<div dir="auto">Hi Joe<div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">+1 I wouldnt agree more...</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 7 Apr 2017 8:15 p.m., "Joe Abley" <<a href="mailto:jabley@hopcount.ca">jabley@hopcount.ca</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
On 7 Apr 2017, at 12:50, Noah <<a href="mailto:noah@neo.co.tz">noah@neo.co.tz</a>> wrote:<br>
<br>
> Most believe NAT protects them while IPv6 exposes them (so they are reluctant to deploy IPv6 at a client level) and you wonder why they still pay for anti-virus software for their clients that seat behind NAT.<br>
><br>
> AFRINIC IPv6 trainings need to debunk the belief that IPv4/NAT offers some sort of security to clients at the LAN level while delivering their trainings to most of this network/systems engineers.<br>
<br>
It's important to speak the same language as your audience if you want to communicate.<br>
<br>
To protocol purists, of which there are surely many here, NAT is simply a mechanism for address translation. It can be unidirectional or bidirectional, dynamic or static, and its primary purpose to join addressing domains, not to block packets.<br>
<br>
To people working in your average IT department, NAT means a bundle of (something like):<br>
<br>
 - allow outbound connections from the inside to the Internet<br>
 - allow very particular inbound connections to particular addresses and ports from the Internet, and map them to particular inside servers, and block everything else<br>
 - translate between the Internet and the internal addressing scheme<br>
<br>
To the purist this looks like a firewall that provides access control, for which NAT is just a necessary evil on the last line because of IPv4 address scarcity. When you implement that in an IPv6 world you don't need the NAT. But to the IT manager it's just "NAT", and when the IT manager hears "you don't use NAT with IPv6" what they think you're saying is "IPv6 doesn't support firewalls".<br>
<br>
We need a better common vocabulary for all of this. But in the mean time I think it's worth bearing in mind that calling an IPv6 firewall between an enterprise network and the Internet a "NAT" is in some cases more likely to result in understanding than insisting that no NAT is required.<br>
<br>
Sometimes we should ask ourselves whether it's more important to be right than to make progress.<br>
<br>
<br>
Joe</blockquote></div></div>