[LAC-TF] Aplicaciones y/o servicios solo para IPv6

Arturo Servin aservin at lacnic.net
Fri May 18 08:39:48 BRT 2012


On 17 May 2012, at 20:33, Fernando Gont wrote:

> On 05/17/2012 07:09 PM, Arturo Servin wrote:
>>> Por consiguiente, al menos la mitad del trabajo necesario para atravesar
>>> NATs también deberá ser hecho en IPv6.
>> 
>> No, no lo creo.
>> 
>> No es lo mismo atravesar un NAT que un FW.
> 
> Lo unico que cambia es que si el protocolo de aplicacion transfiere
> direcciones IP, tenés que implementar un ALG, para sobreeescribirlas.
> Pero el resto es muy similar.

Claro, lo "unico", pero resulta que es lo mas dificil. Y es precisamente donde los NAT patinan, en los ALGs.

> 
> Sin ir mas lejos, fijate por ejemplo que una buena parte de la
> complejidad de tecnologias como Teredo tiene que ver con la
> característica de "firewall stateful" de los NAT, mas que con el hecho
> de que las direcciones son traducidas.

Si, posiblemente, pero los trucos que tiene que hacer Teredo son por el NAT y resulta que el FW al hacer su trabajo no lo deja funcionar. Aunque las fallas finales sean de un FW, creo que el origen del problema es la complejidad del protocolo gracias al NAT.

Al tener IPv4 o IPv6 (con FW o sin ellos pero) sin ningun tipo de NAT creo que la vida de los desarrolladores de aplicaciones se facilita enormemente.

> 
> Si queres hacer P2P, y tenes un firewall stateful en el borde, tenes que
> empezar a hacer "magia" para "punchear" agujeros en el fw...

Magia? Ademas del estado, no solo son las reglas de salida y entrada?

No soy experto en codigo de FW, pero en realidad no veo mucha complejidad en el filtrado (sea stateless o stefull) contra la translacion.

Slds
as

> 
> Un abrazo,
> -- 
> Fernando Gont
> SI6 Networks
> e-mail: fgont at si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 




More information about the LACTF mailing list