sslug-teknik team mailing list archive

Thread
Date

Re: IPv6 port forwarding

To: sslug-teknik@xxxxxxxx
To: Bent Bagger <bent.bagger@xxxxxxx>
From: Donald J Axel <donax@xxxxxx>
Date: Sun, 11 Dec 2011 12:35:07 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <jbt93b$nmm$1@www.sslug.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: d-axel.dk

On Fri, 09 Dec 2011 16:22:19 +0100
Bent Bagger <bent.bagger@xxxxxxx> wrote:

> Hej Donald
> 
> Nu har jeg kigget nærmere på dine kommentarer og jeg kan se, at
> min trykfejl har spredt en hel del forvirring. Jeg burde vide
> bedre, for jeg har i flere år giver et Linus-kursus på
> Ingeniørhøjskolen i Ballerup, og et af de emner, jeg gør meget ud
> af, er netop bygning af firewalls. På det kursus rører jeg
> overhovedet ikke ved IPv6 og det er nok grunden til, at jeg uden
> videre antog, at IPv6-versionen af netfilter kunne det samme som
> IPv4-versionen.
> 
> I øvrigt lærer jeg udelukkende mine studerende at bruge iptables,
> for jeg synes, at har man først fanget ideen om, hvordan en pakke
> passerer gennem netfilter, er det simpelt og ligetil at lave de
> nødvendige regler 
> - medmindre man altså kløjs i betegnelserne ;-)
> 
> Bent
> 
> PS Måske skulle vi lave et IPv6-show sammen og rejse med det??

Glimrende ide med et "IPv6 road-show" :)

Lidt filosofi angående trykfejhl og missforståelser:

Pyt - en trykfejl kan give anledning til lidt arbejde og man kommer
jo mere og mere ind i tingene. Havde jeg hæftet mig mere med
subject "Port Forwarding" var det måske gået en anelse hurtigere,
men jeg skal da love for at jeg fik indsigt ved at grave!

Specielt har jeg klippet flg. linier:

 Critics of NAT techniques say they overturn the internet's
   end-to-end principle, hampering the development of network
   programs; however, some supporters think that this very aspect
   presents advantages because, they say, NAT can hide entire LAN
   structures.

//Kilde: Netfilter developers working on NAT for ip6tables - The H Open
Source: News and Features, URL har jeg glemt.//

Jeg tror det er en konflikt som er uforståelig for de fleste,
idet mange brugere opfatter computeren som noget TV-agtigt med
den tilføjelse at du kan skrive til "en mail server" og lign.

Mailserverens funktion opfattes som et postkontor, ikke som
en postkasse, der modtager direkte fra afsenderen. (Jeg var selv
offer for den vildfarelse for 20 år siden).

Mange - måske de fleste brugere - ved ikke, at man selv kan have
en webserver - de ved heller ikke, at det er NAT, som gør, at man
tvinges til at bruge fx.  blogspot.com hvis man vil offentliggøre
fx. en webside om brevdueforeningens næste møde.

---ooo---

IPtables: JA! Den er nem at forstå, når først man har "oversat"
chain-rules til "if-sætninger". Det gamle danske udtryk
"beslutningstabeller" er meget mere besynderligt og problematisk
(og dækker ikke den mekanisme som "chains" betegner.)

En simpel firewall, som lukker for alt, kræver kun at man forstår
mekanismen med kendte portnumre for services og connection
tracking; men det er faktisk også ud over almindelig forståelse.

Jeg har ikke checket Shorewall, som også skulle være god til
traffic shaping. Det kan være en lettelse at have en GUI-menu
til den slags, men jeg vil hellere bruge scripts.

Venlig hilsen/Donald

-- 
Donald Axel <donax@xxxxxx>

References

IPv6 port forwarding
From: Bent Bagger, 2011-12-06
Re: IPv6 port forwarding
From: Jeppe Koefoed, 2011-12-06
Re: IPv6 port forwarding
From: Donald J Axel, 2011-12-07
Re: IPv6 port forwarding
From: Bent Bagger, 2011-12-09