[LACNIC/Seguridad] [LAC-TF] Netfilter developers working on NAT for ip6tables

[Fernando Gont]

On 11/30/2011 08:47 AM, Alejandro Acosta wrote:

>>> Veo a
>>> NAT como el peor enemigo de las comunicaciones de extremo a extremo,
>>> sino preguntenle al Usuario Final X que ha intentado compartir una
>>> carpeta con el Usuario Final Y,  y sencillamente por la complejida
>>> que supone para el esto, sencillamente lo olvida y se vale de otros
>>> medios.
>>
>> En tal sentido, un firewall stateful en el borde de la red basicamente
>> provocaría el mismo "problema".
> 
> Fernando, puedes extenderte aquí?.. ¿Por qué?. En realidad soy del
> pensar que un Firewall así sea stateful no rompe el end-to-end

Casi cualquier cosa que pongas en la red y que no se limite a reenviar
paquetes está rompiendo de algun modo con el "end to end" (e2e).

Ejemplo simple: Si vos pones firewalls que por ej. solo permiten que
circulen paquetes TCP, eso rompe con el e2e, y dificulta el despliegue
de nuevos protocolo.

El e2e digamos que yo no existe. Sin llegar al caso particular de
firewalls propiamente dichos, lo cierto es que hay miles de filtros y
middle-boxes que limitan las cosas que podes usar. Sin ir mas lejos,
habia un estudio que mostraba que si enviabas paquetes IPv4 con
opciones, en un punto u otro de la red eran descartados.

La red ya no es "tonta". Y hay miles de cosas que en la practica no se
pueden hacer, justamente por eso.

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492