Ciscoがこれを教えるのは皮肉だよね。NATを導入したときに言ってたこととは真逆だし。

そうそう、デフォルトではLinuxベースのルーターは、IPv6ホストにトラフィックを転送しないよ。明示的にプログラムを動かして、カーネルにそれを伝えないといけない。

IPアドレスが漏れたら、標準ゲートウェイじゃなくてNAT変換を行っているユニットのアドレスになるんじゃないの？

192.168.0.1にアクセスするのに1秒もかからなかったよ！そんなに難しくなかった。 (;-)

「高価値ターゲットのアドレスが漏れたけど、インターネット経由でルーティングできるかはわからないし、漏れたのは内部アドレスで、誰がその高価値ターゲットを持ってるかもわからない」って話はちょっと信じられないな。実際に心配なら、NAT66を使ってプレフィックスを隠すことができるけど、公共の攻撃ポイントが最初に公開アドレスを変換しているファイアウォールだとしたら、これがセキュリティを達成するとは思えない。それに、もし本当に漏れたIPv6アドレスなら、一時的な形式になっていて期限切れになってるはずだよ。もしインバウンドが許可されるべき静的サービスのことを言ってるなら、結局「攻撃ポイントはインターネットのエッジがインバウンドを公開するところであって、内部アドレスじゃない」ってことになる。

あなたの例で言うと、2つの「プライベート」IPアドレスを提示するべきじゃない？その場合、IPv6アドレスは自動設定されたリンクローカルアドレスに置き換えるべきだし（ULAアドレスも有効だけど）、または外部から見える2つのIPアドレスを提示するべきで、その場合はIPv4アドレスを192.168.0.1がNATされる「パブリック」アドレスに置き換えるべきだよね？そうすれば、言ってる違いはあまり際立たなくなる。最初のケースでは、ローカルIPv6アドレスはローカルIPv4アドレスと同じくらい無駄だし（ただし、ユニークである可能性は高いけど、どうやってアクセスするかはわからない）。2番目のケースでは、ターゲットが巨大なIPv4 NAT（キャリアグレードNATかも）に隠れていない限り、すぐにルーティング方法がわかるはずだよ。でも、IPv4のローカルIPとIPv6のグローバルIPを提示するのはちょっと不公平だと思う。パブリックIPv4アドレスと自動設定されたリンクローカルアドレスを提示して同じ質問をするのも同じくらいおかしいよ。キャリアグレードNATが結果を変えるのは認めるけど、それにはキャリアグレードNATの持つすべての欠点が伴うんだ。つまり、NATピアシングなしではインバウンド接続を受けることが完全にできないし、IPv6でもキャリアグレードNATを使えば同じことができるけど（ただし、私たちはそれを望んでないし、IPv4 CGNATを使いたいのも他に選択肢があまりないからだよね）。

ごめん、これはただの「不明確さをセキュリティとして扱う」ための複雑な議論に過ぎないよ。プライバシーをセキュリティのようにしがみついてるけど、ケルクホフの原則を完全に無視してるよね。

…まさか、IPv6アドレスを本当に推測したの？IPv6アドレス空間のフルスキャンは現実的じゃないと思うけど。もしかして、SBCがインターネットに接続してアドレスが露出したのかな？それとも、膨大なアドレス数があるからIPv6は「より安全」だと思うんだけど。

それはちょっと恥ずかしいね（笑）

NATを導入するRFC、RFC 1631にはこう書いてあるよ：> 残念ながら、NATはセキュリティを提供するための選択肢を減らす [1] みんなそれを忘れちゃったみたいで、1990年代のネットワーク制限をクラウドにまで持ち込むようなカルト的なセキュリティプラクティスに変わっちゃったんだよね。 [1] https://www.rfc-editor.org/rfc/rfc1631.html

これはハイラムの法則に反してるよ。NATは99.9%のユーザーが望む動作を、通常はデフォルトで提供してる。真のファイアウォールも同じことができるけど、必ずしもデフォルトではないし、ファイアウォールがデフォルトでオンになってるとも限らない。設定ミスの余地も大きい。IPv6は、多くの人にとってはセキュリティの後退だと思うよ。アーキテクチャ的なメリットやファイアウォールの意味に関係なくね。

もちろん、対称型やキャリアグレードのNATはファイアウォールじゃないけど、IPv4だけの展開シナリオでその現実的な影響を無視するのは本当に馬鹿げてる。ファイアウォールは完璧じゃないし、実際のところ、平均的なNATはそれに近いことが多いよ。

アヒルみたいに鳴くけどね。

「NAT」と言うとき、私たちは特に消費者向けIPv4ハードウェアに見られるステートフルな一対多のNAT実装について話してるんだ。そういうNATは、受信接続に対してデフォルトで拒否、送信接続に対してデフォルトで許可するセマンティクスを持つファイアウォールと大体同じだよ。他にもファイアウォールとはあまり似ていないNATの実装もあるけど、NATがセキュリティを提供しないと言うのは、用語の使い方を誤解してるよ。特に君がそうだとは言わないけど、他のスレッドではUPnPを根拠にNATがセキュリティを提供しないって言ってる人もいるね。もしUPnPの存在がNATがセキュリティを提供しないことを意味するなら、PCPの存在はファイアウォールもセキュリティを提供しないことを意味することになるよ。

君は過度に細かいことを言ってるから間違ってるよ。NATは通常、外部のアクターが内部のリソースにアクセスするのを許さないから、セキュリティを提供してるんだ。NATが機能するためにファイアウォールは必要ないけど、多くのファイアウォールにはNATが組み込まれてるよ。実際、ファイアウォールがオフでもNATは機能する（NATが別の場合）。君のセキュリティの定義は狭すぎるよ。そして、NATが常に壊れていると言って、NATがセキュリティではないことを示唆するのは馬鹿げてる。SSHは常に「壊れてる」し、TLSも常に壊れてる。結論として、NATは実質的に家庭ネットワークの攻撃面をルーターに減らすんだ。それが実際のセキュリティだよ。

ロードバランサーも一種のNATだけど、これをセキュリティ対策やファイアウォールと混同する人はいないと思うよ。

内部トラフィックを内部に保つことの利用法を想像できない人たちからのコメントが多いのが怖いね。IPv4では、僕のノートパソコンがパブリックIPv4アドレスのプリンターを使おうとすると警報が鳴る。IPv6では、僕のノートパソコンがIPv6アドレスのプリンターを使おうとすると…ファイアウォールの問題じゃないんだ。NATがないと余計な攻撃ベクトルがたくさん増えるよ。

NATとファイアウォールの違い？どちらかに穴を開けることができるよ。 https://en.wikipedia.org/wiki/Hole_punching_(networking)

なんかこのスレッドにいる自称ハッカーたちの多くが、ただこの教義を鵜呑みにしてるだけなのが悲しい。IPv6のプライバシー拡張が使われる前から、プライバシーの問題を軽視したり、プライバシーを求めることが悪だと言ってる人もいたし、IPv6が重要だからって。NATとファイアウォールの違いはちゃんと理解してるよ。何年も両方を展開して設定してきたからね。「ファイアウォールなしのNAT」っていうストローマンはほとんど関係ない。実際に人々が運用しているのはそんなことじゃないし。ファイアウォールはポリシーベースのセキュリティで、NATは名前空間のこと。別の分野では、名前空間を重要なセキュリティメカニズムと考えることが多い。攻撃者がアクセスできないリソースの名前すら知らないなら、それはかなり強いセキュリティ特性だよね。もちろん、誰でもIPを偽装して192.168.0.6にトラフィックを送ろうとすることはできるけど、ISPのアクセスネットワークの中にいない限り、実際にはそのトラフィックをローカルの192.68.0.6にルーティングすることはできない。一方で、IPv6のファイアウォールは、設定ミス一つで誰でもアクセスできる状態になる可能性がある。

自称ハッカーの中には、偉そうなことを言う前にRFCを調べたことすらない人が多いのが怖い。RFC 4787のセクション5に「NATフィルタリング」っていうものがあるから見てみて。NATはファイアウォールじゃないけど、実際には野良のNATボックスはトラフィックをフィルタリングしてるし、それをやってるのもNATなんだよね、別のファイアウォールじゃない。ほとんどのNATボックスはステートフルフィルタリングをしてる。やり方は標準化されてないけど、現実はそうなってる。人々はNATのフィルタリング部分が「実際にはファイアウォール」だって主張するけど、何の意味があるの？外から見たら、トラフィックをフィルタリングするファイアウォールがあるのか、NATがそれをやってるのかは分からない。多くの人がNATはアドレス変換だけだって定義に固執して、現実世界と関わろうとしないんだよね。

明らかな理由って何だろう？（軽い気持ちで言ってるわけじゃなくて、本当にそのネットワークでサーバーを許可しない理由を知りたいんだ）

携帯電話もかなりサンドボックス化されてるよね。

これらの携帯電話プロバイダーは、明らかな理由から、無数の消費者向けスマートフォンをサーバーとして使わせてくれない。ちなみに、フィンランドのここで自分の電話でテストしてみたんだけど（ここで一番大きいキャリアのElisa）、IPv6のインバウンドTCP接続は問題なく動作するよ。IPv4はCGNATの背後にあるからダメだけど。モバイルブロードバンド（通話なし）のプランでは、オプションで無料のパブリックIPv4アドレスも提供してるけど、通常の電話プランでは提供してない。（テストはPlayストアからTermuxをインストールして、その中で「pkg install netcat-openbsd」と「nc -6 -l 9956」を実行して、インターネットからそのポートにtelnetで接続した。）

内部のアーキテクチャ的な特徴にもっとセキュリティがあるって？いや、そんなことはないよ。セキュリティの量を順位付けするっていう考え方がそもそも意味があるのか無視しても、この主張はおかしい。もしデフォルトで外部からの接続がブロックされるのが不変の条件なら、IPv4のNATとIPv6のデフォルト拒否ルールはセキュリティ的には同じだよ。どちらもその条件を守ってるからね。もしゲートウェイの設定ミスがシステムを脆弱にするって言うなら、やっぱり二つのファイアウォール設定は同じだよ。IPv6のファイアウォールをトラフィック通過させるように設定できるし、NATの場合はDMZホストやポートフォワーディングを設定することもできる。だから、二つの方式がセキュリティレベルで違うって主張する根拠はないよ。

じゃあ、聞くけど、IPv6にNATがない（これは間違いだけど）って言うのがなんで面倒だと思うの？30年前の醜い回避策をやっと取り除けるんだよ。それはインターネットのコア原則（エンドツーエンドの接続性）を壊して、FTPやSIP ALG、TURN/STUNとか、もっと醜いハックが必要だったプロトコルがやっとまともに動くようになるんだよ。なんでこれが面倒なの？

IPv6は「NATがない」わけじゃないよ。ネットワーク内でULAアドレス（RFC-1918のIPv6版）を使って、そのアドレスに対してルーターでNATを実行することを妨げるものは何もないからね。IPv6は単にNATを「必要としない」だけで、オプションとしてはまだあるんだよ。