Jakub Jelínek oznámil vydání verze 15.1 (15.1.0) kolekce kompilátorů pro různé programovací jazyky GCC (GNU Compiler Collection). Jedná se o první stabilní verzi řady 15. Přehled změn, nových vlastností a oprav a aktualizovaná dokumentace na stránkách projektu. Některé zdrojové kódy, které bylo možné přeložit s předchozími verzemi GCC, bude nutné upravit.
Byly vyhlášeny výsledky letošní volby vedoucího projektu Debian (DPL, Wikipedie). Staronovým vedoucím zůstává Andreas Tille.
Jason Citron končí jako CEO Discordu. Od pondělí 28. dubna nastupuje nový CEO Humam Sakhnini, bývalý CSO Activision Blizzard.
Článek na Libre Arts představuje baskytarový multiefekt Anagram od společnosti Darkglass Electronics. S Linuxem uvnitř (licence, GitHub).
Městský soud v Praze vyhlásil rozsudek, který vyhověl žalobě novináře Jana Cibulky, který s podporou spolku IuRe (Iuridicum Remedium) požadoval omluvu od státu za to, že česká legislativa nařizuje operátorům uchovávat metadata o elektronické komunikaci. To je přitom v rozporu s právem. Stát se musí novináři omluvit a zaplatit náklady řízení. Především je ale součástí přelomové rozhodnutí o nelegálnosti shromažďování dat a o
… více »Americké technologické firmy Apple a Meta Platforms porušily pravidla na ochranu unijního trhu, uvedla včera Evropská komise (EK). Firmám proto vyměřila pokutu – Applu 500 milionů eur (12,5 miliardy Kč) a Metě 200 milionů eur (pět miliard Kč). Komise to oznámila v tiskové zprávě. Jde o první pokuty, které souvisejí s unijním nařízením o digitálních trzích (DMA). „Evropská komise zjistila, že Apple porušil povinnost vyplývající z nařízení
… více »Americká společnost OpenAI, která stojí za chatovacím robotem ChatGPT, by měla zájem o webový prohlížeč Chrome, pokud by jeho současný majitel, společnost Google, byl donucen ho prodat. Při slyšení u antimonopolního soudu ve Washingtonu to řekl šéf produktové divize ChatGPT Nick Turley.
Po roce vývoje od vydání verze 1.26.0 byla vydána nová stabilní verze 1.28.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.28.
Byla vydána nová verze 10.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 211 vývojářů. Provedeno bylo více než 2 800 commitů. Přehled úprav a nových vlastností v seznamu změn.
42 svobodných a otevřených projektů získalo finanční podporu od NLnet Foundation (Wikipedie).
Tento blog obsahuje nebezpečnou symboliku.
Adresní prostor IPv4 se jednoho dne vyčerpá o tom nemá cenu diskutovat. IPv6 ale jakoby nikdo nechtěl - protože existují řešení pro záchranu v4. Nikoliv technický, ale stěžovací zápisek.
Odkud začít. Doma jsem řešil problémy s připojením, které asi nemá smysl dlouze popisovat (prakticky se jednalo o port forward na 3 stroje a stejnou službu). Naštěstí mám inteligentního ISP (je sice hezké mít na chodbě vlákno, jenže od jeho vlastníka, firmy RioMedia, se dozvím akorát tak seznam TV stanic a rychlost připojení sice pěknou, ale bez IP konektivity jaksi zcela zbytečnou) se kterým se dobře spolupracuje, takže problém byl vyřešen přidělením IPv4 /29 subnetu což pro mě zatím stačí a až tam budeme dva, tak už snad budu mít IPv6 /48. Takto to má vypadat. Chceš IP? Dostaneš.
Teď ty problémy. Jistému nejmenovanému (protože je to jedno) úřadu státní správy docházejí v4 adresy. Spravuji pro ně dva servery a už při instalaci druhého byl problém s volnými IP. Jeden by si myslel, že to bude impuls pro nasazení (nebo alespoň uvažování o nasazení) v6. Nikoliv. Řeší to překladem 1:1. Je přece fajn mít z každé strany jinou IP pro tentýž server. Tak co, vyřeší se to vnitřním a vnějším DNS serverem - dotaz na stejné jméno vrátí jinou IP podle toho, zda jste venku nebo vevnitř. Krása. A nařízení vlády o použití IPv6 pro nové servery? Však on to možná po volbách někdo změní a když ne tak je to jen další věc, která se nestihla.
Další krásný nápad je http proxy 6to4. To je prosím navrhované řešení jednoho známého v diskusi na téma IPv6. Ono s tím souvisí i snahy některých sledovat a filtrovat http provoz no a když už tam ty proxi jednou budou...
Jako třešničku na pomyslném dortu beru preferenci natu jednoho dalšího známého. Jeho tabulky filter, nat a mangle, queue tree-shaper v RouterOS bych vám tedy nepřál. Totéž by se na routovatelných adresách udělalo několika srozumitelnými pravidly. Jenže nat je bezpečný, že jo. Co na tom, že to pravidlo v tabulce forward
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
-i
WAN -o LAN -j REJECT
nemá s překladem adres pranic společného.
Takže asi tak. IPv6 není potřeba. Na vše je řešení, 65535 počítačů doma má málokdo a těch pár počítačů je i z jedné adresy krásně dostupných.
Co mi již delší dobu vrtá hlavou je proč tito (a to prosím nejsou žádné IT lamy, jedná se o programátory, správce sítě a v jednom případě dokonce i šéfa IT oddělení) lidé odmítají IPv6. Proč nechtějí globální dostupnost svých strojů (z hlediska triviálního routování) s jasně danými adresami a místo toho vymýšlejí řešení jak obejít problémy, které by vůbec nemuseli mít.
Tiskni
Sdílej:
Co mi již delší dobu vrtá hlavou je proč tito (a to prosím nejsou žádné IT lamy, jedná se o programátory, správce sítě a v jednom případě dokonce i šéfa IT oddělení) lidé odmítají IPv6. Proč nechtějí globální dostupnost svých strojů (z hlediska triviálního routování) s jasně danými adresami a místo toho vymýšlejí řešení jak obejít problémy, které by vůbec nemuseli mít.Tak nad tím taky přemýšlím. Chápu, že některé implementace IPv6 mohou v některých zařízeních a sítích přinášet problémy (a tudíž velké finanční náklady na přechod, které si žádný manager nevezme na triko), ale IMHO výhody IPv6 přebijí snad všechno. Já se třeba nemůžu dočkat doby, kdy budu zcela běžně používat IPv6 Mobility.
Ale v tomhle asi úplně sám nebudu.
5.5.2010 13:34
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Co přesně ti brání zbavit se na vnitřní síti těch vnitřních adres a použít tam globální? Tomuhle právě nerozumím. Pokud tam chceš udělat přístup teď, musíš řešit nějaký překlad na veřejnou atd. Pokud by jsi tam měl globální adresy, tak jednoduše povolíš danou adresu ve forwardu.
Teď je to pohoda, člověk zná IP adresu každého serveru nazpamět, cca 30 strojů. Představa, že se z těch hezkých adres stane kurník, to by znamenalo minimálně zavedení DNS.
Pominu-li, že IPv6 může být díky '::' krásné krátká (/48 prefix::1, ::2 apod.) tak nasazení DNS je prospěšné i pro IPv4 sít. Pak si netřeba pamatovat jakékoliv IP a ty se mohou snadno změnit (změnou na DHCP).
A směrovat na více strojů dovnitř netřeba, vždyť máme VPN!
Jo, to jsem v zápisku taky zapomněl. Globální routování netřeba, máme tunely. 
5.5.2010 14:01
pavlix | skóre: 54
| blog: pavlix
5.5.2010 14:15
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Co mi přinese přechod na IPv6?
Možnost globálního adresování všech tvých strojů.
Mám tolik IPv4 adres, kolik potřebuji, tudíž mě nějaké vyčerpání netankuje.
Pokud máš IPv4 /16 tak gratuluji. Ale IPv6 konektivitu budeš časem také potřebovat už jen pro připojení na servery s IPv6 (a bez 4).
Ale IPv6 konektivitu budeš časem také potřebovat už jen pro připojení na servery s IPv6 (a bez 4).Pokud takove budou.
5.5.2010 19:08
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Já ani nechci, aby byl každý z těch strojů vidět napřímo.
Mohu se zeptat na důvody? Samozřejmě uvažuji vše za FW.
A abych se připojil k serverům co mají pouze IPv6 snad já IPv6 nepotřebuji, stačí mi, když IPv6 bude mít buď můj router přímo, nebo další za ním v řadě (a ten zároveň IPv4).
Tohle nelze. To by musel někdo vymyslet překlad 6to4 a 4to6 a takovou prasárnu snad nikdo dělat nebude (pokud to vůbec jde). Aby ses dostal na v6 server, potřebuješ v6 konektivitu až ke klientovi.
Kvůli bezpečnosti přece. Jsem si vědom, že NAT není bezpečnostní opatření, ale nelze popřít, že to případný útok dost ztíží. Vidím to podobně jako existenci vrátnice nebo recepce v domě či firmě.
S tou dostupností IPv6 serveru máš pravdu, měl jsem za to, že když doleze paket na router, IP hlavička se odebere a obalí se novou, tudíž by IPv4/IPv6 router někde na cestě mohl sundat tu IPv4 a nasadit IPv6 a poslat dál po IPv6 trase. Ale je fakt, že to je asi kravina, už jen proto, že klient by musel mít možnost mít v routovací tabulce záznamy pro IPv6 (jasně, lze tam mít pouze default gateway IPv4, ale v zájmu obecnosti...)
5.5.2010 20:53
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Kvůli bezpečnosti přece. Jsem si vědom, že NAT není bezpečnostní opatření, ale nelze popřít, že to případný útok dost ztíží. Vidím to podobně jako existenci vrátnice nebo recepce v domě či firmě.
NAT žádným způsobem útok neovlivní. Od toho tu je právě FW*. Jako "vrátnice" funguje např. reverzní proxy, která zachytává všechny (http) požadavky a předává je případně serverům ve vnitřní síti.
*) Odtud možná pochází ta domněnka o bezpečnosti NATu. Zatímco klasické routování žádný firewall na routeru v zásadě nepotřebuje, tak překlad adres ano. A zatímco u routovaných adres je bez FW dostupné vše, tak v případě natu, tak jak jej dělají různé krabičky, není zvenčí přístupné nic. Jenže stejně dobře to lze zařídit i pro globální adresy.
Jak vypadá takový jednoduchý NAT s jednim povolenym portem (snad jsem to nepopletl):
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # povolit navázaná spojení iptables -A FORWARD -i $IFACE_LAN -o $IFACE_INET -j ACCEPT # povolit zevnitr ven iptables -A FORWARD -i $IFACE_INET -p tcp --dport 22 -d 192.168.0.1 -j ACCEPT # povoleni portu iptables -A FORWARD -i $IFACE_INET -o $IFACE_LAN -j REJECT # zakazat z venku dovnitr iptables -t nat -A POSTROUTING -s 192.168.0.1 -j SNAT --to-source 77.48.22.10 # source nat pro vnitrni ip iptables -t nat -A PREROUTING --dport 22 -j DNAT --to 192.168.0.1 # presmerovani portu 22 na vnitrni ip 192.168.0.1
Tedy pro jeden port potřebujeme dvě pravidla + další pravidla pro překlad adres packetů směrem ven.
Bez natu se to značně zejdnodušší ale bezpečnost zůstane zachována (a toto by možná chtělo ukzázat všem správcům sítě, kteří trvají na tom, že nat je strašně jednoduchý):
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # povolit navázaná spojení iptables -A FORWARD -i $IFACE_LAN -o $IFACE_INET -j ACCEPT # povolit zevnitr ven iptables -A FORWARD -i $IFACE_INET -p tcp --dport 22 -d 77.48.22.18 -j ACCEPT # povoleni portu iptables -A FORWARD -i $IFACE_INET -o $IFACE_LAN -j REJECT # zakazat z venku dovnitr
Tedy jeden povolený port - jedno pravidlo.
Jasně, asi máš na mysli source routing, ten jsem ani neuvažoval, protože zkušenost mám takovou, že ho skoro nic nepodporuje (nebo blokuje). Ale jsem rád že má myšlenka je jinak správná. A ano, chápu že to není obrana jako taková, neprůstřelná jak beton. Ale zase ať mi nikdo neříká, že to minimálně nesníží počet útoků a celkové riziko.
Jinak tím celým se snažím říct, že zatím nevidím moc důvod přejít na IPv6, a ani si to neumím technicky moc představit. Nějaké výhody bych určitě našel (mezi pobočkami netřeba IPsec tunely, neboť je to integrovaná záležitost IPv6 apod.). Ale jinak nevím nevím. Navíc, když bych přešel na IPv6, mohl bych dosáhnout zase pouze na servery, které jsou IPv6 připojeny, ne? Ostatně to už mi tu někdo říkal a dává mi to smysl. To přece nemůže na nikoho platit. Co jsem tak zjistil, IPv6 konektivitu má cca 0.5% strojů. Jak by tohle vůbec mohlo v nějaké firmě projít, přechod na IPv6, všechno super, ale bohužel už se třeba nedostanete na kb.cz, protože nemají IPv6 konektivitu... (zvoleno jen jako příklad).
Jak by tohle vůbec mohlo v nějaké firmě projít, přechod na IPv6, všechno super, ale bohužel už se třeba nedostanete na kb.cz, protože nemají IPv6 konektivitu... (zvoleno jen jako příklad).Nemůžu uvěřit tomu, kolik lidí ještě neví o možnostech dual-stacku?
6.5.2010 13:08
pavlix | skóre: 54
| blog: pavlix
Chápu to tedy správně tak, že každý stroj v mé vnitřní síti (včetně brány) bude mít na svých rozhraních pověšeny jak IPv4 tak IPv6 adresy...Chápeš to správně. Všechny parametry budou nastaveny odděleně. Tj. všechno pro IPv4 (směrovací tabulky, GW) zvlášť a pro IPv6 taky. O tom, který protokol se použije, pak rozhoduje klientská aplikace (např. Opera když u webu dostane při překladu adresay zpátky IPv6 adresu, tak ji zkouší první)
Ale zase ať mi nikdo neříká, že to minimálně nesníží počet útoků a celkové riziko.
Jak se to vezme. Pokud porovnáte čistou maškarádu a úplně transparentní router, tak na tom maškaráda bude lépe. Pokud porovnáte filtr s maškarádou na jedné straně a samotný filtr na druhé, tak mne nenapadá nic, čím by maškaráda mohla bezpečnosti pomoci.
Ale dobře, já chápu tvůj pohled a souhlasím, že samo o sobě to bezpečnost nezaručuje.
6.5.2010 23:38
pavlix | skóre: 54
| blog: pavlix
7.5.2010 11:53
pavlix | skóre: 54
| blog: pavlix
Já ale nemyslím maškarádou jako takovou, tedy změnou zdrojové adresy paketu, ale samotným faktem, že existují neroutovatelné adresní prostory).1) Žádný adresní prostor není neroutovatelný, byť existují doporučení, co se má jak routovat. 2) Jestli se pakety routují nebo ne, je záležitostí konfigurace routeru a firewallu. 3) Maškaráda je primárně nástroj jak síť zpřístupnit, ne jak ji odstřihnout. 4) Pohled typu "tohle by se dělat nemělo, tak se proti tomu nebudeme chránit" je cesta do pekla.
(kterýžto potom maškaráda slouží).Parse error.
7.5.2010 12:32
pavlix | skóre: 54
| blog: pavlix
nejsou snad rozsahy typu 192.168.0.0/16...To, jak jsou uvedeny v RFC je doporučený způsob konfigurace. Na bezpečnostní stránku to nemá vliv, ta se musí řídit tím, co lze udělat a ne tím, co se dělat má.
sami o sobě představují zvýšené zabezpečeníAno, představují zvýšené zabezpečení... ale jen do doby, než to zabezpečení snížíš tím, že do té sítě uděláš díru třeba zrovna maškarádou. To je jako když zamkneš dveře a otevřeš okno. Obecně se říká, že zamčené dveře jsou bezpečnější než nezamčené. Při otevřeném okně se může tento rozdíl úplně vytratit. Za použití analogie se trošku omlouvám, ale v tomhle případě je na místě.
Jinak s těmi adresními rozsahy mi to nedalo, a našel jsem si RFC 1597:
As before, any enterprise that needs globally unique address space is required to obtain such addresses from an Internet registry. An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above.
Jestli to chápu správně, tak nejde o pouhé doporučení. Pravda, já jsem použil výraz neroutovatelná síť, což je trochu kravina, ale podstata věci tam snad je. Jinak mi ještě vysvětli, jak tam maškarádou udělám díru? Myslíš přesměrováním některých portů dovnitř? Pokud ze své privátní sítě vyšlu paket na třeba 10.0.10.1, pak router nebude vědět co s ním, protože taková síť nikomu přidělena nebyla. Pletu se?
Jinak dík za postřehy a vysvětlení všem, jsem zase trochu chytřejší.
8.5.2010 01:05
pavlix | skóre: 54
| blog: pavlix
Jestli to chápu správně, tak nejde o pouhé doporučení.A jakým způsobem útočníka RFC zastaví (za předpokladu, že mu osobně nedáš vytištěným balíkem RFC po hlavě)?
Jinak mi ještě vysvětli, jak tam maškarádou udělám díru?Na tom není co vysvětlovat. Účelem maškarády přímo je umožnit komunikaci, tedy už ty sítě nejsou úplně oddělené. Navíc maškaráda umožňuje komunikaci obousměrnou, i když obvykle vyžaduje první krok na jedné konkrétní straně maškarádujícího routeru. Dá se na to dívat i tak, že maškaráda (v jejím obvyklém použití) je služba, která umožňuje počítačům na vnitřní síti otevírat díry, nebo chceš-li tunely do veřejného Internetu. I tvrzení, že útočník nemůže (za žádných okolností) zvenčí způsobit otevření takové díry nebo tunelu je velmi naivní. Existují různé způsoby, jak přimět počítač na lokální síti (nebo dokonce jeho uživatele) ke spolupráci. Bohužel tyto techniky často stejným způsobem obejdou i některé varianty stavového firewallu.
Já jsem mluvil o opačném směru, kdy je spojení navazováno z IPv6 do IPv4.
Ale i pro druhý směr (který nelze úplně vyřešit) se používá finta, že se pomocí DNS pošle odpověď z druhé rodiny protokolu a klient pak vytvoří spojení na pomocný směrovač, který má z jedné strany IPv6 a z druhé strany IPv4, a spojení přeloží.
Samozřejmě že musí existovat nějaká gateway, která má přístup do obou světů. Transcedentální síťová rozhraní se ještě neprodávají :)
DNS tam je proto, že to je společná věc, které rozumí jak v4, tak v6 stroje. Motivací přechodných mechanismů je mít řešení, které nepotřebuje zásahy do koncových stanic. Proto je to takto.
Samozřejmě celou šarádu lze naimplementovat přímo do koncových strojů, takže to bude fungovat i bez DNS, ale obecně se to považuje za příliš nákladné. Navíc by se asi musel standardizovat mapovací prefix, aby se omezila nutnost konfigurace. Prostě by se to muselo pojmout jako třeba 6to4.
Je docela možné, že až se role prohodí a IPv6 Internet bude ve většině, tak se skutečně tak stane a velká peeringová centra budou provozovat anycastové TRT, NAT-PT nebo NAT64 gatewaye.
7.5.2010 11:57
pavlix | skóre: 54
| blog: pavlix
A na to, že funguje DNS, se nelze spoléhatNa fungování DNS nevědomky spoléhá naprostá většina uživatelů Internetu. Mnozí z nich ani neví, co to je IP adresa, a co víc, ani to vědět nepotřebují. Navíc i tady DNS slouží jen k překladu jmen.
6.5.2010 23:41
pavlix | skóre: 54
| blog: pavlix
A jak by tohle mohlo fungovat?No ono to fungovat nemůže... z čistě síťového pohledu. Jenže z toho stejného pohledu nemůže fungovat ani IP maškaráda (NAT). Takže pokud uznáš maškarádu za funkční řešení, dá se už vymyslet prakticky cokoliv, tedy i propojení nativní IPv4 s nativní IPv6. Ale samozřejmě se nevyhneš některým omezením, stejně jako u maškarády.
5.5.2010 21:35
pavlix | skóre: 54
| blog: pavlix
Teď je to pohoda, člověk zná IP adresu každého serveru nazpamět, cca 30 strojů. Představa, že se z těch hezkých adres stane kurník, to by znamenalo minimálně zavedení DNS.DNS není tak těžké a jestli ti stačí pro vnitřní sítě IPv4 adresy, zapamatovat si IPv6 + nuly navíc asi nebude zas tak těžké - fe80::192.168.0.123 nevypadá tak zle.
minimálně na železoTo nemáš žádný stroj, na který bys tuhle výkonově zanedbatelnou službu mohl přihodit...?
5.5.2010 14:07
pavlix | skóre: 54
| blog: pavlix
5.5.2010 21:41
pavlix | skóre: 54
| blog: pavlix
5.5.2010 22:20
pavlix | skóre: 54
| blog: pavlix
5.5.2010 21:38
pavlix | skóre: 54
| blog: pavlix
5.5.2010 22:22
pavlix | skóre: 54
| blog: pavlix
Kde jste přišel na dhcp pro IPv6 má být založeno na složení prefixu a MAC adresy
? Tohle samozřejmě není pravda.
Za prvé pro identifikaci DHCP klientů se nepoužívá linková adresa, ale DUID, což je víceméně náhodné číslo.
DHCP má stavovou (přidělování adres a delegace prefixů) a bezstavovou část (další nesouvisející volby jako jsou adresy DNS, SIP, NTP serverů). Přidělovaná adresa samozřejmě může být zcela nezávislá na EUI adrese, proto je to stavový protokol, kde se klient se serverem na adrese dohaduje.
A nakonec zrovna tak jako u bezstavového přidělování adres oznamováním směrovače je povinná detekce násobných adres.
Kde jste přišel na "dhcp pro IPv6 má být založeno na složení prefixu a MAC adresy"?
Pravděpodobně někde narazil na popis bezstavové autokonfigurace a domníval se, že to je jediná možnost.
6.5.2010 13:20
pavlix | skóre: 54
| blog: pavlix
Přidělovaná adresa samozřejmě může být zcela nezávislá na EUI adreseJá bych to neviděl zdaleka jako samozřejmost. V případě klasického DHCP (IPv4) je ta závislost implementována na DHCP serveru. V případě automatické konfigurace IPv6 pomocí NDP bez privacy extensions je ta závislost dokonce algoritmická. Zcela nezávislá nemusí být ani při použití DHCPv6, pokud se jako DUID použije EUI (což jde). Takže ano, je možné používat DHCP(v4) i DHCPv6 tak, aby adresa byla nezávislá na EUI, ale zdaleka bych to neoznačil za samozřejmost.
Bavíme se DHCPv6, ne? Takže do toho IPv4 nebo RA netahejme.
Abychom byli přesní, tak nám jde o DUID Based on Link-layer Address [DUID-LL]. Píše se tam:
… as long as that interface provides a unique link-layer address…
a ještě výše:
The DUID is designed to be unique across all DHCP clients and servers
The motivation for having more than one type of DUID is that the DUID must be globally unique,
Pro zařízení, která toto nesplňují, existují jiné způsoby tvorby DUID.
6.5.2010 23:51
pavlix | skóre: 54
| blog: pavlix
Bavíme se DHCPv6, ne?Já se snažil reagovat na vlákno jako celek. A těžko říct, jestli měl Aleš Kapica na mysli DHCPv6 a neměl tušení, jak funguje, nebo jestli měl na mysli RA a nevěděl, jak se to správně jmenuje. Mno... díky za citace, ale už jsem je četl několikrát a při reakci na tvůj příspěvek jsem si to pro jistotu procházel znovu. Takže to na mé reakci asi nic nezmění. V RFCčkách se občas najdou idealistické kecy. Teď nekritizuju, spíš konstatuju. To, že v RFC tvrdí, že něco bude nějak, ještě neznamená, že to praxe na 100% potvrdí. Neřeknu přesné postupy... ty většinou implementátoři pochytí dobře. Ale ve chvílích, kdy RFC překračuje meze popisu komunikačních protokolů, to může dopadnout úplně jinak. Viz třeba doporučení ohledně reverzních DNS záznamů, nebo třeba generování náhodných částí IPv6 unique local addresses. Nevěřím tomu, že když chce někdo předvést vytvoření lokálního IPv6 subnetu a pingu na síti, jejíž jediný účel je právě toto předvedení a životnost pět minut, bude takový člověk pečlivě generovat náhodnou část prefixu a neosází ji co já vím třeba nulami, které se dají ještě pěkně zkrátit :). Pardon za odbíhání od tématu.
6.5.2010 13:22
pavlix | skóre: 54
| blog: pavlix
6.5.2010 14:19
pavlix | skóre: 54
| blog: pavlix
6.5.2010 15:39
pavlix | skóre: 54
| blog: pavlix
6.5.2010 16:12
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
6.5.2010 15:31
pavlix | skóre: 54
| blog: pavlix
Třeba to že z něj děláš apriori blbce aniž bys věděl jestli se už s tou dokumentací seznámil nebo ne.To jsi špatně pochopil. Byla to narážka na neexistenci oficiální dokumentace pro novější verze RouterOS. Btw, já z nikoho blbce udělat neumím, pokud se to někomu stane, většinou si to způsobí sám. To ale není případ MarSarKa.
5.5.2010 14:04
pavlix | skóre: 54
| blog: pavlix
Pokud vím, tak má stále IPv6 nedořešené nějaké věci kolem DHCPTyhle problémy má DHCP na IPv4. Nevím proč pořád někdo musí z neznalosti kritizovat speciálně IPv6 kvůli vlastnostem, které se týkají IP protokolu obecně.
proč tito (a to prosím nejsou žádné IT lamy, jedná se o programátory, správce sítě a v jednom případě dokonce i šéfa IT oddělení) lidé odmítají IPv6Programator - i kolega tvrdi, ze programtor je linej, jenze to je trosku jina lenost, nez kterou ma admin. Adminova lenost pusobi tak, ze admin premysli, jak napsat efektivni skript, ktery celou praci udela. Programatorova lenost programatora akorat donuti ten kod od nekud zkopirovat. Takze, proc by programator mel prepisovat kod pro IPv6? Spravce site - IMHO je linej se ucit novou vec, nebo se boji, ze tomu nebude rozumet. Sef IT oddeleni spis bude manazerskej typ, kterej tomu sam houby rozumi, osobne bych tohohle tipoval na toho s tim routerem a nesmyslnyma pravidlama v routeru. Rekl bych, ze mas zrovna stesti na radoby-odborniky. Osobne bych IPv6 rad pouzival, problem je ta dostupnost. Par ISP mozna IPv6 nabizeji, ale zbytek na to kasle. Proc? Protoze aktualizovat HW bude stat sileny prachy, nutnost aktualizovat konfigurace a software bude stat taky sileny prachy. A kdo to pak od nich bude vyuzivat? Par profiku, protoze normalni BFU je jedno, co pouziva, hlavne kdyz mu bezi seznam, nova a dalsi weby. Takze ISP do toho nepujdou, dokud je zakaznici neprinuti. A zakaznici je neprinuti, protoze tem internet funguje. A poskytovale sluzeb jedou taky na IPv4, protoze zakaznici jsou prevazne na IPv4, takze proc by svoje sluzby meli za velky prachy predelavat na IPv6, kdyz o to neni zajem? Ono by to chtelo, aby centralni autorita zacala IPv4 stahovat z obehu a zastavovat provoz IPv4. Proste odebrat a zablokovat nepouzivane IPv4. Pak dat termin na rozjeti IPv6 a v tom terminu odebrat dalsi IPv4. Rozdavat dalsi IPv4 je nesmysl. Meli by proste rict, zadny dalsi IPv4 uz nedame, a za pul roku odeberem tuhle cast IPv4, prejdete na IPv6.
5.5.2010 13:54
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Programator
Opravdu líný programátor si podle mě vybere takovou třídu pro síťovou komunikaci, která takové sprostoty jako IPv4/6 nebo URL vyřeší za něj. On prostě jen chce, aby se ten program připojil.
Sef IT oddeleni spis bude manazerskej typ, kterej tomu sam houby rozumi, osobne bych tohohle tipoval na toho s tim routerem a nesmyslnyma pravidlama v routeru.
Ne, ten šéf není typický manager a není to tentýž jako s tím routerem. Je to vynikající technik ovšem s takovou povahou typu: "64b nenasazovat, jsou s tím problémy" - tedy raději ani nezkoušet; "jednou se mi pokazil disk Seagate / monitor Samsung a proto jsou tyto značky špatné". Stejně tak "jsou s IPv6 problémy a navíc IPv4 stačí".
Rekl bych, ze mas zrovna stesti na radoby-odborniky.
Tak to není, jen jsem vybral extrémy.
5.5.2010 14:10
pavlix | skóre: 54
| blog: pavlix
5.5.2010 14:12
pavlix | skóre: 54
| blog: pavlix
5.5.2010 21:46
pavlix | skóre: 54
| blog: pavlix
to je tak všechnou prumerne linuxove distribuce byla prace pro nekolik desitek lidi a mnoho patchu. Ten prechod z IPv4 na v6 neni tak primocary pokud musite projit hromadu kodu. Jinak pekne how-to: http://people.redhat.com/drepper/userapi-ipv6.html
6.5.2010 13:31
pavlix | skóre: 54
| blog: pavlix
Podle mne se "popírači IPv6" mezi odbornou veřejností dělí na dvě skupiny. První jsou ti, kteří úspěšně parazitují na současném bordelu a vydělávají na něm. Ať už tím, že pod označením "připojení k Internetu" prodávají zákazníkům služby, které mají se skutečnou konektivitou pramálo společného a za skutečné připojení si účtují mastné příplatky, nebo přímo prodejem zařízení a služeb, které by po přechodu na IPv6 ztratily veškerý smysl (to jsou vlastně ti, kteří ten bordel pomáhají vytvářet).
Druhou skupinou jsou uživatelé, kteří ze současného stavu sice nemají osobní prospěch, ale přechodem na IPv6 by se jim "zhroutil svět". Jsou to lidé, kteří nepamatují staré dobré časy end-to-end konektivity, takže jim ani nemohou chybět. Oni se seznámili s Internetem až v době, kdy už se svět dělil na klienty za maškarádou a servery s veřejnou adresou. Nezřídka jsou přesvědčeni, že maškaráda je bezpečnostní prvek, a z představy veřejně adresovatelné uživatelské stanice jim naskakuje husí kůže (není divu, většina z nich má problém vstřebat rozdíl mezi adresovatelností a dostupností). Na představě dvou strojů ze stejné firemní sítě, které se spolu baví přes server na druhém konci světa, nevidí nic špatného, protože "tak se to přeci dělalo odjakživa". Pokud je problém se spoluprací některého protokolu s maškarádou, je to pro ně automaticky chyba toho protokolu, protože maškaráda je pro ně nezpochybnitelná součást fungování Internetu a dost možná i celého vesmíru. Vysvětlit takovým lidem, že ty obezličky, které považují za nutné, jsou ve skutečnosti jen zbytečnou komplikací, je nadlidský úkol, protože se na vás budou dívat, jako byste jim tvrdil, že neplatí gravitační zákon.
5.5.2010 13:37
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
5.5.2010 14:15
pavlix | skóre: 54
| blog: pavlix
Že by Eclipse neuměl stáhnout updaty na počítači s IPv6 adresou jsem si nějak nevšiml.IMHO předřečník narážel na toto. Nejde ani tak o IPv6 adresu, jako o systém, který má IPv6, ale jen IPv4 konektivitu.
5.5.2010 15:16
otasomil | skóre: 39
| blog: puppylinux
Mate pravdu.
Asi nema cenu to hrotit.
FBU tento problem nezajima, casto ani nevi co je IP adresa natoz v4 ci v6.
ISP to obejdou po svem. Napr 1 vesnice (access point) = jedna IP - zakaznici ziskaji adresu v rozsahu 192.168.neco.neco.
Internet jim pojede a vic je nezajima a ani nechce zajimat.
O verejne ci neverejne IP nema naprosta vetsina uzivatelu ani paru.
Jinak myslenka IP v6 je samozrejme velmi dobra a moznost mit libovolny stroj k dispozici odkudkoliv je vyhoda, ale zas jen pro hrstku lidi co to potrebuji a nebo se o IT zajimaji z pohledu sitoveho provozu.
5.5.2010 15:30
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Jinak myslenka IP v6 je samozrejme velmi dobra a moznost mit libovolny stroj k dispozici odkudkoliv je vyhoda, ale zas jen pro hrstku lidi co to potrebuji a nebo se o IT zajimaji z pohledu sitoveho provozu.
To ale není celá pravda. Konektivitu potřebuješ nejen tehdy, pokud se chceš explicitně připojit domů ale i v dalších a daleko běžnějších případech. Vem si třeba jen chat nebo voip komunikaci dvou lidí. Dnes je zcela běžné, že to jde z jednoho PC na server (nebo v případě skype k nějakému nicnetušícímu chudákovi s veřejnou adresou) a na druhé PC. Přitom by to mělo jít přímo, bez mezičlánku. Jak píše Michal Kubeček, dnes už si přímé spojení někteří lidé ani neumí představit. Také posílání dat (fotek, dokumentů) dnes spousta lidí zcela automaticky řeší tak, že to uloží někam na webovou úschovnu a dají odkaz kamarádovi. Přitom se opět mohou spojit přímo. Atd.
Bohužel, dnes je nutné vysvětlovat něco, co dřív (před síťovou maškarádou) bylo zcela přirozené .
5.5.2010 21:53
pavlix | skóre: 54
| blog: pavlix
Jinak myslenka IP v6 je samozrejme velmi dobra a moznost mit libovolny stroj k dispozici odkudkoliv je vyhoda, ale zas jen pro hrstku lidi co to potrebuji a nebo se o IT zajimaji z pohledu sitoveho provozu.Byly doby, kdy tohle platilo pro provozování IP a pro přístup k Internetu obecně.
5.5.2010 15:07
otasomil | skóre: 39
| blog: puppylinux
Casem prijdete na to ze spousta technologii, veci .... jsou na velmi vysoke urovni, kvalitni ...
ale nikdo je nechce.
Proc ? ........ poznate, kazdy casem pozna a pochopi.
Mozna s IP V6 je to obdobne.
5.5.2010 21:56
pavlix | skóre: 54
| blog: pavlix
Mozna s IP V6 je to obdobne.Možná, možná ne :). To mi nicméně nijak nezabrání ho začít používat. Zvlášť, když sjem zjistil, že se sním učí jak můj domácí poskytovatel, tak můj poskytovatel virtuálů... a takovéty služby pro geeky typu vpsfree považují IPv6 dnes už za samozřejmost. Takže co je lepší argument? Hospodské kecy (případně jejich obdoba pod blogy) nebo reálné nasazení v konkrétních případech?
5.5.2010 22:01
pavlix | skóre: 54
| blog: pavlix
pouze že za určitých okolností může vzhledem k tomu jaká je tvorba IPv6 adres, vznikat problém.Což není pravda. V uvedené situaci problém vznikne bez ohledu na to, jaký používáš protokol na síťové vrstvě.
6.5.2010 13:38
pavlix | skóre: 54
| blog: pavlix
vzhledem k tomu jaká je tvorba IPv6 adresVidíš a kdybys četl reakce, tak by sis konečně uvědomil, že v tomhle konkrétně nemáš pravdu. A že daný problém s tvorbou IPv6 adres nijak nesouvisí. A rovněž nemáš pravdu v tom, že se takhle adresy při použití DHCPv6 tvoří. Nadávat na všeználky je ok, pokud se aspoň minimálně vyznáš v tématu.
6.5.2010 13:41
pavlix | skóre: 54
| blog: pavlix
Možná ti pak z textu docvakne že ne vždy si můžeš nadiktovat přes koho a co se můžeš připojit.Jak toto něco mění na tom, co jsem napsal výše?
Kašpárci co tady hledají máslo na hlavě adminů. Rád bych vás upozornil, že občas taky může být problém v tom, že hraniční router prostě technologii IPv6 nepodporuje.Poukázal jsem na to, že adminové, kteří kupovali ten hraniční router, mají stále máslo na hlavě. Ostatní tvé příspěvky v tomto vlákně jsou jenom bláboly, protože nevíš, kam bys vycouval.
5.5.2010 22:19
xxx | skóre: 42
| blog: Na Kafíčko
Je chyba domnívat se, že jde primárně o zařízení. Jistě ve firmě, kde jsou tři servery, třicet kompů možná ano. Jenže tam to ten správce dá do kupy poměrně bezproblémově.
Horší to začne být v okamžiku kdy jste firma a méte těch serverů 150 v několika různých hostinzích, řešíte QoS, accounting a jiné věci. Zavést v takovém případě IPv6 pro jednoho zákazníka není problém. Možná, že ani není problém zavést IPv6 obecně mezi svými prvky. Problém je ale vytvořit postupy pro obecné nastavení a otestovat je (od fw, přes nějaký plán adres, atd). A prostě nesmíte udělat chybu, která vám pošle celou vaší síť do kytek. Navíc tohle stojí peníze, které vám nikdo nedá. A dokavaď bude únosné řešit IPv6 on-demand, tak se do toho nikdo nepohrne.
Je chyba domnívat se, že jde primárně o zařízení.To taky netvrdím...
Horší to začne být v okamžiku kdy jste firma a méte těch serverů 150...Zkráceno: nasazení IPv6 znamená práci. Njn, holt nikdo nemůže čekat, že zavedení nějaké novoty půjde samo. Háček je ale v tom, že pokud nebudeme chtít vymýšlet ptákoviny typu NAT na straně serveru, tak se ta práce prostě dřív či později bude muset udělat.
5.5.2010 22:49
xxx | skóre: 42
| blog: Na Kafíčko
6.5.2010 13:44
pavlix | skóre: 54
| blog: pavlix
5.5.2010 21:58
pavlix | skóre: 54
| blog: pavlix
Kašpárci co tady hledají máslo na hlavě adminů.Kašpárci, co se věčně na něco vymlouvají... počkejte, až budou zajímavá pracovní místa obsazena těmi, co se vymlouvat nepotřebují.
5.5.2010 22:26
pavlix | skóre: 54
| blog: pavlix
5.5.2010 22:29
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Neděláš na nějakym ministerstvu?
Ale ne. Stačí použít google.
5.5.2010 22:36
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
No jo ... co mam ponětí, tak školství je na tom jen o něco málo líp, než zdravotnictví.
Naopak mám silný pocit, že opět současná doba posiluje představu, že pokud někdo nepobíhá zběsile po chodbách od jednoho stroje k druhému tak je vlastně zbytečný a lze ho tím pádem propustit.Neřekl bych, že to bude dobou, spíš tvým výběrem zaměstnavatelů.
Já na rozdíl od tebe se nijak netajím s tím kde, co a pro koho dělám.No spíš je to tak, že já to nevytrubuju do světa při každé aspoň trochu možné příležitosti. Narozdíl od tebe, který si při té příležitosti obvykle rovnou nad něčím zabrečíš.
6.5.2010 13:47
pavlix | skóre: 54
| blog: pavlix
Někdy si říkám jestli jsi vážně tak blbý, nebo to jen hraješ.Chlape tobě už asi vážně došly zbytky rozumných argumentů.
5.5.2010 22:11
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Hraniční router mezi dvěma AS neumějící IPv6? O takovém nějakém konkrétním víte? Cisco i Juniper se holedbají tim, jak jsou ready.
5.5.2010 22:16
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Že by na starý železo nebylo novější nebo bugfree vybavení?
5.5.2010 22:24
pavlix | skóre: 54
| blog: pavlix
6.5.2010 13:48
pavlix | skóre: 54
| blog: pavlix
Možná to někomu přijde směšné, ale momentálně díky skvělým protikrizovým opatřením někteří nemají finance málem ani na pastelky, a to je teprve květen.Čímž se vracíme zpátky k tomu, že někteří byli před pár lety málo prozíraví.
Když všemu tak dobře rozumíš a jsi tak skvělý čtenář budoucnosti..Tvá snaha obrátit všechno v ad hominem je dojemná... Jak starý je ten router? Dva roky? Pět let? Už tou dobou se vědělo, že IPv4 adresy docela brzo dojdou, a jenom díky IANA, která vytáhla z rukávu nějaké triky, se povedlo den D oddálit tak, že ty adresy nedošly ještě dneska. Ale přesto všichni nakupovali technologie bez podpory IPv6. Ať se budeš snažit jakkoliv, takoví lidé prostě nebyli prozíraví a basta.
Zřejmě ti uniklo několik fakt, tak nezbývá než ti je zopakovat.Žádné ze zopakovaných fakt nic nemění na to, že někdo nebyl dostatečně prozíravý, když to nakupoval. Je z toho vidět, že ti nedostatečně prozíraví jste nebyli vy, ale to jsem taky nikde neřekl.
Pracuji na VŠ, to je příspěvková organizace. Nákup čehokoliv neprobíhá podle systému co budem potřebovat za rok či dva, ale podle toho co potřebujeme, na co máme a co je k mání za ty prachy teď.Viz #96
5.5.2010 23:57
xxx | skóre: 42
| blog: Na Kafíčko
A pokud vám takový router nepatří, těžko můžete jeho vlastníka nutit aby na nic nedbaje kmital do krámu koupit nový jen proto že vy chcete používat IPv6.Můžeš honutit úplně snadno. Ty si zákazník, pokud si větší organizace máš velkou páku, A pokud hraniční router neumí IPv6 je to nejspíš starý krám který je potřeba vyměnit tak jako tak...
5.5.2010 17:07
