FIBRA 1000 WIND, configurazione NAT PS4

matteocontrini Beh, con l'IPv6 la LAN passa in secondo piano e si ha su ogni dispositivo un IP pubblico statico, se non ho capito male.

andreagdipaolo

Gli indirizzi IPv6 assegnati sono "ruotabili" (cioè sono indirizzi "pubblici"). In pratica sono assegnate quella che in IPv4 sarebbero una o più "subnet", invece di un solo indirizzo (nel caso "consumer"), ognuna con 2⁶⁴ indirizzi disponibili.

Quindi non c'è più bisogno di NAT, ma c'è ancora bisogno di un router che sappia dove inoltrare i pacchetti non destinati agli indirizzi "locali" (la LAN) . Router che ovviamente può fare anche da firewall.

Dal punto di vista della sicurezza, con il NAT si ottiene automaticamente una specie di "firewall dei poveri" con una regola implicita "deny" (blocca) per tutto il traffico in ingresso che non sia una risposta ad una richiesta in uscita mappata nelle tabelle di NAT (a meno di esplicite regole di forwarding, create a mano, o da uPnP o simili), semplicemente perché il NAT non sa a chi inoltrare il traffico e quindi non può fare altro che ignorarlo.

Con IPv6 senza NAT questo non è più vero, e quindi sarà molto opportuno dotarsi di un firewall (o router/firewall) capace di bloccare tutto il traffico indesiderato. Molti router già hanno funzioni almeno basilari di firewall, è necessario però che siano configurati correttamente.

Se il router fa solo il router - o è addirittura un semplice bridge, allora sì che i dispositivi sono raggiungibili dall'esterno, e diventano necessari firewall locali.

Il vantaggio di IPv6 è che spariscono tutte le limitazioni del NAT. Uno svantaggio è che in rete viaggia l'IP univoco del dispositivo (con il NAT si vede solo l'IP del router) che diventa più facilmente tracciabile - diventa possibile differenziare il vostro traffico da quello di vostra moglie o dei vostri figli...

Si possono scegliere fra 2⁶⁴ indirizzi (i primi 64 bit sono parte del prefisso), quindi volendo c'è modo di cambiarli a volontà. Attenzione però a come vengono generati gli indirizzi, nelle specifiche più vecchie una parte dell'indirizzo è il MAC address del dispositivo.

In teoria è possibile usare gli "Unique local addresses" che sono quasi l'equivalente delle reti private IPv4, e tentare poi un "NAT IPv6" (con IP esterni multipli. volendo), ma è sinceramente scoraggiato, e non credo che molti router consumer offriranno la possibilità.

Uno dei problemi con IPv6 è che si è meno liberi nel "subnettare" le proprie reti. Con IPv4 ognuno nelle reti private si fa le subnet che vuole. Con IPv6, le subnet disponibili dipendono da quanti bit sono usati dal routing prefix assegnato dall'ISP. Questo può essere di dimensioni variabile fra 48 e 64 bit. I bit non utilizzati si possono usare per le subnet. Le autorità (RIR) che assegnano i blocchi IP agli ISP consigliano di allocare poi agli utenti prefissi a 48 bit o almeno a 56 (permettono rispettivamente 65535 e 256 subnet), ma quelli più pitocchi potrebbero usare prefissi a 64 bit che significano una sola subnet. Potrebbe diventare un criterio di scelta fra operatori/contratti diversi, e un modo per fare cassa da parte degli ISP "vuoi anche le subnet? Sono € in più al mese!"

Mi meraviglio un po' che con le connessioni in fibra non stiano migrando a IPv6... forse hanno paura che persino i loro tecnici si incasinino non poco....