/ Unsplash / Loic Mermilliod
Почему кончаются адреса
Прежде чем перейти к рассказу о том, как «высыхал» пул IPv4, немного поговорим о причинах. В 1983 году при внедрении TCP/IP использовали 32-битную адресацию. В то время казалось, что 4,3 млрд адресов для 4,5 млрд человек вполне достаточно. Но тогда разработчики не учли, что население планеты вырастет почти в два раза, а интернет получит массовое распространение.
При этом в 80-х годах многие организации получали больше адресов, чем им требовалось на самом деле. Ряд компаний до сих пор применяет публичные адреса для серверов, которые работают исключительно в локальных сетях. Масла в огонь подлило распространение мобильных технологий, интернета вещей и виртуализации. Просчеты при оценке числа хостов в глобальной сети и неэффективное распределение адресов стали причиной дефицита IPv4.
Как кончались адреса
В начале нулевых директор APNIC Пол Уилсон (Paul Wilson) заявил, что IPv4-адреса закончатся в ближайшие десять лет. В целом его прогноз оказался достаточно точным.
2011 год: Как и предсказывал Уилсон, у интернет-регистратора APNIC (отвечает за Азиатско-Тихоокеанский регион) остался последний блок /8. Организация ввела новое правило — один 1024-адресный блок в «одни руки». Аналитики говорят, что без этого ограничения блок /8 закончился бы за месяц. Теперь в распоряжении APNIC осталось лишь небольшое количество адресов.
2012 год: Об истощении пула объявил европейский интернет-регистратор RIPE. Он также начал распределять последний блок /8. Организация последовала примеру APNIC и ввела строгие ограничения на раздачу IPv4. В 2015 году у RIPE оставалось всего 16 млн свободных адресов. Сегодня это число значительно сократилось — до 3,5 млн. Стоит отметить, что в 2012 году состоялся Всемирный запуск IPv6. Мировые операторы связи активировали новый протокол для части своих клиентов. В числе первых были AT&T, Comcast, Free Telecom, Internode, XS4ALL и др. При этом Cisco и D-Link включили IPv6 по умолчанию в настройках производимых ими маршрутизаторов.
Пара свежих материалов из нашего блога на Хабре:
2013 год: Джефф Хастон из APNIC в блоге рассказал, что адреса IPv4 у американского регистратора ARIN закончатся во второй половине 2014 года. Примерно в то же время представители ARIN объявили, что у них осталось всего два блока /8.
2015 год: ARIN стал первым регистратором, у которого полностью исчерпался пул свободных IPv4-адресов. Все компании этого региона встали в очередь и ждут, пока кто-нибудь высвободит незадействованные IP.
2017 год: Об остановке выдачи адресов заявили в регистраторе LACNIC, отвечающем за страны латинской Америки. Теперь приобрести блок могут лишь те компании, которые никогда раньше их не получали. В AFRINIC — отвечает за Африканский регион — также ввели ограничения на выдачу адресов. Строго оценивается их назначение, ограничено максимальное их количество в одни руки.
2019 год: Сегодня у всех регистраторов осталось относительно небольшое количество адресов. Пулы поддерживаются на плаву за счет того, что неиспользуемые адреса периодически возвращаются в оборот. Например, в MIT обнаружили 14 млн IP-адресов. Больше половины из них решили перепродать нуждающимся компаниям.
Что дальше
Есть мнение, что адреса IPv4 закончатся к февралю 2020 года. После этого перед интернет-провайдерами, производителями сетевого оборудования и другими компаниями встанет выбор — мигрировать на IPv6 или работать с NAT-механизмами.
Трансляция сетевых адресов (NAT) позволяет преобразовать несколько локальных адресов в один внешний. Максимальное количество портов составляет 65 тыс. Теоретически такое же число локальных адресов можно отобразить на один публичный адрес (если не учитывать некоторые ограничения отдельных реализаций NAT).
/ Unsplash / Jordan Whitt
Интернет-провайдеры могут обратиться к специализированным решениям — Carrier Grade NAT. Они позволяют централизованно управлять локальными и внешними адресами абонентов и ограничивают число TCP- и UDP- портов, доступных клиентам. Таким образом, порты между пользователями распределяются эффективнее, плюс появляется защита от DDoS-атак.
Из недостатков NAT можно выделить потенциальные проблемы с файрволами. Все пользовательские сессии выходят в сеть с одного белого адреса. Получается, что лишь один клиент одновременно может работать с сайтами, открывающими доступ к сервисам по IP. Более того, ресурс может подумать, что на него ведется DoS-атака и закрыть доступ всем клиентам.
Альтернативой NAT является переход на IPv6. Этих адресов хватит на долгое время, плюс он имеет ряд преимуществ. Например, встроенный компонент IPSec, шифрующий отдельные пакеты данных.
Пока что IPv6 используется лишь 14,3% сайтов по всему миру. Широкому распространению протокола препятствуют несколько факторов, связанных со стоимостью миграции, отсутствием обратной совместимости и техническими сложностями при внедрении.
Об этом мы расскажем в следующий раз.
О чем мы пишем в корпоративном блоге VAS Experts:
Комментарии (70)
Tangeman
05.08.2019 20:20Есть мнение, что адреса IPv4 закончатся к февралю 2020 года.
Мнение (в такой формулировке) глубоко ошибочно. Их перестанут выдавать реестры, но это не значит что все выделенные адреса уже будут использованы, а это существенная разница. Если проводить аналогии с оффлайн-миром, то «помидоры закончились» — это когда «все помидоры съели и новые не растут», а у нас получается «в магазине помидоров больше нет, только упроклятых спекулянтовчастников».
Поскольку на рутинг это не влияет, а также потому что существует сравнительно свободный рынок адресов IPv4 (хотя не то чтобы это было хорошо), то для реальной паники нет никаких оснований — те у кого они действительно заканчиваются, окончательно перейдут на NAT (или будут покупать-арендовать у «частников»), те у кого слишком много — будут, соответствено, продавать-арендовать по свободное пространство. Да, тем у кого мало — неприятно и денег будет стоить, но всё же не смертельно, интернет явно умирать (и даже страдать) не начнёт.
Проблема, на самом деле, действительно в том что их раздавали очень безответственно, и несмотря на точто тот же RIPE требовал план по развитию, они никогда не проверяли как он выполняется, в итоге те кто запросил в своё время /16, используют из него в лучшем случае 10-20% (и больше вариантов роста нет), но обратно уже не забрать (знаю минимум двух таких провайдеров — у каждого по /16, но использовано у одного около 4000 адресов, у второго вообще меньше 500, оба в обозримом будущем вряд ли вырастут хотя в два раза).
Если ввести жёсткий контроль за использованием и развитием, то ситуация довольно легко исправима — к примеру, тот кто в течение года не «освоил» выданное простанство, обязан вернуть его в пул. Те же кому входящие и фиксированные не нужны (broadband и мобильные операторы в основном) вполне могут жить на NAT.
Разумеется, самым правильным решением будет таки перейти на IPv6 в кратчайшие сроки (что к тому же сократит аппетиты BGP), но поскольку это вряд ли осуществимо в ближайшие лет 15-20 (будем реалистами), то нужно просто грамотно раздавать IPv4 — и их хватит всем на это время.
nevzorofff
05.08.2019 21:18Как контролировать использование адресов?
Нормально настроенный биллинг даже на 4000 абонентов так адреса раздаст, что за неделю в интернете отметятся все или большинство. Из какой-нибудь /17-/18.
А вообще да, где-то в 2009 году вообще без проблем получили /21 пул при имеющихся /23 и порядка тысячи реальных абонентов.Tangeman
04.08.2019 22:33Например: только исходящие соединения не являются основанием для выдачи IP 1 к 1 (NAT позволяет уменьшить соотношение минимум в сотню раз), основанием может быть только наличие на нём публично доступного сервиса/сервера (не публичные можно и нужно делать доступными через VPN или прокси), а публичные сервисы контролировать сравнительно легко — периодически рандомно сканируется наличие серверов (POP/IMAP/HTTP/etc, ясный пень с отпечатками и баннерами) во всём выделенном пространстве, и если меньше чем MinUse% регулярно отвечает на протяжении длительного времени — всё, отдавайте излишки.
Если речь о хостерах (особенно крупных) — обязать предоставлять заверенные отчеты о количестве серверов (вирутальных и реальных) привязанных к клиентам, с правом рандомных он-сайт аудитов для реестров (без подробностей и финансов) — если хостер заявил что у него 100 тыс. серверов, но при этом имеет ДЦ площадью 100 кв.м. — это несколько подозрительно (даже если большинство виртуальные). Аналогично для провайдеров связи — должна быть возможность проверить количество точек подключения, хотя бы порядок — т.е. если у кого-то /8 но клиентов меньше миллиона — это явный перебор. Если каждому безусловно выдаётся «белый» IP — это тоже явный перебор.
Как альтернативу, можно вместо того чтобы вернуть требовать оплату за неиспользуемые адреса — таким образом делая невыгодным держать их «на всякий случай». Хотя начать можно было бы уже с того чтобы страшно карать тех кто сдает их в аренду или продаёт — одно это уже сильно бы улучшило ситуацию, ибо в большинстве своём они были получены или бесплатно, или за символические деньги (взносы реестру), или просто обманным путём. IP адреса — это, если угодно, «народное достояние», поэтому выдаваться должны тем кто их использует, а не арендует-продаёт без соответствующего сопутствующего сервиса (сервера или подключения).
На самом деле, адекватные процедуры можно продумать, в конце концов, регулируется же публичное пространство доменных имён, причём довольно жёстко, чем IP хуже, особенно если учесть что это очень ценныймехресурс?goldrobot
05.08.2019 12:29А обычным людям что делать? У меня куплен у провайдера белый ИП, просто что бы в играх небыло проблем и капчу пореже вводить. Согласно вашей теории, мой ИП не будет проходить проверки на использования.
Tangeman
05.08.2019 14:41-1По моей теории, он как раз будет проходить — потому что он куплен у провайдера вместе с сервисом. Правда (опять-таки «по теории») провайдеру придётся доказать что IP выдан клиенту по его просьбе (о чём обычно есть пункт в договоре оказания услуг), в идеале с указанием цели использования (ваша цель мне кажется вполне разумной).
Другое дело, если таких клиентов окажется очень много — мне лично с трудом верится что из (скажем) миллиона клиентов хотя бы 100 тыс. нуждаются в «белых» IP, в то время как если клиентов всего 100 — то почему бы и нет?
scruff
05.08.2019 18:43-1А меня вырубает раздача клиенту маски /30 — из 4-х IP это целых 3 белых IP ввыброшены на ветер (подсеть, шлюз, бродкаст). Надо было с самого начала по одному IP (из хотябы /24 маски) на руки, а не по целой подсети.
Victor_koly
05.08.2019 20:34-1Ну да, многие провайдеры дают корпоративным клиентам подсеть, но мааленькую. А что из 4 IP он не может использовать 3 — это проблемы клиента.
scruff
06.08.2019 05:57Интересно, те лица, которые нас с вами отминусили, могут обосновать свое несогласие словесно? Что я не правильно сказал? Из-за нерациональной раздачи адресов идет 300%-ный оверхед, растущий от костыля из прошлого времени под названием РРР и всех его производных, что уже мега-нонсенс. Как временное решение — обязать провайдеров низкого уровня заставить рационализировать раздачу адресов — заменить PPP на коммутнацию. По вашему коментарию — это не проблемы клиента. Ему на это до лампочки. Зато сейчас что называется «приплыли», все трубят что v4 адреса кончатся в начале 2020 и это уже проблема глобальная, а о массовом переходе на v6, думаю еще на пару лет, как минимум можно забыть.
sumanai
05.08.2019 02:01Меня убивает целые 16 777 216 адресов для коннекта хоста к самому себе.
Victor_koly
05.08.2019 08:52А сколько там «серых» адресов? fc00::/7 — это как-то много, то есть 128 бит с маской /7?
Ещё Вики называет fec0:: — feff:: устаревшим аналогом «серых».sumanai
05.08.2019 09:40А сколько там «серых» адресов?
Серые ещё нужны для NAT, а вот для чего столько вариаций локалхоста, я не разумею. И да, я про IPv4, где при дефиците адресов 16млн потрачены в никуда.Victor_koly
05.08.2019 10:06Наверное при создании думали, что 1/256 всех адресов не пригодится для других целей.
P.S. Нужно будет как-то проверить, можно ли поднять разные «веб-сервера» на адресах 127.0.0.1, 127.1.2.3 и т.д.
andreymal
05.08.2019 13:01systemd-resolved в линуксах слушает 127.0.0.53 и не слушает 127.0.0.1 например
Victor_koly
05.08.2019 13:04Я именно про Линукс. На Fedora ставил какой-то простой веб-сервер для PHP, который просто через консоль запускается и перестает работать после завершения команды.
Tangeman
06.08.2019 01:38Можно. Любой адрес повешенный на lo интерфейс будет автоматом распостраняется на весь диапазон покрытый его маской, т.е. повесите на lo 10.0.0.1/8 — и любой адрес из 10/8 будет отвечать локально. 127/8, соответственно, тоже, благо он там по умолчанию.
Главное, в iptables/nftables (если есть) убедиться что любой траффик с локального на локальный интерфейс разрешен (или не запрещен).Victor_koly
06.08.2019 11:48Так там я прогу запускаю по 1 IP, а не по подсети.
Тут брал простейший пример с php-cli:
developer.fedoraproject.org/tech/languages/php/php-installation.html
И вот скажем вместо localhost:8080 запустить
127.0.0.1:8080 и 127.0.0.2:8080 с разными docroot.
Никакой iptables не настраивал, я в таком не шарю.Tangeman
06.08.2019 15:56Один сервер запускаете как
sudo php --server 127.0.0.1:8080 --docroot /a
другой как
sudo php --server 127.0.0.2:8080 --docroot /b
iddqda
05.08.2019 15:01это про 10/8 или 127/8
а как вам 240/4?Tangeman
06.08.2019 01:43240/4, к сожалению, жёстко прошит во многих железяках как немаршрутизируемый, а так да, ещё было бы 256 миллионов адресов.
10/8, с другой стороны, для некоторых контор всё же нужен — ибо /16 может оказаться маловато.
rvs2016
05.08.2019 13:36> Если проводить аналогии с оффлайн-миром, то «помидоры закончились»
> — это когда «все помидоры съели и новые не растут», а у нас получается
> «в магазине помидоров больше нет, только у проклятых спекулянтов
> частников».
>… существует сравнительно свободный рынок адресов IPv4
> (хотя не то чтобы это было хорошо), то для реальной паники
> нет никаких оснований
Вообще вся эта история с истощением адресов (когда адреса ещё есть, но их уже не выдават, а придерживают) уже начинает напоминать антиквариат и филателию. Адреса IPv4 скоро превратятся в подобие старых значков и монет — их уже не выпускают, но купить их и носить (носить — значки) всё-равно можно! :-)
navion
05.08.2019 15:37Это называется переложить проблему с больной головы на здоровую — использовать старые префиксы (DoD, MoD, etc) мы не можем, поэтому давайте отберём новые у провайдеров, ага.
Victor_koly
05.08.2019 15:52Я вот нашел, что «Google Inc.» имеет одну сеточку — 4 194 302 IP. Ещё 3 сети /12. Попросим поделиться?
navion
05.08.2019 22:08Все пользовательские сессии выходят в сеть с одного белого адреса.
CGNAT сделали как раз для того, чтобы все выходили с разных адресов и с трансляцией портов 1:1, но без привязки реальных IP к абонентам.
Ещё недавно вышел отличный выпуск подкаста linkmeup про исчерпание IPv4, рекомендую всем интересующимся.Megakazbek
05.08.2019 10:02Интересно, как же это все будут выходить с разных адресов, если адресов на порядки меньше, чем абонентов?
Master255
05.08.2019 22:13А какие минусы у локальных DNS серверов?
Ставишь себе некий сервис, управляющий файлом host и вуаля — нет рекламы, вирусов, роскомпозора и есть всё что необходимо…
При этом можно управляемо переводить всех клиентов на ipv6 прозрачно для них же.
Это увеличит стабильность доступа к ресурсам и даже CDN можно разгрузить!
Освободится не малое количество железа — dns сервера.
Dns имена станут бесплатными! Ну или дешевле, чем сейчас.
+ можно внедрять новые сервисы, что-то совсем инновационное.
Полезного контента станет больше и будет конкуренция между этими Dns провайдерами…
И локальный dns клиент сам будет знать, есть ли ipv6 или его нет… и если есть, то использовать.
Можно открытый код ему сделать… что бы не было сомнений… но главное там, конечно база соответствий.
А можно и вовсе в браузеры встроить, но лучше отдельным сервисом.
Про минусы интересно узнать в комментариях.
saboteur_kiev
05.08.2019 02:54Вы вообще о чем?
Master255
05.08.2019 11:14о сервисе, который предоставляет локальный DNS сервер на клиентском компьютере. Может вы не вкурсе, но все проблемы с Ip адресами мы уже обсудили и пришли к выводу, что проблем пока нет, а когда будут, то можно и сервис запилить.
saboteur_kiev
06.08.2019 01:45Вы открыли для себя балансировщик?
Минусы локального DNS сервера в том, что
1) про него знает только ваша машина, а не окружающие
2) Он знает только то, что знает он. Если в мире что-то изменилось, локальный DNS сервер об этом не узнает, пока не получит свежие данные.
Ставишь себе некий сервис, управляющий файлом host и вуаля — нет рекламы, вирусов, роскомпозора и есть всё что необходимо…
Ну вот бред же. Откуда вы знаете, что прописать в hosts чтобы не было рекламы? Вы наизусть знаете список всех рекламных сайтов и всех рекламных служб? И мгновенно узнаете об этом, если появились новые? Или вашему «сервису» нужно откуда-то получать обновления?
Тогда ваш «сервис» ничем не отличается от собственного самого DNS, который так и работает — хранит локально кеш того, к чему недавно обращался, и лезет в инет, обновляет данные.
Каким образом это защищает вас от вируса?
Каким образом это защищает вас от роскомнадзора, который банит айпишники на уровне магистрального провайдера?
Может вам следует немного почитать о том, как работает IP протокол и DNS на самом деле?Master255
06.08.2019 13:47Вы открыли для себя балансировщик?
Вспоминается старая добрая беседа на 1000 комментов. Давайте вы не будете задавать простые вопросы, человеку публикующему на Хабре статьи о новых технологиях передачи данных.
1) про него знает только ваша машина, а не окружающие
Ну нет… это же раскрученный в интернете сервис о котором будут знать все. Мимо.
2) Он знает только то, что знает он. Если в мире что-то изменилось, локальный DNS сервер об этом не узнает, пока не получит свежие данные.
Тоже думал об этом. Но на то он и сервис. Конечно он будет динамически получать и обновлять Dns адреса. Т.е. синхронизироваться со всеми остальными Dns серверами.
Откуда вы знаете, что прописать в hosts чтобы не было рекламы? Вы наизусть знаете список всех рекламных сайтов и всех рекламных служб?
Давайте вы ещё понизите тон общения. Всё что я пишу нужно тщательно изучать и бред — это совсем не про меня.
С 1998 года существует сайт http://winhelp2002.mvps.org/hosts.htm на котором вы всегда найдёте свежую базу рекламных сайтов во всём интернете. У меня файл host на всех устройствах весит не меньше 500кб…
Обновлять его нужно на удивление редко. Можно вообще не обновлять.
Каким образом это защищает вас от роскомнадзора, который банит айпишники на уровне магистрального провайдера?
Есть же ipv6 и другие айпишники. С помощью такого сервиса можно менять ip сайта за 1 секунду. Добавить хоть тысячу DoubleDomain dns имён и война за блокировки тут будет бессмыслена. По моему Роскомнадзор создали просто не грамотные в IT люди.
Может вам следует немного почитать о том, как работает IP протокол и DNS на самом деле?
Может вам надо почитать мои статьи и понять с кем вы пытаетесь поговорить?
В целом ваш комментарий на 3 с большим минусом. Что-то пытался спросить, но ничего полезного. Думаю беседа с вами бессмыслена. Iq вам не хватит на конструктивное развитие темы.saboteur_kiev
07.08.2019 02:05Вспоминается старая добрая беседа на 1000 комментов. Давайте вы не будете задавать простые вопросы, человеку публикующему на Хабре статьи о новых технологиях передачи данных.
Простите, я почитал эту вашу статью.
Такого редкостного бреда я давно не видел.
И рейтинг вашей статьи должен был вам как-то намекнуть, что с ней что-то не так. В то время как некоторые мои технические публикации зашли неплохо.
ПО вашему комментарию:
Ну нет… это же раскрученный в интернете сервис о котором будут знать все. Мимо.
Раскрученный сервис — это сам DNS. А отдельно взятый сайт, который регулируется и контролируется неизвестным частным лицом — у вас даже нет адекватной модели монетизации, чтобы как-то обеспечить необходимые ресурсы чтобы этот «популярный сервис» не лег при 10к пользователей. Я уж молчу про миллионы.
Тоже думал об этом. Но на то он и сервис. Конечно он будет динамически получать и обновлять Dns адреса. Т.е. синхронизироваться со всеми остальными Dns серверами.
Опять таки. Сервис. Ваш. Личный. Синхронизироваться со всеми DNS серверами. Вы хотя бы примерно представляете сколько это серверов, сколько данных и как с этим жить?
С 1998 года существует сайт winhelp2002.mvps.org/hosts.htm на котором вы всегда найдёте свежую базу рекламных сайтов во всём интернете.
Есть же ipv6 и другие айпишники. С помощью такого сервиса можно менять ip сайта за 1 секунду.
То есть о том, что такое SOA TTL в DNS вы не знаете?
Серьезно. Может хоть немного почитаете о том, как работает DNS, прежде чем пытаться делать свою поделку?
Добавить хоть тысячу DoubleDomain dns имён и война за блокировки тут будет бессмыслена.
Вы видимо живете в отдельном мире. РКН довольно легко блокирует множество ресурсов. И от этого страдают миллионы. Потому что блокировка идет с кучей нарушений, но самое важное — она работает. И вы не понимаете основного момента — суть не в технической задаче. А в том, что особо никто протик РКН не выступает. Потому что придут люди к вам домой и вы свои сервисы сами потрете, а в hosts впишете то, что вам скажут.
По моему Роскомнадзор создали просто не грамотные в IT люди.
Это так. Они вообще из другого направления.
Может вам надо почитать мои статьи и понять с кем вы пытаетесь поговорить?
Я почитал. И понял, что общаюсь с ламером. Надеюсь вы знаете, чем ламер отличается от чайника (эти термины еще из доинтернетовской эпохи).Master255
07.08.2019 11:11-2Я прочитал и понял, что вы ничего не поняли. Не собираюсь заниматься образованием. Перечитайте до полного понимания мои предыдущие комментарии. Все ваши ответы абсолютно не про то о чём писал я.
Meklon
05.08.2019 11:53pi-hole офигенен в этом плане. Хотя, что имел в виду Master255 я тоже не до конца понял)
Master255
07.08.2019 11:17-2Не понимание — это главное что есть в комментариях Хабра. Возможно, нужно попробовать читать вслух. Читать вдвоём вслух с кем-то умным. Разобрать по составу предложения. Посмотреть в словаре значения слов.
Дело говорю! :-)
У меня ведь нет недопонимания… я ни разу никому не написал, что я его не понимаю… возможно кто часто чего-то не понимает — просто дурак?
rvs2016
05.08.2019 13:53> Dns имена станут бесплатными!
Почему?
> и будет конкуренция между этими Dns провайдерами…
Имеются в виду не хранители же доменных зон (ибо хранить-то их можно и у себя, да ещё и бесплатно), а организации, раздающие доменные имена?Master255
05.08.2019 17:12-1Dns имена станут бесплатными
потому что больше нет Dns серверов, которые надо обслуживать и платить деньги за электричество\интернет.
Имеются в виду не хранители же доменных зон (ибо хранить-то их можно и у себя, да ещё и бесплатно), а организации, раздающие доменные имена?
Имеются в виду целые платные (для клиентов) сервисы, предоставляющие локальные dns-сервера для пользователей. На сегодня это не освоенная ниша. Думаю рано или поздно придётся осваивать. Т.е. стоимость dns маршрутизации ложиться на плечи пользователей. Ну и сами посчитайте, если раньше dns имя стоило 1500 рублей, то теперь оно стоит: (стоимость обслуживания сервиса — старая стоимость оборудования)/количество пользователей сервиса = 100 рублей в год? Как-то так…
Делайте, дерзайте… мне некогда… у меня другие, более важные проекты…
CrogST
05.08.2019 22:23"Об этом мы расскажем в следующий раз"
Прям как в сериале…
На самом деле — спасибо за статью.
kaljan
04.08.2019 22:42+2Берем самую старую статью из поиска хабра по слову ipv4
habr.com/ru/post/116785
Первое же предложение: «Интернет-адреса IPv4 близки к исчерпанию.»
Может хватит?
Master255
05.08.2019 11:17да да. Поддерживаю! Не слышал ни о каких проблемах с ip адресами. Аренда у любого провайдера по прежнему 200-300 рублей стоит. Вот когда 2000-3000 рублей будет, тогда можно статью об этом написать.
Victor_koly
05.08.2019 12:02У мелких провайдеров далеко не бесконечный пул IP. Хотя пара сетей /20 по 4094 адреса мелкому на всех клиентов наверное хватит.
Master255
05.08.2019 12:29я пока не вижу развития использования частных ip адресов.
Для этого нет софта, нет умных пользователей. Всё идёт как раз к тому, что все будут висеть на одном ip адресе. Но это очень порочная практика… благодаря которой будет развиваться роскомнадзор, запреты, монополизм, коррупция, низкие скорости передачи данных и отсутствие новых технологий.
Так что выбор сейчас: белый ip и свобода или серый ip и роскомзабота.
И выбирают люди. Заставить их выбрать правильно очень тяжело, а выбрать не правильно — легко. Этим и занимается наше государство.
Tzimie
Кстати, какие перспективы IPv6 в России с учетом Роскомзапрета?
jukkagrao
МТС внедрил в мобильной сети ipv6, правда услугу нужно подключать вручную...
ivlad
Я купил симку МТС и там был включен сразу. Возможно, старым пользователям нужно вручную включать, а новым уже включено.
JerleShannara
У МТСа их два, IPv6 и IPv6+. Второй, судя по ответам задолбанной техподдержки, убирает какие-то защиты фаервола для вашего телефона, более подробного ответа от них я не смог добиться.
rogoz
IPv6+ открывает порты ниже 1024 для внешнего мира.
rvs2016
А их по умолчанию удосуживаются ещё и закрывать?
rogoz
Ну типа безопасность.
4pda.ru/forum/index.php?showtopic=850236
a0fs
И без роскомзапрета некоторые хостеры-лоукостеры работают с этим протоколом странно. Мне на одном хосте пришлось снять IPv6 с DNS-а, поскольку общение с ТП было в стиле «У нас всё работает».
Да и ИМХО IPv6 протокол стрёмный. Если для нормального функционирования IPv4 можно было очень плотно закрыться firewall. То, что следует открывать для IPv6, чтобы оно просто запустилось, вызывает оторопь на гране припадка…
Tzimie
Вот и интересно, как это возможно, например, в кровавом энтерпрайзе с параиноидальными безопасниками
vsb
И что же надо открыть? ICMPv6?
a0fs
Да, причём на достаточно широкие диапазоны. А если учесть, что на хостинге link-local не является доверенным не разу, там уже агрессивный интернет, это вызывает дискомфорт. А если учесть, что умеет DHCPv6, то острые приступы паранойи.
vsb
Можно подробней, чего можно опасаться с открытым ICMPv6? Для примера если IPv6 интерфейс сконфигурирован статически (как это происходит в 99% случаев по моему опыту на VPS-хостингах). Это открывает какие-то реальные векторы атаки?
a0fs
Богатая жизнь вокруг NDP, богатая и развесистая функциональность мультикастов и anycast, богатый функционал по запросу всякого, ну и банальные перенаправления. У меня нет достоверных данных, что среди этого нет векторов атаки для моей системы, либо их не появится в будущем. А раз так, то следует закрыть потенциально опасное. Если в IPv4 закрыть можно решительно всё, IPv6 здесь несколько менее лоялен. Да, может быть местами и перебор, но меня в школе учили мыть руки перед едой и закрывать неиспользуемое firewall-ом. Считаю это средствами банальной гигиены и активно использую.
Megakazbek
Для IPv6 можно закрыть всё так же, как и для IPv4. Испльзовать ICMPv6 совершенно не обязательно.
a0fs
Я Вас смею огорчить, моя наивность в этом вопросе прошла спустя полторы минуты. Нет оно так не работает. ICMP нужно разрешать.
andreymal
Бездумный запрет ICMP может привести к проблемам со связью
ivlad
На хостинге как правило выдают не меньше /64 каждому абоненту.
GloooM
Не знаю как сейчас, но не так давно такой крупный хостер как DigitalOcean продолжал нарезать блоки ipv6 каким-то странным образом по 16 адресов на машину вроде, что ломало всю логику работы с v6.
andreymal
Немало хостингов выдают сильно меньше. Например, Айхор выдаёт 4 (четыре) IPv6 адреса на вдску. FirstVDS и вовсе один. (Насчёт дедиков не в курсе)
sumanai
Поддерживаю на счёт iHor. Их представители есть на Хабре? А то чтобы получить адекватные /64, нужно потратить астрономическую сумму, ибо по рублю штука.
roman901
На дедик выдает один :(
scruff
Огласите весь список, пожалуйста ® Думаю очень интересно многим.
sumanai
Никакие? Мой провайдер ответил «Мы не будем поддерживать нарушение закона» или что-то в этом духе. Из 4 провайдеров в моём доме ни один не имеет IPv6. Так и живём.
andreymal
Три опрошенных мной петербургских провайдера отвечали в стиле «есть, но пока нет». На форуме одного из них (SkyNet) даже отмечаются пользователи, которым запустили IPv6 в тестовом режиме
dartraiden
В реестре запрещённых сайтов уже есть несколько IPv6-адресов. При необходимости, думаю, и огромными подсетями будут блокировать.