3 ttl=55 time=67.2 ms
64 bytes from fra15s12-in-x0e.1e100.net: icmp_seq=4 ttl=55 time=66.8 ms
זה אומר שכל המכשירים שאצלי בבית חשופים עכשיו ישירות לאינטרנט? למה לא מזהירים מראש.
האם הדרך היחידה ל"החביא" אותם מאחורי הראוטר היא לבטל להם בהגדרות את IPV6?
https://www.leowkahman.com/2016/03/19/d ... -raspbian/
עוד כמה קישורים מעניינים:
https://www.kalitut.com/2017/11/raspber ... -ipv6.html
https://www.kalitut.com/2017/11/raspber ... sions.html...
יש כמה אפשרויות - כמו שאמרת לבטל לגמרי IPv6 זאת אפשרות, אבל אתה מפסיד את היתרונות. האפשרות הכי קלה היא להגדיר חוקי Firewall על המחשב, באמצעות Windows Firewall על מחשבי Windows ובאמצעות ip6tables על מחשבי Linux. אפשרות נוספת זה להגדיר חוקי Firewall על הראוטר אם הוא תומך בזה.
·ושוב, המטרה היא בעתיד שלכל שירות תהיה כתובת משלו דבר שייתר את הפניית הפורטים ועוד בעיות. לא ברור אם ומתי ייושם.udif כתב:·......
שרותים ב IPv6 משתמשים בפורטים כמו ב IPv4. למעשה כמעט וניתן היה להריץ את TCP ללא שינוי על גבי IPv6 למעט שדה ב checksum ב TCP שכולל גם כמה נתונים משכבת ה IP כמו כתובות המקור והיעד, ולכן מימוש של TCP חייב לדעת אם הוא רץ על גבי IPv4 או IPv6....