Názory k článku
Proč není NAT totéž co firewall

Ako mozem pouzit ten source routing? sa mi to v celku paci, konecne by som mal poriadny sposob ako sa z intraku dostat na domace ssh

ano, taky mě zaujala tato možnost, ale můj poskytovatel asi má firewall :( (co by za to windowsák dal :D a já na to nadávám).
Jinak nevím jestli mám firewall, mam nainstalovane Debiany a nastavení firewallu to po mě nikdy nechtělo, tak asi nemam. Za dva roky na 100Mbit internetu ale ani jeden problém, tak možná jo ???
Jo a NAT(iptables) používám pro notebook, ale origoš konfigurace nefunguje, tak jsem stahnul na netu jinou, ta dříve fungovala (ale jen NAT bez Firewallu) a teď už zase nefunguje :( Podobne problemy jsem měl i dříve - odzkoušené věci nefungujou - proto do toho nechcu moc rýpat - jen zprovoznit a doufat že bude fungovat co nejdýl.

Debian standardne NEMA zapnuty firewall.

Odporucam aspon zadat do /etc/hosts.deny riadok
sshd: ALL

Po Internete totiz rastie mnozstvo primitivnych botovych utokov, ktore spocivaju v tom, ze sa bot snazi pripojit na Linuxovu masinu cez ssh a uhadnut rootovske heslo.

Na zakladnu ochranu by mali postacit velmi jednoduche pravidla. Policy DROP pre IN, OUT aj FW, povolit loopback na IN, povolit vsetko na OUT, povolit iba vyziadane na IN.

By mě zajímalo jak dlouho by hádal tohle heslo: all?crackerz_are_mother#fuckers :-D

aspon jedno pismeno velke a jednu cislici a bude to hadat jeste dele :-)

pridavam do slovniku...

lol xD

Ja mam jako heslo snad vsude fyzikalni definice { i se je tak podle toho naucim } ktery maj vice jak 64 znaku a delam ruzne promenne { takze i cisla a maly velka pismena } ... mohl by sem vam ukazat log z sshd kterej ma za mesic 120MB a to i po tom co je na tyden bloknuta IP adresa po 3 spatnejch pokusech.

ve vsi ucte ale to je takovy problem ssh naucit overovani pouze podle klice? IMHO vydavas vice energie na tebou zminenou pseudo ochranu.

kombinace klic a host.alow/deny je temer neprustrelna. takze proc to komplikovat hlopostmi typu dlouhe tezke heslo... u mych 52 serveru by me asi trefilo. kazdy rack ma zhruba 3-6 hesel...
krat 52 a mam dalsi titul z teoreticke matematiky - ve vasem podani "bezpecnosti" :-D

tak jsem si už nainstaloval firewall (arno-iptables-firewall). Má to zároveň dělat i NAT (je to vlastně konfigurace iptables). Jenže NAT opět nefunguje a tím pádem nevím ani jestli funguje ten firewall. Jo a SSH si nemůžu zakázat, protože často lezu na PC z netu. Zkusím raději lépe zabezpečit ssh. Díky za rady, jinak deny a allow hosts nastavené mám.

Co se ssh tejce, doporucuju zakazat pripojeni pomoci hesla a nosit sebou klic (pripadne ho aspon provozovat na jinym portu nez 22).

Neni lepsi zakazat root login a nainstalovat denyhost? Vyhoda je uz v tom, ze clovek nema zadelany log desetitisici pokusu od nejakeho smejda a sance uspesneho utoku se snizi temer na nulu. Pri mem nastaveni ma utocnik 5 pokusu, ktere cron job pocita kazdych 30vterin a pak je na tyden na black listu. Cili si moc nezautoci a musel by mit z pekla kliku.

a vubec co knocking ? + klice + zakazany root ?

Vy neumíte konfigurovat IPT? :-)))))

No, já mám např router (s NATem). Ten má svou IP adresu (hledej v manuálu), na kterou se dostaneš z prohlížeče. Pak si tam nastavíš forward portu ssh na nějakou vnitřní adresu tvého PC (předpoklad vypnuté DHCP). Potom ten router při požadavku připojení na ten port přesměruje požadavek na tvůj PC a seš tam.

Hej... tak to pouzivam aj ja... ale ak dam na ssh port 22, okamzite mi stupne traffic koli tomu ze volaki debili skusaju slovnikovy utok... a na DSL z 1GB limitom si to moc nemozem dovolit :) a ak dam iny port (ako to mam teraz), tak s tym zasik odmietaju robit niektore debilnejsie aplikacie (napriklad midnight commander), kde s inymi portami ako 22 neratali

MC s tym problem rozhodne nema... login@adresa.kom:<port napr.: 12345> a je to

No na ten source routing kludne zabudni. Tvoj Internet provider urcite prevadzkuje nejaky firewall a taka vec ako source routing sa dnes uz bez milosti zahadzuje. Nie je dovod ju pouzivat a kazdy znalejsi admin nastavuje firewall tak, aby pakety s volbou source routing zahadzoval...

Ten source routing je opravdu tak standardní vlastnost, že ho všechny síťové prvky umí a mají ho zapnutý?

Ono to nemusi byt jen o source routingu.
Bezna situace je ta, ze utocnik je (nebo muze byt) ve stejne podsiti jako vnejsi IP adresa NAT. Takze prvky cestou o smerovani presvedcovat nemusi a jen si sam prida cestu k te vnitrni siti pres branu (vnejsi adresu NAT). Brana mu pak pozadavky normalne vraci.
A do stejne podsite se dostane treba i tak, ze zde napadne nejaky pocitac.

To je klasicky problem ve velkych kancelarskych budovach, kde jsou vsichni pripojeni pres jednoho providera. Rozsah pridelenych IP adres je tam celkem zrejmy, a spousta firem je pripojena pres jednoduchy router s NATem, takze kdo si chce zkouset jake to je dostat se pres NAT do cizi site, ma dvere otevrene ... :-)

Je to standardní vlasnost, aktivní prvky ho umí, ale třeba Cisco ho už před mnoha a mnoha lety změnilo defaultní konfiguraci tak, aby byl vypnutý. Důvod - právě možné zneužití. Tipoval bych, že ostatní větší výrobci aktivních prvků to mají stejné a docela mě překvapilo, že se někdo může spoléhat na to, že source routing k něčemu využije. Zajímalo by mě, jak je to v linuxu/bsd se zapnutým ip forwardingem - nevíte někdo?

To jsem měl právě na mysli.

IP forwarding je v Linuxu defaultně vypnutý (v každém howto ohledně routování je zmíněn příkaz "echo 1 > /proc/sys/net/ipv4/ip_forward").

> BTW: "echo 1 > /proc/sys/net/ipv4/ip_forward" je pekna prasarna, kdyz uz tak "sysctl -w net.ipv4.ip_forward = 1"

Proc si to myslis? Podle me je to celkem jedno. Ten sysctl stejne udela presne to same, co to echo.

/etc/sysctl.conf

net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.accept_source_route = 0

Jeste mozna pro overeni, zda source routing je povolen:

cat /proc/sys/net/ipv4/conf/all/accept_source_route
cat /proc/sys/net/ipv4/conf/default/accept_source_route
cat /proc/sys/net/ipv4/conf/eth0/accept_source_route
cat /proc/sys/net/ipv4/conf/eth1/accept_source_route
...
cat /proc/sys/net/ipv4/conf/ethN/accept_source_route

popripade misto ethX vas interface (jako napr pppX)

co takhle cat /proc/sys/net/ipv4/conf/*/accept_source_route ...? ... ;-)

No nevim, o kvalite clanku by se dalo pochybovat.

Mitus 1:
To ze se ve vnitrnich sitich pouziva obvykle 192.168 neni zadna novinka, to ze kdyz se klikne v ICQ na info, ze tam je videt IP to taky neni nic neznameho. Komu tahle informace byla prinosem?

Mitus 2:
Kdyz z dostatecne rychle linky do nekoho pustite dostatecne hodne velky trafic dokazu ochromit v podstate jakekoli sitove zarizeni a nemusi to byt zrovna nat. Zase nechapu co tohle melo znamenat...

Mitus 3:
Kdyz je mezi NATem a "hackerem" internet, je sance ze se "hackerovi" povede pomoci routingu dostat za NAT prakticky nulova. Opet jen teoreticka metoda.


Nechapu proc se autor nezminil o UDP. Proc nerek neco o typech NATu a o zjistovani typu - protokol STUN. A co treba kdyz pocitace spolupracuji? Mam dva stroje, oba za natem a chci je mezi sebou spojit aby nemuseli chodit pres prostrednika. Tohle sou zajimava temata. Clanek popsal 2% z toho, o cem mel byt. Nutno dodat, ze ty 2% maji k zajimavosti a k relevantnosti oproti zbylim 98% opravdu daleko.

A co tak pozadat autora o pokracovani? Myslim, ze jako lehky uvod do problematiky tento clanek neni spatny...

Takze +-1 :)

Ano, ano pěkně prosí, napište nějaké tučnější pokračování.
O tomhle té běžně dostupné literatury až tolik není.

kritizovat umí každý. názorná ukázka:
"váš komentář ke kvalitě článku nijak nepřispěl! pro příště jej více rozveďte, aby jsme se dozvěděli to, co v článku nebylo, nebo si to frflání nechte od cesty."
-5

Možná by nebylo od věci "oznámkovávat" autory své články (třeba - 1: pro širokou veřejnost až 5: pro specialisty), pak by se dalo vyhnout řadě nedorozumění.

A za kterých 10 lidí se ke komentáři vyjadřuješ?

Za všechny, ty matlo. :/

no, koukam, ze zase nejakej machyrek, co se stydi podepsat.
Hele, pro me ten clanek byl dobrej. Ja jsem se tam dozvedel docela dost informaci. Clanek je pro lamy, ostatne uzasny profik to prece vi, ze NAT neni firewall. to vi i lama jako ja, ja jsem to cetl proto, ze tady jsou informace o NATu.
Ano, sice jsi napsal neco o to, co v tom clanku chybi, uznavam, ale kdyz bys to tedy dokazal lepe, nez autor clanku... vis co chci rict. Opravdu rad si tve dilo prectu, pokud to bude podane srozumitelnou formou. Rad se dozvim neco noveho. Odbornych clanku psanymch stylem pro odborniky je dost, ale clanku pro lamy, ktere vysvetluji neco slozitejsiho tak, aby lamy alespon vedely o co jde, kdyz ze s danym pojmem setkaji, je malo.
Ja za clanek dekuji.

jen drobna korektura:

< no, koukam, ze zase nejakej machyrek, co se stydi podepsat.
> no, koukam, ze zase nejakej machyrek, co se stydi registrovat na root.cz

> no, koukam, ze zase nejakej machyrek, co se stydi registrovat na root.cz

nebo se mi nechce pamatovat si registraci na firemnim kompu a jsem linej se prihlasovat... nicmene jako xaint jsem vsude, neni problem si najit kontakt na me, kdyz potrebujes.
zvlastni, do ceho vseho se lze navazet :-) no tak aspon ze nemas nic jineho :-)

Ja lama jsem s clankem spokojen. Ja lama uz davno vim, ze nat neni firawall a tak ho s firewallem pouzivam. Clanek mi jednoduchou formou dal veci dohromady a urcite nasmeroval k dalsimu patrani na internetu. Byl bych rad, kdyby autor toto tema podrobneji rozvinul.

A řeší nějak bod č. 3 dvojitý nat? Tzn dva natující routry za sebou. Nebo to je jenom zbytečná ztráta času? To by mě zajímalo.

je možné se dostat přes několik NATů za sebou, chce to jen znát cestu (IP adresy)

Ano taky sem našel v článku chyby, a to jsem ho jenom zběžně prolítl, ale myslím že jako varování pro začínající/neznalé uživatele je to dobré.
Každý ať si najde další informace, či přesnější informace. Pak se samozřejmě jeví dost věcí jinak, pravdou však zůstává člověk znalý nevidí síť bezpečnějši než jak je autor článku prezentuje.
Z vašeho příspěvku spíš čiší jakýsi dluh minulosti, kdy jste si myslel že bude jednoduché se někam dostat a ono ejhle to tak jednoduché nebylo a jste z toho ještě rozhořčený.

Apropo ne všichni jsou připojení přes nejnovější vybavení, na internetu lze nalézt i takové pošetilce, kteří používají starší sw i jako hraniční zařízení, a pak taková informace jako tato přijde vhod: http://support.microsoft.com/kb/217336
Takže source routing může být aktuální problém, hlavně v oblasti uživatelů pro kterou je článek koncipován.

PS: A Vy opravdu víte jak TCP/IP funguje ? ;)

Hlaska dne: "kazdy internetovy router ti jej okamzite zahodi"

Otestujte to, schvalne. Podle RFC by se to netu nemely dostat pakety smerovane na privani rozsah, to je fakt. Ze tam normalne k videni jsou, to je taky fakt. A ze source routing s tim nema nic spolecneho, to je rek bych taky fakt. Router si totiz capne prvni adresu v rade (ono jich totiz muze byt vice) a na tu paket posle nebo (pokud jde o privatni adresu mimo privatni sit) by takovy paket MEL (zduraznuju ze MEL) zahodit. Osobne se, pokud vypnu svuj FW, ktery takove pakety samozrejme ven nepusti (a dovnitr taky ne) dostanu minimalne pres 3 dalsi routery.

Tak to napište sám.
Rádi si to všichni přečtem :)

Nepatri tento clanek spis mezi tutorialy? :-) Na titulce root.cz jsem to tedy necekal :-)

Metoda popsana, hrebik byl uhozen na hlavicku. Kdejaky "IT expert" se svymi CISCO a Microsoft certifikacemi stavi bezpecnost site na NATu, toto aspon tyhle nebezpecne zavadejici myty bori.

Admin ktery nefiltruje pakety s internimi zdrojovymi adresami prichazejici zvenku si zaslouzi povesit za drevaky do pruvanu :)

Souhlasím a rád bych viděl pokračování. Ani ho nemusí psát stejný autor. Může to být některý z těch, kdo v diskusi pod článkem naznačují, ale nic konkrétního neuvádějí. Asi si to šetří do toho článku. V těchto oblastech by mělo být pokud možno co největší jasno.

Lenže človeka čo niečo vie je treba zaplatiť, takže sa nečuduj že nikto z tých čo rýpu nič nenapíšu.

Zajmavá myšlenka, ale nechápu souvislost mezi CISCO A MS certifikacemi a firewaly ... myslíte které certifikáty? Bezpečnostní? Nebo ty kde stačí jenom konfirugovat aby to jakš takš chodilo.
Pokud myslíte CCNA jako certifikaci, tak máte pravdu že takový člověk, pokud nemá další know-how, není připraven navrhovat sítě, a nikde se o tom ani nepíše. Viz http://www.cisco.com/web/learning/le3/le2/le0/le9/learning_certification_type_home.html .

Pokud myslíte CCNP tak to už by bylo k zamyšlení.

U MS platí to samé, pokud umím instalovat a zvládnu základní administraci windows tak se také po mě nemůže vyžadovat abych navrhoval bezpečné sítě.

Vaše tvrzení má asi takovou vypovídací hodnotu, jako by jste nadával na "certifikovaného" kuchaře a spochybňoval jeho schopnost protože špatně odhadl sílu jističe na kotel :)

Mám pocit, že NAT firewall téměř nahradí, neřekl bych, že třeba zdrojová adresa 192.168.0.10 doputuje nějak daleko skrz internet. Útok tedy připadá v úvahu snad jen od providera a pár stovek počítačů v okolí, nicméně pro nějaké červy to stačit může. Ale pokud to chápu, tak červ potřebuje zjistit na jaký port je přeložen požadovaný port útoku a na to by zas nesměl být za natem, takže by se dál stejně mohl šířit jen na počítače s veřejnou adresou a bez firewallu. Praktický význam pro připojení skrz NAT ale nevidím.

no heledte, dam vam priklad mam nyni ip adresu 85.160.12.26 prelozeno na ip-85-160-12-26.eurotel.cz no a mit otevrene porty, tak pro cloveka znaleho to neni problem neco mi provest, tady jde o inteligenci cervu, kolik toho jsou schopni prelozit.

Souhlasi :D :

nmap 85.160.12.26

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2007-06-13 21:34 CEST
All 1672 scanned ports on ip-85-160-12-26.eurotel.cz (85.160.12.26) are: filtered

Nmap finished: 1 IP address (1 host up) scanned in 39.838 seconds

Pro útok vám stačí libovolná zdrojová IP adresa, i veřejná. Když není firewall, tak nikdo nehlídá, odkud ty pakety přišly.

Lenin se nejmenoval Lenin, Stalin se nejmenoval Stalin a Velká Říjnová Socialistická Revoluce byla v listopadu...

Autor opomíjí několik drobností:

1. Mluví o dynamickém NATu, aniž by to někde explicitně uvedl (pokud jsem se nepřehlíd pro zmněnu já). Statický NAT pochopitelně prohazuje jednu adresu za jinou a co kde jak otevírá/zavírá spojení ho nezajímá, takže v podstatě neplní žádnou funkci pasivní ochrany, což u DNATu není až tak úplně pravda.

2. Nejsem si tak úplně jistej, že NAT vznikl z potřeby řešení malýho adresního prostoru. V případě DNATu to tak nejspíš bylo, ale SNAT tenhle problém neřeší, tam se to používá z důvodu zjednodušení routingu v lokálních sítích.

3. Cest za DNAT skutečně vede několik a implicitní routing je jen jedna z nich. Problém je v tom, že musíte znát strukturu vnitřní sítě a její prozkoumání není zas tak jednoduchý, jak autor popisuje. To, co popisuje, by v podstatě šlo použít na malou firmu, která má vnitřek postavenej na ethernetu a NAT jí běží v podstatě v nějakým routeru, čili vnitřek se routuje na úrovní ethernetu, nikoliv IP. V tomhle pádě platí ta jednoduchá představa.

4. Zjištění vnitřní IP z nějakýho blbýho software (např. ICQ) pochopitelně možný je, ale ne vždy a v podstatě to moc nevypovídá o vnitřku sítě. Pokud budu mít NAT za NATem, což pochopitelně normálně funguje, zjistím z toho IP jednak venkovní, druhák lokální IP příslušnýho stroje za tím druhým NATem, ale IP toho druhýho NATu, který na útok implicitním směrováním potřebuju, nezjistím, ani kdyby had na skale sral a žába do toho pěstí bušila. BTW ten druhej NAT může být pro tu prdel klidně statickej.

5. Proč dělat věci složitě, když je jde udělat jednoduše. Když se chci (např. implicitním směrováním) dostat za NAT průměrnýho člověka, musím znát strukturu vnitřní sítě a minimálně musím být schopen zvenku najít IP počítače, kterej chci napadnout, protože předpokládám, že se jde po něčem konkrétním. Pokud použiju IP z rozsahu 10.xx.xx.xx tak nalezení IP může být zatraceně zdlouhavý bez použití berliček v podobě ICQ. Napadení jednoho konkrétního počítače tedy bude trvat poměrně dlouho. Příjde mi jednodužší vyrobit nějakej vhodně infikovanej mail, ona to určitě alespoň jedna sekretářka otevře a můžu si krásně otevřít spojení přímo na svůj stroj a použít k průniku vlastní kod, kterej pochopitelně bude dělat to, co já chci, navíc obvykle s administrátorskejma právama, protože všichni víme, jak to na Win funguje. Dělat takovejhle průstřel přes NAT pochopitelně jde, ale je to jak se škrabat nohou na hlavě. To taky jde, ale je to zbytečně složitý. Projít jde v podstatě čímkoliv, jde jenom o to, kolik to dá práce a jestli je to ještě efektivní.

6. Ve složitejch sítích jde s implicitním směrováním pěkně zakopnout, obzvlášť, když je tam bran do Internetu několik, může to být docela průser. Druhej stupeň průseru spočívá v tom, že aktivity typu ,,zavirovanej počítač sekretářky'' nechá každýho admina v klidu, protože v podstatě neexistuje moment, kdy by byly počítače nějaký větší sítě důkladně odvirovány, takže schovat v bandě všiváků svůj vlastní kod v podstatě není těžký a bude to trvat hrozně dlouho, než to začne někdo řešit a většinou to ani nebude zkoumat zevnitř, čili vám kukačka přestane fungovat, ale nikdy na vás nepříjdou. Pokud se do tý sítě ale propašujete nějakým divným způsobem a náhodou a čistě omylem tam o něco zakopnete a způsobíte rutiku, zalarmuje to všechny správce, začnou to řešit a je marná představa toho, že vás nevystopujou a nastane strašnej průser.

Faktem ale je, že NAT se nedá používat jako firewall a obráceně.

Ještě jedna malá poznámka. Víme všichni skutečně co v našich systémech běží? Co posílá např. Skype, od kterýho jsem zdrojáky v životě neviděl, co posílá například Opera, Nechťskape, či jinej werk? Ono to totiž i s Firewallem může být děravější, než si všichni myslíme. Nejhorší je, že to není jak zjistit.

Proč dělat věci složitě, když je jde udělat jednoduše. Ano, myslím že kdybyste napsal jen tu jednu větu "Faktem ale je, že NAT se nedá používat jako firewall a obráceně." tak by to úplně stačilo, protože všechno ostatní je podle mne úplně off-topic.

Třeba odstavecc 4. Jasně že u dvojitého natu nezjistím v ICQ obě IP. Taky když uříznu síťový kabel tak nezjistím vnitřní IP. A když vypnu počítač tak také ne, ale nevidím důvod vyjmenovávat všechny možnosti, kdy to nejde, ...i když vy jste s tím zdá se už asi začal.

Nebo hádat vše v rozsahu 10.x.x.x, no dobrý, jistě že tohle by trvalo dlouho, ale článek byl spíš o tom, že uhodnout 192.168.0.1-2 nebo 192.168.1.1-2 je na 4 pokusy a ...máte to zadarmo. Zmiňovat v té souvislosti že 10.x.x.x trvá dlouho -- nechápu. Je tam vůbec nějaká souvislost?

Kdyby napsal autor že se dá "hádat login" (a také se to běžně dělá), tak v příspěvku napíšete že login dlouhý 1024 znaků se hádá dlouho??? Fakt vůbec nechápu...

Napsat že lepší než se snažit dostat zvenku přes nat je lepší poslat vir v mailu.. tak to taky můžu nasadit agenta do firmy, který můj stroj přidá do iptables a mám cestu volnou. Taky můžu udělat spoustu dalších věcí s jejichž vyjmenováváním jste rovněž začal, ale netuším jak to souvisí s faktem, že NAT není FW.

"""Autor opomíjí několik drobností:"""

Takže myslíte že je v článku o NAT nutné opravdu psát i všechno o posílání virů mailem a o Skype, Opeře atd.??? Mně to čtení vašeho příspěvku i odpovídání na něj přišlo úplně zbytečné, chraň bůh aby to bylo ještě v článku :D

...kéž by to bylo ještě v článku.

Co říct, máte pravdu.
A mohl by jste napsat vlastní článek, určitě bych si to rád přečetl.

Mimochodem spustit alarm IDS není tak složité a opravdu v tom momentě nastane mezi IT peklo.

Obvykle jsou nastavené cca tyto scénáře:

IDS spustí:
- jedná se o průnik?
ANO x NE (zablokovat IP)
|-> vypnout brány do netu (vznikají ztráty)

- je potřeba zavolat odbornou společnost ?
ANO x NE (ztráty jdou do desetitisíců)
|-> než přijedou trvá to a ztráty jdou do statisíců

....
......
...


Takže blbou hrou může vzniknout škoda klidně mega.

A to jen díky pokusu ,,ha ha ha zkusím se kouknout do naší firmy z domova ať je sranda".
Na druhou stranu firma s IDS obvykle má firewall a né jen NAT .)

Ovšem nikdo neříká že i když mají firewall že se jim nemůže povést přeskočit FW.

Par drobnosti
nat vznikl opravdu diky nedostatku adresniho prostoru, coz je take receno v jeho RFC..

Pokud si pozirujete IDS tak by melo provoz sledovat to uz spise IPS.... diky cemuz se dostavame zpet k ciscu.... a mozna certifikacim...

dosti podstatny rozdil jestli mate od providera hloupou krabicku za dva litry, popr necopodobneho s linuxem a nebo za 5K kvalitni 17xx krome toho ze tam bude chodit DNAT tak si spoustu veci osetrite pres access listy nehlede nato ze po nahrani spravne IOS verze jde
router pouzivat jako vpn gateway... to nemluvim o pix firewallu ktery je take k mani za 6K
zhruba.
pokud mate ids nebo ips je uplne jedno strata bude vzdy kdyz na vas nekde zautoci dos attackem... budeli linka nepouzitelna bude sice fungovat vnitrni sit, ale pri potrebe komunikovat s partnery ven bude ztrata tak jako tak... pokud nepouzivate vice provideru..
tenhle typ utoku mimojine by mel byt osetren na strane providera....

jinak ten clanek je gut ale je to jen absolutni vycuc toho co se pod slovickem NAT skryva...

Osobně se DOS nebojím.
Máme záložní konektivity a naše firma je orientovaná spíše směrem ven - tj. připojování se k zákazníkům.

Pokud by někdo zahltil jednu konektivitu, šoupnu IT a nebo rovnou přejdu na úplně jiný kabel.

Ale chápu že u firem jako je provoz WEB serverů může DOS útok dělat problémy.

Dobry den, ako funguje NAT?

Priklad: Poslem poziadavku na 89.250.252.18 port 80 (www) NAT ju prelozi napr. na 89.250.252.18 port 16794. Ako je zabezpecene aby web server, ktory by mal predsa pocuvat na porte 80 tutu poiadavku zachytil a odpovedal na nu? Alebo web server pocuva na celom rozsahu protov?

Priam aj sprotov...

NAT je primarne urceny na to, ze vychozi pozadavek pochazi z pocitace uvnitr site, ne venku.
To, co popisujete, se resi forwardovanim portu -- router na adrese 89.250.252.18 ma nastavene pravidlo, ze pozadavky na port 80 ma forwardovat na stroj 192.168.1.1 (napr.) a odpovedi od stroje 192.168.1.1 ma za nej posilat puvodci http requestu.

Vy kdyz posilate pozadavek na 89.250.252.18 (jako www klient) uz nevite, ze je to router za kterym se skryva interni sit.

Nevyhodou tohoto pristupu je ze jeden port muzete forwardovat jen na jednu vnitrni adresu, tj. nemuzete mit ve vnitrni siti 2 verejne pristupne www servery na stejnem portu. Nevim, jestli dnesni routery nemaji reseni, ktere by to umoznovalo nejak obejit, napr. prirazeni spravne vnitrni IP podle obsahu http requestu (URL?)...

Na co by potřeboval někdo rozumný mít 2 různé servery na různých vnitřních počítačích schovaných za natem? Pro většinu aplikací si bohatě vystačíte s virtual hostingem - jde jenom o jméno, posílá se na jeden stroj. V podstatě by asi šlo forwardovat jeden port nastřídačku, mám pocit že něco takového iptables umí. Jenom mě nenapadá, k čemu je to dobré.

Pro ty, co opravdu potřebují víc serverů existují load balancery na úrovni IP, snad i s možností práce s URL. Ale obvykle to asi nebude realizované přes NAT na nějaké interní adresy. Prostě máte víc IP veřejných a pro každou odkazujete na jiný stroj (otázka je, proč nedát veřejnou rovnou tomu WWW serveru, že?).

Vedel by mi niekto poradit ako spravim autokonfiguraciu forwardingy? Lebo vzdy ked sa chcem cez ssh pripojit domov musim predtym overit ci to mam nastavene spravne, pripadne upravit, router svina prideluje IP dynamicky a neviem nijako zabezpecit aby som dostal zakazdym tu ist a uz vobec nie to prestavit automaticky…
Vdaka za odpovedeň
Habo

nastavit IP v pocitaci manualne na penvo ne pres dhcp,
nastavit v routeru pridelovani ip podle mac adres
nejhloupejsi asi nastavit IP v pocitaci na pevno a v routeru DMZ na tu IP