Pablo Chico: por qué la funcionalidad de ipv4 disponible es más pequeña quq la de ipv6?
Harald Welte: porque son dos implementaciones diferentes
basicamente, la gente implementa características para ipv4
y entonces (a lo mejor) más tarde alguien las porte a ipv6
el problema es, que la pila completa de red para ipv4 e ipv6 es diferente
por lo tanto, no podemos tener un sistema compartido para ambos protocolos de red
iptables / ip6tables incluso no saben acerca de cada uno de ellos
y para la mayoría de las personas ipv4 is importante y ipv6 es considerado como algún juguete agradable...
Juan Pedro Paredes: actualmente no están implementadas para ipv6?
parece ser que hay algunos modulos hechos
pero por diferencias
algunos modulos como NAT o masquerade son absurods en ipv6
Harald Welte: ... hay unas cuantas características que nadie encuentra tiempo para portar a ipv6
la pila ipv6 de linux esta considerada como experimental
el sistema ip6tables para ipv6 es también considerado experimental
llamémosle en proceso
Juan Pedro Paredes: ok, muchas gracias
rapid: Que quieres decir conque nadie quiere escribir kernel modules para hacer firewall?
Harald Welte: rapid: bien, nososotros tenemos dos partes
netfilter
y iptables
rapid: que otra cosa más es necesitada además de drop/deny?
Harald Welte: rapid: espera un segundo
si pudieramos tener solamente netfilter
entonces todos tendrían que escribr el modulo del kernel que hace actualmente el filtrado
pero en vez de hacer esto , hayu un modulo altamente configurable llamado ip6tables :)
rapid: en ipv4 nosotros tenemos por lo menos REJECT para filtrado y en ipv4 nosotros tenemos NAT, statefull firewalling, seguimiento de conexiones, NAT, ...
Harald Welte: En resumen: La funcionalidad del nucleo esta alli, y lo todo lo demas ademas necesita ser rellenado
Estamos contentos con cualquier contribucion
rapid: entiendo :)
gracias :)
Harald Welte: el problema es que los desarrolladores de netfilter tiene mucho tabajajo con ipv4, y la mayor parte del tiempo no se dedica a ipv6 , "es algo secundario"
hay gente portando a ipv6 pero no es suficiente
la situacion es que la gente añade funcionalidades a ipv4 y con el paso de los años nadie lo porta a ipv6
Alguna pregunta mas?
rapid: hay algun plan para unir los desarrollos de IPv4/6? que pueda aunar esfuerzos...
Harald Welte: rapid: Esto no es realmente posible, el problema de consolidad esfurzos es que el desarrollo de las 2 pilas ipv4 y ipv6 estan separados
mientras que en ipv4 se usa TTL en iPv6 se usa HOPLIMIT para el limite de saltos
estamos pensando en implemetar un sistema de "gestion" de conexiones de una forma eficiente
por lo tanto el seguimiento de conexión podrá trabajar independiente de ipv4 / ipv6 /ipx / ...
pero esto incrementa (de nuevo) las capas de complejidad y podria ser otra gran area de trabajo
hay que ver, que en netfilter+iptables (para ipv4 solo) hay muchos años de dedicacion al desrrollo
más preguntas?
rapid: gracias gran trabajo
Harald Welte: si alguien quiere coger y probar ip6tables, solo tiene que cogerlo de la pagina, y compilar el kernel con sus respectivas configuraciones
nosotros estamos más que felices de recibir algúna positiva/negativa recomendación
y por supuesto, hay un gran trabajo prar hacer para cualquier entusiasta del ipv6 que quiera ayudarnos
alguna pregunta mas?
sientanse libres...
No voy a morder :) , yo si ;)
es realmente duro if no conoces iptables para ipv4 de antemano
asi quye una vez hayas conocido / familiarizado con iptables, el paso a iptables6 es muy sencillo
juan A. Campo: si hago un sctip con iptables, pero ni puedo sentirme seguro con ipv6
rapid: Como es el fragmentation support en ipv6? brad? haciendo algún release, pero nada en cvs...
Harald Welte: que quieres decir con Fragmentation support ?
rapid: cuando uso un paquete que es mayor que el MTU
Harald Welte: rapid: si, pero donde está la relación con iptables/ip6tables?
quiero decir, que la pila ipv6 es muy cuidadosa con la fragmentacion
como lo hace ipv4
Russ|Werk: cuan dificil seria implementar un iptables firewall completamente transparente, tal vez que solo permita establecer conexiones (de retorno)?
Harald Welte: russ: estas hablando sobre iptables o ip6tables?
Russ|werk: por ahora, solo iptables
Harald Welte: ip6tables no tiene seguimiento de conexiones y no tiene el termino 'conexion' como tal
el desarrollo de ip6tables no tiene relación con el desarrollo de la pila ipv6 es un grupo totalmente diferente
y nosotros realmente no necesitamos mucha comunicación entre cada grupo.
Russ|werk: los target REJECT o DROP necesitarian ahora permitir entrar los paquetes al bridge, en vez de permitirlos enrutarlos
Harald Welte: russ: bridging firewalling no es una parte oficial de iptables
hay un patch no oficial para el (bridging firewalling)?, y parece haber alcanzado cierta estabilidad recientemente
lennert buytenheck esta trabajando en esto (mantiene el codigo de bridging)
no hay mas preguntas?
ip6tables no esta preparado para produccion
pero al menos tenemos algo de firewaling en ipvs, y la gente puede continuar trabajando en ello
podeis prbar el codigo en http://netfilter.gnumonks.org/
David Román Esteban: cuando habra una version "final" de ipv6 ?
Harald Welte: bueno, no lo se.
como dije hay mas de uno ocupado con el codigo ipv4 y no hay nadie que nos presente quien quiere gastar tiempo mejorandolo
no pienso que la transicion de internet a ipv6 ocurra en poco tiempo
tal vez en 10 años o más...
David Román Esteban: Crees que IPv6 es un simple experimento? o sera el futuro? en la red?
Harald Welte: no, pienso que ipv6 es el futuro, pero no ahora
yo se, es una lástima, pero míralo desde una perspectica pragmática, tomará tiempo
solo hay que pensar en los centenares de isp que tienes "clueless administrators" (torpes?)
y todo el hard propietario, donde los proveedores no facilitan compatibilidad ipv6
pero visto des de la perspectiva de un comercial o unsISP
por que deberia contratar para algo nuevo, si todo funciona ahora?
por que deberia comprar harware nuevo con ipv6 habilitado
porque deberías entrenar tu equipo técnico para algo nuevo, si pueden hacerlo bien ahora?
David Román Esteban: por que no tienes suficientes ip para vender?
Harald Welte: mira que ha pasado con multicasting , la tecnologia es compleja,
el hard caro, poir que los comerciales deberian ofrecerlo
bien baja el precio por ip
David Román Esteban: esta ocurrieno ahora
Harald Welte: y creeme, que a cada usuario se le asignara dimalicamente direciones tipo 192.168 para hacer NAT que commutancon ipv6
pero lo que pudeo ver es que hay mas y mas facilidades de desarrollo por parte de ej universidades para migrar a ipv6
y basicamente tiene la misma situacion (ahora en ipv6) que se ha tenido hace 10 con el internet 'real' ipv4
entonces podemos reducir el problems a: el comercio ha hecho de la red algo malo
David Román Esteban: si pero el munero de ip debe crecer de forma exponecial en 10 años tendremos la mista situacion con ipv6 que tenemos ahora con ipv4
Harald Welte: dre: has calculado cuantas direcciones ipv6 tenemos por metro cuadrado en la tierra?