<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, 20 Nov 2021 at 13:47, Måns Nilsson <<a href="mailto:mansaxel@besserwisser.org">mansaxel@besserwisser.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Subject: Re: Redploying most of 127/8 as unicast public Date: Sat, Nov 20, 2021 at 11:16:59AM +0000 Quoting Matthew Walster (<a href="mailto:matthew@walster.org" target="_blank">matthew@walster.org</a>):<br>
> 3. IPv6 "port forwarding" isn't really an easy thing -- people are not used<br>
> to each machine having a global address. <br>
<br>
This is the problem in a nutshell. After 27 years of destroying the<br>
E2E model on the internet, people do not anymore understand how IP<br>
(regardless of version) was supposed to work; any node to any node.<br>
<br>
Why should we burden ourselves with this cumbersome and painful, useless<br>
layer of abstraction that is "port forwarding", when the choice of<br>
universal reachability is around the corner?<br></blockquote><div><br></div><div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Because it's a REALLY bad idea to have unmanaged devices reachable from the open internet. Dial-out, not dial-in. You need a firewall. You need a way of punching holes in that firewall for services you explicitly allow, be that manually through an interface, or temporarily via an automated system like upnp/nat-pmp.</div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
If people can set a port forward up, they can click "allow" in a<br>
routing-based firewall interface. Only it is better, because one can<br>
have several parallel services using well-known ports. Sometimes (most<br>
of the time) the protocol spec has no option to change port either,<br>
making port forwarding futile anyway. (the let's have a TXT record bunch<br>
at it again, purposefully ignoring SRV since its inception.)<br></blockquote><div><br></div><div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">It's not always people. Lots of games, lots of telephony things, services like Syncthing... They all open firewall holes (yes, NAT is a firewall) to allow inbound connections for specific conditions, like "this protocol and port combination".</div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I guess juggling our pains differently is what we are doing here. What<br>
is unthinkable to one is quite OK to someone else.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Indeed.</div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
(But I am right)<br></blockquote><div><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">You are not. I'm glad my internet connected light bulbs are controlled by the Australian firm that manufactures them and the American firm that has a surveillance device in my kitchen listening for the immortal words "turn on the living room lights", rather than Billy* from Doncaster who's looking for something funny to do after losing at CS:GO again and happens to have found a list of IP addresses of known vulnerable devices accessible from the internet.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">M</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">*Billy may or may not be a fictional person living in Yorkshire, UK. For the sake of argument, Not All Yorkshiremen. </div></div></div>