【時代が追いついた】IPv6スレ ver11【にわか爆増】
レス数が1000を超えています。これ以上書き込みはできません。
■ 前スレ
【風前の灯火】IPv6スレ ver10【IPv4NATに完敗】
https://mao.5ch.net/test/read.cgi/network/1356679044/
■ 関連リンク
情報サイト
ttp://www.jaipa.or.jp/ipv6/
ttp://www.atmarkit.co.jp/channel/ipv6/ipv6.html
関連サイト
ttp://www.kame.net/
ttp://www.linux-ipv6.org/
IPv4 over IPv6 商用サービス
ttps://www.iijmio.jp/guide/outline/ipv6/ipv6_access/dslite/
ttp://www.jpne.co.jp/service/v6plus/
ttps://www.bbix.net/service/ipv6ipv4/
トンネリング関係
ttps://www.nic.ad.jp/ja/basics/terms/map-e.html
ttp://www.6to4.jp/
ttp://www.freenet6.net/
IPv4枯渇関係
ttp://ipv4.potaroo.net/
ttp://www.kokatsu.jp/blog/ipv4/
ttp://www.google.com/search?hl=ja&q=IPv4%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E6%9E%AF%E6%B8%87 ルーターは中古でかったFortigateをONU直下に接続している。
家庭用じゃないのでIPv6パススルーなんて機能は無いと思うので、L3ルーティングが必要と思い、wan側とLan側に別々のIPv6セグメントが必要とおもった。
この場合プロバイダ側ルーターからLAN側セグメントへのルーティングをfortigateに向けてもらえらのか?
とか、どうも発送がIPv4の考え方から抜け出せない。
IPv6でNATはしたくないし。
ますばIPv6の勉強が必要だ。 なるほど、割り当てられたPrefixはLAN側に割り当てて
wan側はリンクローカルアドレスでキャリア側ルーターにデフォゲ向けるんか。
ここで出てくるんがND Proxyとやらかな?
こんなムズいん普及せんやろww WANもLANも同一Prefixの場合はND Proxyが必要、とは限らなくて
L2でブリッジしつつL3ヘッダまで見てフィルタするという手もある
IPv4でサブネットの途中に入れるには、
Proxy ARPするとか、L2でブリッジしつつL3ヘッダまで見てフィルタするとか
やり方は複数あって、○○が必要とは限らないのと同様
(Fortigateで、どれができてどれができないとかは知らないが)
貰えるプレフィックス長が、ひかり電話契約と連動しているというNTT東西特有の事情が厄介なのであって
そこはひかり電話契約してしまってDHCPv6-PDで/56の移譲を受ければ
素直にL3でルーティングできる >>954
>L2でブリッジしつつL3ヘッダまで見てフィルタするという手もある
そんな実装ないだろ?俺が考えた最強のじゃないの?
現在の実装は、ND Proxyが必要でしかないよ。市販ルーターがND Proxyなんて変な名前の機能なのもそう言う理由だろう >>953
残念ながらコンシューマ向けのでその実装で普及してる 確かにFortigateであればL2ブリッジモードで動かしてもL4ファイヤウォール機能は可能だけど、今使ってるIPv4環境も同時にそのまま動かしたい。
仮想的にFortigateを2台にわけて云々になってくるとどツボに嵌りそうなので、FortigateでND proxyの方向でIPv6勉強しながら頑張ってみます。 >>955
俺が考えたわけではなくて実際に市販品がある
たとえばヤマハ機でブリッジインタフェースを使ってフィルタを適用した場合は
「ブリッジングの過程で処理されます。言い換えればこれらのフィルターはデータリンク層(L2)で適用されるようになります。 (処理自体はL2で行われますが、必要に応じてパケットのIPヘッダ以降をチェックします)」
と明記されている
http://www.rtpro.yamaha.co.jp/RT/docs/bridge/index.html
またコンシューマ向けで言うと、I-O DATAのWN-AX1167GRでIPv4 over IPv6が使えるモードにした場合は
IPv6については、通るパケットはL2でブリッジしてるかのようにそのまま転送される(ND ProxyのようにMACアドレスがルーターのものに差し替わるとかは起こらない)が、
WAN→LAN方向でいきなりTCP SYNが立ってるパケットは捨てられるなど、L3のヘッダを見ないとできない処理が行われる
またこの機能は(IPv6の)SPIと呼ばれていて、ND Proxyなどの呼び名はこの機種では一切出てこない
I-O DATAの中でも特定の機種のみで、これの後継機からは他社同様ND Proxy前提のものになってるが なんかgw前辺りからアクションネトゲのラグが酷くなったんだが
どうやら俺の環境(ないし通信経路)に問題があるようだ
ググったところとりあえず俺はまだPPPoE接続であり、プロバイダがIPoEのオプションを無料化していたようなので
IPoEとやらに切り替えてみることにした
ルーターも買い換える
これでラグが治ったらいいな ぷららのV6コネクトでIPv4 over IPv6を入れてみたけど、V4網はCGNを
通るので外側からアクセスができなくなるんですね。
v4はPPPoEで、v6はIPoEの設定はできるのかな。 >>960
ntt.setup:8888/t
で設定できた IPv6のセキュリティネタでまた何か一部で盛り上がってるね
end to end の原則に従ってエンドポイントで担保しろってのも判るんだけど
個人的には多層防御(境界防御+エンドポイント)したい感
でもそんな事てきるのは全体からしたらごく一部だろうね
セキュリティとか知らんしって層が20年前より圧倒的に増えてるし
理想論だけじゃ現実に対処できてないんじゃないかなぁ
最低限の防御として境界ルーターでのSPI制御は有った方がいいと思うんだけどなぁ
ネットワークの運用設計だとか思想で決めることだから、これが正解ってのは決められないけどさ 外からつながらないと思ったら、フレッツのHGWで外から中のv6接続を
受け付けない設定がデフォルトなのね IPv4の時代でも、大学とかグローバルいっぱい持ってますのとこでは、
ファイアーウォール何それな平和な時代は特に何もなし
ウィルスが社会問題になって、ファイアーウォール機器を入れよう
(初感染侵入がメールなどで、LANでも蔓延するウィルスが問題になって、パソコンにウィルスソフトを入れよう)
だったような
ファイアーウォール機器を入れないとこが、セキュリティとか知らんしだったな(ファイアーウォール機器がそれなりの価格でもあった。20万とか)
そしてご存知のようにw、廉価版なルータにファイアーウォール機器と同じ機能がついたのでそれが常識と
>end to end の原則に従ってエンドポイントで担保しろ
IPv4の時代でもファイアーウォール機器を入れるのがってあったんだから、IPv6だから要らないとか無理があるな ああ、ファイアーウォールを「入れられちゃって」それに「(ある程度)自由に穴を開けられない」という、人による障壁wがあるような「環境」な人が、
>end to end の原則に従ってエンドポイントで担保しろ
とか言い出すのはわからないでもない。でもそれは人による障壁による環境だからな、全く別の話ある意味特定事例の話だな
UPnP/NAT-PMPはNATという特性からの必要性から生まれた規格なのだろうが、目的は同じなんだからファイアーウォールに穴を開ける似たような規格が欲しいところではある ああ、すでにあることはあるんだな、規格としては
Port Control Protocol (PCP)
https://en.wikipedia.org/wiki/Port_Control_Protocol UPnP IGD v2 で IPv6 のサポートしてた
WANIPv6FirewallControl 及び、PCP を実装してるのもあった!なんだw
今度試してみよう SPIとかフィルタ機能入れろってのはIPv6家庭用ルーターガイドラインとかRFC7984とかある
https://www.v6pc.jp/jp/wg/coexistenceWG/v6hgw-swg.phtml
NUROを問題視してるみたいだけどソネットも協議会メンバーの内 まだ読んでないけどPCPはUPnPのように脆弱な物になるのかな
フィッシングとかトロイには全くもって無防備だったよね
>>963
それで困ってる人が多数居たらもっとその認知広まってるよね NUROはNTTみたいにHGWの調達仕様定めてないんかな AWSのlightsailがIPv6に対応したら
自分専用のIPv4 over IPv6トンネル作るのに。 >>969
ファイアーウォールを誤解してる
フィッシングとかトロイってすでに侵入されPCで動いてるんだろ
ポート開いて待ってるのが動いてなきゃ意味がないんだから
そんなの動いている時点で問題外だろう >>969
はずしたら全部外れちゃうのもなんだかな マンションエントランスのオートロックはないよりあった方がいい
でもオートロックあるからと各戸の玄関ドアの錠をかけないとか
そもそも錠がない部屋とかがあるのが問題
v4はなぜかオートロック(FW)頼りが許されたかもしれないが、
v6にもなってそういう運用や機器は許したくないな
(繰り返すがその上でFWはあった方が良いけど、そこは本質ではない) >>971
lightsailなら簡単にできるの? Linux/FreeBSDなら簡単軽いだろ
lightsailは安いんだろ >>975
例えがおかしい
そのおかしい例えで言えば、オートロックも各戸も同じ鍵だぞ?だったらどっちがは不要だな
そのおかしい例えで言えば、オートロックも各戸も同じ鍵でもで意味があるとしたら、マンション内に泥棒が居る場合 も 想定した場合でしかない 第一v4だろうがv6だろうが個々でセキュリティを掛けるべきだろう LAN内でウィルスが蔓延する危険性がある(そういうことする馬鹿がいる)+絶対に蔓延させてはならないなら、
ファイアーウォールどうのではなくて、アンチウィルスを全てのに入れろって別の話だな
ファイアーウォールの動作を知らないセキュリティ考えてます風情がなんか知ったかで語っても的外れなだけだな
>>975のような「許したくない」とかネットワーク管理してる立場ならもっと勉強しろって話だな >>979
なんか無駄だなというのはあるんだがな
ちゃんと考えてやるとめんどくさいしなw
セキュリティなんて基本何にも役に立ってないぞ、ある意味単なる保険。保険料(なんらかのコスト)が高くなければ全てのがセキュリティ掛かってるだろう、言われるまでもなく 個々でセキュリティをかけるべきだろうと言うのは正論だと思う
でもそれをかけられないお粗末な機材があったり
よくわからんけど邪魔だからって無効にしちゃったり
どっかのプリインFWソフトが試用期限過ぎて無効な状態なのにWindowsFirewallを有効化しないままだったり
まぁ色々とお粗末な事態は起きてる
そしてちゃんと考えない家庭が大多数と思われる パケットフィルタリングはFWでやろうが個々でやろうが同じ
IPv4の時も同じで、もちろんIPv6だからということもない
IPv6に限っての特別なことではなく、IPv4で特に問題になったことがないんだったらFWだけでも別にいいだろうにとしか思えんな
問題になったことがない=社会問題化するような事件があったかという
>>979のようなのはセキュリティのスレでの話題だな 今でも4G接続すればどうせフィルタ無しでIPv6接続するからなあ、アドレスは非固定だが
この先5Gになればスマホ以外にも5GでIPv6なIoT機器も増えていくだろうし
自宅LANにFW設定してるからそれで安心、なんて話にはならんだろ 個々のノードででなきゃっていうのは、
NAPTでなきゃっていうのに通じるものがあるな
もはや IPv6ってなーに、ファイアウォールってなーに?の人達はとりあえず一定のセキュリティはできてるんだよなあ
問題はこのスレにいる俺らみたいな人で、「とりあえずファイアウォールは無効」なんていって設定して回る奴らだな
スレチだが。
IPv6の利点は、桁数多い分総当たりに時間がかかることかねぇ
90年代みたいにネットにつながった瞬間にWinPopUpで英語のメッセージが来たりしないし セキュリティに関してはNTT東西でウィルスクリアとかセキュリティ対策ツールがゴリ押しされた気がする。
東のウィルスクリアはやめたけど西のセキュリティ対策ツールもそのうちどうなるだろうな。 FWは存在すべきではないしNATも同様
必要とかあっても良い言い出す技術力が低いバカの言うことに耳をかす必要なし
こういう状況では有用云々言い出すと結局なし崩し的にv4と同じ路を辿るんだから例外なく認められない 正直IPV6ですら総当たりでアドレスアクセスするやついて気持ち悪い
まさかやってるとは言わせんぞ >>989
口だけの自称俺賢いでしかないな
何を必死なんだかなw FWはともかくNAPTは「グローバルIPじゃないから大丈夫」と思考停止
しちゃう人が多くて、IPv6ではもうメリットより害の方が大きいように思う そんな危惧しなくていいよ、NAPTを実装してる廉価版ルーターなんてほぼ皆無だし、多分これからも実装されないんじゃね いやでもこのスレでもNAPTやりたいとかいう奴が
定期的にでてきてお前何のためにやるんだと小一時間 知ってるノード間では接続可能だが、他の知らんのは断固断るって場合、どうすんだろ
ノードをチマチマ設定するのか?人間ミスする生き物だから漏れるのは普通にあるな
そこに技術力なんてないただの手数があるかないかでしかなく、FW使うのが普通に選択肢になるだろう
で、そんなのをFWでやると、ノードでやるのは無意味に近くなるな。同じパケットをブロックするんだから >>995
パケットフィルタリングを知らないもしくは使ったことがないだけだろう
そんなにムキになることはないな このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 767日 22時間 18分 5秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
