[LAC-TF] Netfilter developers working on NAT for ip6tables

Christian O'Flaherty christian.oflaherty at gmail.com
Thu Dec 1 19:07:00 BRST 2011 

>> Sin embargo si vos y yo desarrollamos algo simple y nuevo, y lo
>> comenzamos a probar cada uno desde su casa, funcionará sin problema
>> mientras no tengamos cosas raras en el medio que meta el proveedor.
>
> En la mayoria de los casos, esto se vuelve virtualmente imposible.
> Firewalls y NAT (en los bordes) son el principal problema. Pero en el
> core, por ejemplo, muchos routers tambien filtran paquetes con opciones IP.

Esa no es mi experiencia. Como cliente de 3 ISPs en Argentina, como
administrador en una red regional y otra global y como usuario en
Uruguay, no he visto filtros en la red. El CORE es absolutamente bobo.

>
> A modo de un simple ejemplo, *uno* de los argumentos para "deprecatear"
> (http://www.gont.com.ar/rfcs/rfc6093.pdf) el mecanismo de "datos
> urgentes" en TCP fue justamente que Cisco PIX filtraba, por default,
> paquetes que hacen uso de este mecanismo. Dado lo ampliamente desplegado
> que está este producto, el mecanismo ya no es confiabvle (reliable).

En el core de las redes no hay PIX u otros firewalls... no creo que
existan firewalls con puertos de 10G. Incluso las versiones de
software de los routers que usamos en el core son de las mas básicas
(y estables) y muchas veces bien antiguas.

> Hay varios estudios publicados sobre cuan dificil es hacer "funcionar"
> trafico con opciones TCP o IP... lo cual muestra quemas allá del
> direccionamiento o conectividad extremo a extremo, en lineas generales

Justamente esa es la prueba que el core es bobo... Esos routers solo
miran la IP destino y disminuyen el TTL. Pedirles que procesen el
campo options es demasiado :-)

> El problema es que, a la práctica, los usuarios no controlan un NAT. Vos
> controlarás el tuyo, yo controlaré el mio, etc. Pero "Doña Rosa"
> simplemente "enchufo el router inalambrico que compro en el
> supermercado, apra usar Internet". -- lease, no se va a poner a
> configurar el dispositivo, y en todos esos casos, la posicion del NAT

No esperamos aportes innovadores de "Doña Rosa". Estoy pensando en
chicos de 15 años que saben mucho mas que eso.

Cuanto mas simple sea para ellos desarrollar y probar sus cosas mejor
será Internet.

> Por otro lado (y mal que me pese), aquellos avances que han tenido un
> impacto concreto creo que han sido en la capa de aplicacion, y no en las
> capaz de transporte o internet. (Digo "mal que me pese", ya que dado que
> en gral. trabajo en capas de transporte hacia abajo.)

Justamente es a las aplicaciones que debemos simplificarle la tarea.
El que desarrolla la aplicación (que no sea sobre la web) tendrá que
dedicar mas tiempo a atravesar cajas "manipuladoras de paquetes" que a
su propia idea.

> El "problema" con el principio e2e es que, entre otras cosas, apunta a
> tener una red con al que todo el mundo puede jugar. Pero en ambientes de
> produccion, la filosofia aplicada usualmente es la opuesta: solo podés
> jugar con aquellas cosas que *necesitas* poder jugar.

Eso es correcto... La gente de IT de las empresas debe hacer eso,
dejando pasar solo lo "autorizado". Pero es decisión del cliente
final. En nuestras casas decidimos nosotros.

Christian

More information about the LACTF mailing list