Asi tak ... pravdu máš ...
jde o to, jestli má význam si to komplikovat řekněme kvůli 4 lidem, kteří "musí" mít veřejnou. Obyčejný user se bez ní obejde, když už si ji někdo vyptá, je to většinou tahač, co ji "potřebuje" aby byl na torrentu aktiv. No a jen zlomek userů ji opravdu potřebuje. Mám v síti několik FVE, firmu s B2B systémem, nějaké kamerové systémy, vzdálený dohled vytápění ZŠ, pult centrální ochrany.... všechny veřejné jim dávám NATem a nikdo si ještě nestěžoval, že by mu něco nefungovalo.
Ale měli jsme několik případů (resp dva.), kde kvůli VPNkám museli mít veřejnou. Byť to dle mě bylo řešitelné i jinak, tak to jinak nešlo - na routeru před uživatelem se udělala opět NATka z privátní na veřejnou. Je to sice čuňačina (třetí NAT měli uvnitř sítě sami), ale vše fungovalo k všeobecné spokojenosti.
Problém s veřejnými "všude" komplikuje už jenom to, že jich je málo a málokdo asi dostane dostatečný počet, aby se to dalo dobře segmentovat. Např. pro našich cca 2700 členů bych potřeboval nějakých 4500 adres a vzhledem k té segmentaci tedy /16 segment (už mám obsazeno hodně přes polovinu). Kde to vezmu? :-) Moc šetřit na velikosti segmentů se nevyplácí (při našem způsobu sítě).
Routovat /32 sice lze, ale od určité míry se to stane neúnosné. I když těžko říct, kde je ta hranice ... Rozhodně ale, aby to "zákazník" dokázal rozumně použít, musí dostat segment. Tedy alespoň /30. S /32 si to nějak nedokážu představit, i když by to asi řešitelné bylo (na něčem normálním, ne na krabičkách typu ovislink).
Nějaký hybridní systém (routovat privátní a občas i veřejnou) zase může narazit na omezení buď administračního systému, nebo scriptů ve firewallech (např. ipset je lepší udělat na síť, než vyloženě obecně), nebo řešení QOSu kde se může optimalizovat nějakým stromečkem a pokud nějaké IP vypadávají ze schématu, může to být problém jehož pracnost řešení nemusí vyvážit zisky.
Ale provozovat infrastrukturu na privátních ti nic nebrání. Používají to tak i opravdu velké firmy (mám takový pocit, že i tmobile).
Kdysi existovala možnost NATky 1 bez potřeby conntrack tabulky. Ale z kernelu to někdy zmizelo ... docela škoda. Pak nemusí být potřeba mít přehršel veřejných jen kvůli nutným rezervám na segmentaci prostoru, ale stačí opravdu jen schéma jeden počítač, jedna veřejná. V každém případě by se pak relativně dostupný servřík dokázal přiblížit i 10Gbitům propustnosti.
