[LAC-TF] Netfilter developers working on NAT for ip6tables

Fernando Gont fgont at si6networks.com
Wed Nov 30 09:15:28 BRST 2011


On 11/29/2011 10:13 PM, Juan Ant. Matos wrote:
> NAT en muchos casos ha hecho de las redes un espacio complejo. 

Las redes son complejas básicamente porque utilizamos la misma
tecnologia que hace casi 30 años, en un contexto completamente diferente.

Los NATs contribuyen, pero a eso podés agregar NIDS, IPS, pakcet
scrubbers, firewalls, proxies transparentes, etc., etc.


> Veo a
> NAT como el peor enemigo de las comunicaciones de extremo a extremo,
> sino preguntenle al Usuario Final X que ha intentado compartir una
> carpeta con el Usuario Final Y,  y sencillamente por la complejida
> que supone para el esto, sencillamente lo olvida y se vale de otros
> medios.

En tal sentido, un firewall stateful en el borde de la red basicamente
provocaría el mismo "problema".

Como yo lo he mencionado en algunas oportunidades/presentaciones, es
cuestionable cuan deseable es la conectividad "extremo a extremo" en el
caso general.

En el caso tipico, los usuarios consumen información, por lo que esa
conectividad "extremo a extremo" basicamente incrementa la exposicion a
ataques innecesariamente.

Y voy a citar un ejemplo concreto, de otros tantos que podría: Mi madre
comenzó a usar computadoras hace menos de un año. Actividad tipica:
e-mail y web. Hay algun motivo para que su sistema sea "contactable"
desde cualquier punto de la red por parte de cualquier sistema? - no. En
muchisimos casos, se aplica la misma logica.


> Considero, que en la medida que se implementen diferentes variantes
> de NAT en las redes, estas se iran volviendo mas complejas, 

La red se va a volver compleja de todos modos, simplemente porque no
hicimos lo que deberíamos ahber hecho, a tiempo.

Va a hacer falta compartir direcciones IPv4, por lo cual va a haber
despliegue de CGN. Van a haber usuarios con IPv6-only, por lo cual
también va a haber NAT64. Y en el medio tendremos una variedad de
tuneles... de los ya conocidos, y tal vez de algunos otros por conocer.

*Esta* complejidad es inevitable.

Lo que *si* todavia podemos hacer es evitar que todo el mundo tenga como
unica opcion estar detras de un CGN ad-infinitum. De ahi que IPv6 nos da
la posibilidad que en el mediano o largo plazo esa complejidad pueda ir
disminuyendo.


> talvez
> hasta llegar al punto de que los nodos con IPv6 no se puedan
> comunicar de manera transparente, quizas si esto pasara correriamos
> el riezgo de caer en donde estamos con relacion a NAT en IPv4.

Los nodos IPv6 en gral. no se van a contactar de manera directa
simplemente porque en la mayoría de los casos, y para los usos que
hacemos de la red actualmente, eso no es necesario.

Ejemplo: Comcast despliega IPv6 con un firewall stateful habilitado por
default en el CPE.

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






More information about the LACTF mailing list