Varför tar ipv4 slut?

För en privatperson räcker det med ett /28 (14 st adresser) eller ett /29 (6 st adresser) om man ska driva egna servrar.
Finns ju möjlighet att få ett eget /24 subnet (254 adresser) om man så vill med.
Bara att du skaffar dig ett sådant block innan det är för sent, om du nu behöver statiska publika adresser i det antalet

Och hur skulle de göra det? Det är inget som automatiskt sker bara för att man får ett samtal, och majoriteten av programvarorna kopplar upp sig mot en central server och kommer ut genom brandväggen oavsett, och då behövs inte ens någon
port öppnas varken manuellt eller via UPnP (Vilket i 99 av 100 fall) alldrig fungerar i alla fall.
Och problemet du beskriver blockas i alla fall av datorns lokala brandvägg, och är någon inne i datorn så får man ändå anse den infekterad och borde blåsas totalt ren.
Och trojaner mm använder ofta utgående sessioner, vilket gör att brandvägg eller liknande inåt inte behöver öppnas alls.

Det är helt onödigt att separera det så mycket, det är en sak om man separerar klienter (surf mm) med servrar, men på servrar så har man samma OS som sköter webb, mail mm så kan de gott och väl köra på samma IP.

Fast, publikt IP kommer "alltid" att finnas, sen om de kommer lägga det som "köp till publikt IP 50kr/månad" eller göra det fritt är en annan sak.
Och nej, Telia blockar inte DNS trafik ut från nätet till andra DNS servrar, det dem gör är att blocka inkommande DNS trafik till (främst) privatpersoners anslutningar, för att många DNS servrar (främst routrar mm) är felaktigt konfiguerade
och kan nyttjas för attacker (DDoS).

Där kan jag delvis hålla med Telia om att det ska blockas, men det borde finnas ett val för kundenatt hamna på ett helt öppet nät, där portar inte blockas om de så vill.

Nej, det är inte så pass dyrt, ansöker du om ett /22 subnet från Ripe så får du 1016 st IP adreesser att nyttja, vilket i dagens läge räcker väldigt långt, lägg där till att du kan ansöka om fler IP adresser på annat håll, och även
köpa upp adresser från företag som inte nyttjar sina så kommer det finnas tillräckligt med IP adresser för dina kunder.

Och inte är det jag som är okunnig, utan det verkar vara du. Du borde nog läsa vad jag skrev och inte bara lusläsa det och säga felaktigheter, stryker under det viktiga.

"Via RIPE ja, men du kan ansöka om IP adresser via andra med, eller köpa upp från existerande operatörer/företag som inte har behov av alla adresserna de har.

Och det stämmer ju inte, en ny operatör som får 1024 adresser (från RIPE) och kan ansöka om tusentals till, kommer ha adresser för rätt många år framöver troligen, då dels få kunder behöver egen publik IP, och dels så tar det
flera år att bygga upp en större kundkrets, om man nu inte går in och dumpar priset och tar stora förluster första åren för att komma in på marknaden."

Och nog kan man bygga upp en väldigt stor kundkrets med "bara" 1016 IP adresser som kan nyttjas, dra av en bunt för egna bruket (servrar som ex webb/mail/ftp/dns, routrar mm) så har du runt 900-950 st IP över till kunderna, vilket i ett
nytt bolag kommer räcka i rätt många år.

Precis, nig första gången vi är överens

Nu är inte nätverk min starka sida, men i mina ögon låter det bara extremt dumt att tilldela all utrustning i hemmet en ipadress utåt. Istället räcker det för de flesta med ett toppsystem, där man från detta system fixar en anslutning utåt som man har bra kontroll över, sedan kan man ha låg säkerhet mellan systemen i sitt eget nätverk.
Så kylskåp, värmeväxlare, fläktar, garageport, golvvärme, rumsstyrningutrustning you name it ska inte enligt min mening ha direkt åtkomst till internet och har då igen ipadress utåt.

Så jag anser att för privatpersoner så räcker 1 ipadress per internettjänst väl. Har man flera bostäder, mobila enheter etc så behöver man såklart ha flera.

Nå IP4 är slut i vilket fall, jag minns att de i skolan runt 2000 pratade om ip6 och ingen skulle väl tro att det skulle gå så trögt.

Så vad alla ni NAT fantaster säger är att där ni bor, behöver ni bara IPv4 eller?
Jag skulle nog formulera mig lite annorlunda.. Om jag vill kunna kommunicera med världen bör jag nog börja använda och lära mig IPv6 snart. Värden står nämligen inte stilla och väntar på oss.

NAT enskilt ger inte ett skydd, men NAT är integrerat med brandväggar (ex hemmaroutrar) så ger det en förhöjd säkerhet, än att exponera alla enheter publikt mot internet med väldigt låg säkerhet i många fall.

Precis, alla enheter behöver inte en publik IP direkt, så det gör det hela onödigt att ge publik IP till alla enheter.
Utan publik IP till alla enheter ger bara att det blir mer osäkert, och större risk för intrång.

Behovet av IPv6 är idag egentligen obefintligt, då det inte fyller någon mer funktion än att exponera alla datorer, skrivare, lagring, lampor mm publikt mot internet utan direkt skydd.
Och nej, världen väntar inte på oss alls, IPv6 går trögt världen runt, och det kommer ta åtskilliga år innan IPv6 går om IPv4 i användande, och ännu längre tills IPv4 stängd ned.

SÅ du vill att hela världen ska stanna?
IPv4 är grundstenen i all kommunikation idag, och förbjuds det och slutas användas innan alla är över på IPv6 så kommer världen stanna upp direkt, och allt kommer gå tillbaka till 1900 talets början.
Det bromsar ingen utveckling alls, och enheter kommunicerar säkrare på IPv4 än IPv6, då de på IPv4 inte exponeras publikt.
Och nej, det kommer inte behövas 1000 publika IP för att IoT ska fungera.....

Nej, transporten sker fortfarande mellan de två noderna, och majoriteten av tjänsterna en privatperson behöver nå fungerar ypperligt med NAT.
Annars får de öppna porten in till datorn, vilket främstkrävs för spel om det ska köras CO-OP (dvs direktanslutning mellan två klienter, och inte via server).

Det behöver inte vara användaren som gör fel. Det kan vara ett buggigt spelprogram. Det spelar ingen roll om datorn är ansluten direkt till nätet eller om programmet gör sig ett hål genom en NAT. I bägge fallen finns det från nätet en port som onda individer kan angripa.
Samma saker för buggiga SIP-boxar, digitalTV-boxar, smarta kylskåp eller vad de nu är som som gör sig ett hål genom NAT:en. Finns porten i NAT:en så finns den också i utrusningen. Det spelar då ingen roll om utrustningen är ansluten direkt eller via NAT. Angreppspunkten finns i alla fall. Det viktiga är att man skyddar sig med en brandvägg. T.ex. är trafik till min SIP-box bara tillåten från min operatörs subnät som hanterar SIP-trafik. Om en NAT översätter en IP-adress till en anna spelar ingen roll.

För egen del är jag böjd att hålla med, speciellt eftersom det inte finns något som hindrar en från att vara NAT'ad med IPv6.

På gott och ont är det nu så att leverantörer av olika teknisk utrustning inte är intresserade av att standardisera sin utrustning, så att köpa en huvudenhet som sen fungerar med allt i hushållet, och låter dig styra det därifrån, låter sig inte göras, inte i dag, och inte än på länge. Det blir i stor utsträckning till att kommunicera med det intelligenta huset, för att starta värmen, sätta igång med vädring, och vattna gräsmattan. Sen får man växla till larmet för att prata med kamerorna, larma av och öppna garageporten för hantverkaren, osv.
I realiteten är behovet för att kunna prata med kylskåpet, och se vilken temperatur det har i sina 3 olika zoner fruktansvärt begränsat, och att skicka ett meddelande till ugnen för att starta självrengöringen kan kännas bekvämt, men är ungefär lika löjligt. Men alla dessa olika leverantörer av utrustning vägrar som bekant att enas om en standard, för de vill sälja just sin enhet för att styra hela anläggningen med. Och få väljer faktiskt att köra med samma leverantör av all utrustning i hela hemmet... Inte ens IKEA har lyckats sälja oss på den iden än.

Jag hade definitivt lagt utrustning som av olika anledningar inte går att "kontrollera säkerheten" i, med, på, på ett bra sätt, bakom NAT, även med IPv6. I dagsläget är det inte ett problem, eftersom den utrustningen inte har IPv6 stöd i alla fall, jag tänker främst på DLNA kapabla enheter som receivers, TV-apparater, men även spelkonsoler, osv. I det läget när frysen är uppkopplad, hade även den legat bakom en NAT. Jag har ingen kontroll över hur ofta den uppdateras, om tillverkaren verkligen tänker uppdatera mjukvaran i frysen de närmaste 10-15 åren, och jag är inte speciellt sugen på att komma upp en morgon för att upptäcka att någon stängt av kompressorn en vecka tidigare, och all maten är sopor.

Faktum är ju att all trafik som inte man specifikt bett om, eller öppnat för, alltid kommer droppas av en NAT. Det är per design, och för Svensson är det en liten detalj som gör en enorm skillnad. Inte för att jag minns vad det hette, men det var ju det där coola viruset som bara sa till XP att boota om... Hela tiden. Under en period så kunde du inte ha en oskyddad dator uppkopplad mot Internet i 15 sekunder utan att bli infekterad. Och det var en ensam mask, med enorm spridning. I dag är den typen maskar i princip inte ett problem längre, just eftersom så många är bakom en NAT. Är det rimligt att förlita sig på en NAT som enda säkerhet? Med tanke på vilka brister vi sett routrar levereras med, och den tid det tar för dem att åtgärdas, om alls, så skulle jag säga att det svaret är självklart, nej.

Fast skillnaden i graden av "medvetna beslut" är bara att det finns en grundregel i brandväggen som säger "icke beställd trafik, utan öppnad port, routas till <null"
Den väsentliga skillnaden är dock att en riktig brandvägg kan, om den är konfigurerad rätt, titta på innehållet i trafiken, och baserat på regler avgöra om trafik som kommer på en öppnad port, faktiskt är den trafik porten är öppnad för att ta emot, och om inte, droppa den i alla fall, trots den öppna porten. Men obeställd trafik, på portar man inte öppnat, hanteras precis likadant.
(Missförstå mig rätt. Jag är helt för en vettig brandvägg, och rekommenderar att man kör ett avställt och övergivet system som brandvägg alla dagar i veckan, oavsett om man sen väljer smoothwall, monowall, PFsense, eller någon variant jag aldrig hört talas om. Och har man råd med, samt anser sig ha behov av, en kommersiellt stöttad produkt finns det gott om leverantörer där med.)

I alla dina fina exempel är det fortfarande bättre att ha en NAT, än att vara utan den. Självklart är det upp till utvecklare att säkra de portar de öppnar via uPnP, men utan NAT'en måste porten fortfarande säkras. Situationen har inte blivit sämre av NAT, utan kan som värst bli lika dålig. I realiteten är NAT ett hyfsar fungerande skydd med låg instegströskel för att få igång, mot speciellt automatiserade attacker som drar nytta av kända svagheter i OS & mjukvaror. Gäller det i stället riktade attacker är NAT mindre behjälplig, men fortfarande inte till den utsattes nackdel.

För att vara tydlig. Fick jag välja hade vi IPv6 i morgon. Men jag hade fortfarande valt att köra en del enheter bakom en gemensam extern IP.
B!

Det hade iofs varit praktiskt, men kommer aldrig att hända, spelutvecklarna går i andra riktningen, du ska ansluta mot servern för singel-player spel, så att göra motsatsen möjlig, är möjligen bra i praktiken, men ganska betydelselöst. Och om inte spel ska dra nytta av funktionen, vad är det då "Svensson" ska använda det till? I fall med avancerade användare är det ju fullt möjligt i alla fall, och bonusen det ger Svensson att faktiskt köra med NAT känns inte signifikant.

Visst. Men det "Svensson" får är betydligt mer. Han hade nämligen haft datorn kopplad rakt mot Internet om inte det fanns en inbyggd router med NAT i hans modem. Vi som redan kör med mer avancerad utrustning är inte direkt målgruppen för diskussionen har tror jag mig ha förstått.

Jag är inte så säker på att den liknelsen stämmer. För det stora flertalet användare skulle motsvarigheten vara att Microsoft har ansvar för att bilen är låst. Anslutning utan router, dator på den, och sen är "Svensson" färdig. Har du tur har man installerat en brandväggsmjukvara och kör inte på Microsofts Security Essentials. (Jag lägger ingen större vikt vid vem som har gjort vilken, poängen här är närmast att Microsofts default alternativ är troligen det vanligaste, och därför det som flest automatiska attacker riktar sig mot. Security by obscurity, möjligen?)

Vi är helt överens. NAT är inte en perfekt lösning. IPv6 hade definitivt gjort nytta om man hade kunnat använda det i dag. Där vi går isär är nog, här: Det känns inte riktigt som att NAT det enorma problem man vill utmåla det till, och det har definitivt en plats även efter att IPv6 har rullats ut i stor skala.
B!

Ja med din inställning är vi snart sist av dom nordiska länderna... (Vi är näst sist just nu bara Danmark är sämre.)

Så du säger indirekt att alla Svenssons routrar kommer att ansluta sig automagiskt till IPv6 bara för att deras isp ger dom en adress? Tror inte riktigt den logiken stämmer utan det hela bottnar i en rädsla att släppa kontrollen över sitt nätverk till någonting nytt som man inte kan utan och innan.

Jag vet inte riktigt hur du fick det till det, men du får gärna förklara, så ska jag rätta dig när jag ser var du gick vilse.

Jag är IPv6 redo. Så riktigt vad det är vem är rädd för, vet jag inte i heller.

Visst. En förändring som tvingats fram allt eftersom slutkunderna krävde att få koppla fler enheter till sin tjänsteleverantör.

Du tror helt klart betydligt bättre om ISP'erna än vad jag gör. I min värld, hade inte din ISP levrerat mer än ett modem, om de inte varit tvugna. Slutkund hade sen köpt det billigaste alternativet för att "problemfritt" koppla upp sina enheter, vilket troligtvis hade varit en renodlad switch, med integrerad AP. Hårdvara med dedikerad brandvägg ser jag inte som speciellt sannolik, men jag är kanske överdrivet skeptisk.

Ja, självklart. Som jag skrev tidigare, vi är huvudsakligen överens.

Precis här är det vi inte är helt överens. Mycket av den hårdvara som vi ansluter till Internet i dag, är inte, och kan inte vara, säker nog i sig själv. Även trafik som "normalt sett" anses säker, och kan förväntas vara tillåten genom en brandvägg, är om den riktas till exempelvis en TV, ett riskmoment. Du vet inte vilka svagheter TV'n har, och hur den reagerar på "fullt legitim trafik" och vad värre är, tillverkaren av TV'n supportar kanske TV'n i 2 år, med uppdateringar och säkerhetsfixar, medan du rimligtvis har TV'n i 5år eller mer. Min LG till exempel fick uppdateringar under knappt 18 månader, varav inga (officiellt) lagade säkerhetshål, utan bara lagade trasiga appar, eller helt enkelt tog bort dem, samt lade till stöd för avkodning av fler filformat. Tror jag att LG 2011 tillverkade en TV som inte har några som helst svagheter? Knappast. Tror jag att "Svensson" hade manuellt ställt in brandväggen till att droppa all traditionellt tillåten trafik genom brandväggen till TV'n? Det är ungefär lika tveksamt. Och det förutsätter att en ISP överhuvudtaget levererar en "box" med faktiskt brandvägg i till att börja med. Det känns bara ytterst lite mer troligt än att ISP'n levererar en box där all trafik som ska tillåtas måste manuellt definieras av användaren. Det hade antagligen varit den "säkraste" lösningen, förbehållet att det ingick ett par veckors utbildning innan man fick tillåtelse att börja lägga till regler för brandväggen.

Det är naturligtvis en personlig åsikt, men NAT erbjuder ett visst minimum av säkerhet, som kan åtnjutas per automatik av herr och fru "Svensson" och vi kan låtsas att deras barn inte hade stängt av alla regler, och tillåtet vidöppen trafik till deras oskyddade burk, eftersom brandväggen ger dem någon tiondels nanosekund högre ping, och lokalt skydd behöver man ju inte, och förresten gör det att man förlorar FPS så man installerar hellre om lite oftare... Naturligtvis är inte NAT en perfekt lösning. Det har jag sagt hela tiden. En riktig brandväg är en betydligt bättre lösning, redan i dag, när man som regel kombinerar den med NAT. Men att en övergång till IPv6 är lösningen tror jag inte på ur det perspektivet. Jag misstänker att ISP'erna kommer fortsätta köra kunderna bakom NAT, där kunden får en eller få externa IP's, och lokala för resten av enheterna.
Det lär ju ta ett tag, så får jag rätt när IPv6 ersätter IPv4, så lovar jag att inte skriva "Se, vad var det jag sade" med hänvisning till den här tråden. (Mest för att jag kommer vara så jävla gammal och senil att jag inte minns den här tråden...)
B!

Förlåt? Det är "riktig" IPv6 även om du bara får en extern IP. I realiteten behöver du ingen "box" i heller, allt du behöver är en switch. På precis samma sätt som ISP'n i dag levererar multipla IP till sina kunder. Och din Internet leverantör är garanterat inte intresserad av det ormbo som följer med att styra upp ditt interna nätverk åt dig, och ett par hundra tusen andra. Du kommer garanterat kunna köpa en tjänst som ger x IP adresser, men som standard förväntar jag mig att ISP's fortsätter leverera det som är absolut enklast för dem, till lägst kostnad. Och eftersom det på flera sätt är en bättre lösning än att ge en oinvigd, och ointresserad ett par hundra IP adresser, så tror jag oddsen för en fortsatt NAT'ad lösning är stora.

Men vi kan lägga ner här. Framtiden får visa hur det blir, vi kommer inte mycket längre tror jag...
B!

Ja, och en hemmarouter innehåller NAT kombinerat med brandvägg, lika så så kör många med en lokal brandvägg på varje dator för extra säkerhet. så först filtreras trafiken bort i routern, och då stoppas majoriteten av oönskade trafiken direkt, den trafiken sedan som går igenom (port forwardad) går ju till sin enhet
och om denna hackas så får brandväggarna lokalt på datorerna ta hand om oönskade trafiken.

Så säg inte att NAT inkluderat med brandvägg inte ger en säkerhet, då det just filtrerar bort all oönskad trafik och stoppar dne från att komma in.

Och SIP och FTP fungerar bakom NAT med, bara att öppna porten in till SIP enheten.

Jo, för en läskunnig scriptkiddie har inte tillgång till operatörens switchar och kan avlyssna trafiken där i.....
Sedan så kan en som driver en webbsida få ut viss information från webbserverns loggar osv, men denna är ju egentligen ointressant för en som ska ta sig in, då NAT och brandväggen blockar trafiken innåt i alla fall,
om de nu inte nyttjar att ladda ner någon fil (trojan eller liknande) från en infekterad webbsida och nyttjar ett säkerhetshål i datorn.

Det gör ju inget att vi är sist, då IPv6 idag inte fyller någon större funktion än så länge, då IPv4 fungerar ypperligt för vårt användande, och kommer säkerligen fungera ypperligt om många år med.
Det kommer ta många år innan IPv4 kommer vara nedstängt/inaktuellt i driften för nätverk, så de som vill ha IPv4 subnät får ta och ansöka om det innan de är slut och sitter utan sådana nät.

Ja, och de har även inbyggda brandväggar i boxarna, så alla har redan brandväggar hemma, inkl NAT funktion.

NAT enskilt är inte ett skydd, men kombinerat med brandvägg är det, och bidrar till en säkrare miljö för hemmaanvändare, och en enklare miljö för hemmaanvändare, ex om de flyttar och har haft publika IP (med brandvägg som du säger) så kommer
de IP adresserna att bytas, då måste switchar, brandväggar, skrivare, och övriga enheter byta IP, men om de skulle kört NAT/brandvägg med interna IP adresser så hade de kvarstått, bara att plocka ner utrustningen och flytta
stoppa upp denna så är allt som tidigare.

Det händer saker på IT fronten hela tiden, men senast jag tittade så var routrar fortfarande ganska korkade, och någon egentlig brandväggsfunktionalitet att tala om hade de inte. Har det ändrats är det ju tacksamt. (Brandväggar förväntas faktiskt inspektera trafiken och verifiera att den är korrekt, NAT routrar bara skickar vidare, oavsett vad som kommer. DDoS mot-åtgärder är vanliga, och att routern slutar svara om man försöker "testa" för öppna portar, men utöver det är jag inte bortskämd med funktionalitet.)

B!

Kan vara att Huawei nätverkutreusning kanske inte stöder ipv6 Vem vet