Вчера поругал IPv6, сегодня надо немного похвалить, а то плакать будет.
Вспоминаем стартер пак начинающего фаната IPv6: как только сабж победит, у каждого хоста будет уникальный юникастовый IPv6 адрес, NAT станет рудиментом и сам отвалится, по пути от хоста до роутера никаких костылей, а безопасность будет настраиваться в единой точке на фаерволе.
Пони, радуга и всем по морковке.
А что делать с site-tosite VPN в мире где каждый может достучаться до каждого? Вот есть VPN канал, всё хорошо, а если он упал, то как запретить пакетам убегать на волю и ждать когда VPN заработает вновь?
Тут добрые люди написали собрали в кучу 4 правила, следуя которым можно будет себя обезопасить от такого казуса. Но главное, что надо запомнить из этого текста: безопасность это не только на сетевом уровне, это ещё и политики на фаерволе.
https://blog.webernetz.net/ipv6-site-to-site-vpn-recommendations/
