Mitus 1:
To ze se ve vnitrnich sitich pouziva obvykle 192.168 neni zadna novinka, to ze kdyz se klikne v ICQ na info, ze tam je videt IP to taky neni nic neznameho. Komu tahle informace byla prinosem?
Mitus 2:
Kdyz z dostatecne rychle linky do nekoho pustite dostatecne hodne velky trafic dokazu ochromit v podstate jakekoli sitove zarizeni a nemusi to byt zrovna nat. Zase nechapu co tohle melo znamenat...
Mitus 3:
Kdyz je mezi NATem a "hackerem" internet, je sance ze se "hackerovi" povede pomoci routingu dostat za NAT prakticky nulova. Opet jen teoreticka metoda.
Nechapu proc se autor nezminil o UDP. Proc nerek neco o typech NATu a o zjistovani typu - protokol STUN. A co treba kdyz pocitace spolupracuji? Mam dva stroje, oba za natem a chci je mezi sebou spojit aby nemuseli chodit pres prostrednika. Tohle sou zajimava temata. Clanek popsal 2% z toho, o cem mel byt. Nutno dodat, ze ty 2% maji k zajimavosti a k relevantnosti oproti zbylim 98% opravdu daleko.
Jednoduchy clanek pro lamy vysvetlujici, ze NAT nenahradi FW prestoze mnoho vyrobcu a dodavatelu tvrdi ze ano, musi byt jednoduchy, jinak by jej lamy pro jeho slozitost a odbornost necetly ;-). Vami zminene zalezitosti by mne zajimaly taky, ale vim, ze v clanku pro lamy je hledat nemam.
Takze: -1
kritizovat umí každý. názorná ukázka:
"váš komentář ke kvalitě článku nijak nepřispěl! pro příště jej více rozveďte, aby jsme se dozvěděli to, co v článku nebylo, nebo si to frflání nechte od cesty."
-5
Omlouvam se, zmylil jsem se, clanek je vlastne dobry. Chtel bych poprosit admina roota, aby muj predchozi prispevek vymazal. Strasne se za nej stydim. Opravdu je mi to lito. Prispevky by dycky mely byt k veci a tenhle sem fakt ustrelil. Uznavam ze sem to prehnal. Vsem se timto omlouvam. Kritizovat umi kazdy, svata pravda. Obcas bych kritiky co kritizuji tak skvele clanky strilel! Co se rozvinuti komentare tyce, to sem taky nezvlad. Vubec sem nenapsal co v clanku chybelo a to rozhodne nebylo dobre. Prosim, ODPUSTTE!
Možná by nebylo od věci "oznámkovávat" autory své články (třeba - 1: pro širokou veřejnost až 5: pro specialisty), pak by se dalo vyhnout řadě nedorozumění.
no, koukam, ze zase nejakej machyrek, co se stydi podepsat.
Hele, pro me ten clanek byl dobrej. Ja jsem se tam dozvedel docela dost informaci. Clanek je pro lamy, ostatne uzasny profik to prece vi, ze NAT neni firewall. to vi i lama jako ja, ja jsem to cetl proto, ze tady jsou informace o NATu.
Ano, sice jsi napsal neco o to, co v tom clanku chybi, uznavam, ale kdyz bys to tedy dokazal lepe, nez autor clanku... vis co chci rict. Opravdu rad si tve dilo prectu, pokud to bude podane srozumitelnou formou. Rad se dozvim neco noveho. Odbornych clanku psanymch stylem pro odborniky je dost, ale clanku pro lamy, ktere vysvetluji neco slozitejsiho tak, aby lamy alespon vedely o co jde, kdyz ze s danym pojmem setkaji, je malo.
Ja za clanek dekuji.
tak takovyhle mam nejradsi ... proc bych se mel jak silenec registrovat pokazdy na kazdym druhym serveru ?!? vyhody registrace? o zadny nevim smysl toho mi unika
a kdyz se podepisu jako vaclav havel nebo jakkekoliv jine jmeno tak ti to k necemu bude?!? hodnota informace bude naprosto stejna
> no, koukam, ze zase nejakej machyrek, co se stydi registrovat na root.cz
nebo se mi nechce pamatovat si registraci na firemnim kompu a jsem linej se prihlasovat... nicmene jako xaint jsem vsude, neni problem si najit kontakt na me, kdyz potrebujes.
zvlastni, do ceho vseho se lze navazet :-) no tak aspon ze nemas nic jineho :-)
Ja lama jsem s clankem spokojen. Ja lama uz davno vim, ze nat neni firawall a tak ho s firewallem pouzivam. Clanek mi jednoduchou formou dal veci dohromady a urcite nasmeroval k dalsimu patrani na internetu. Byl bych rad, kdyby autor toto tema podrobneji rozvinul.
1) zjistim na jaky konkretni rozsah se mam zamerit
2) spousta tehle utoku se da FW do znacne miry eliminovat - napr vam odpovim na jeden ping/s a vic nic => minimalne si nezahltim odchozi linku.
3) ta sance je teoreticky i prakticky znacna. Sam sem si stimto hral. V ramci ISP se dostanu do 60% privatnich siti. Dal uz je to ponekud horsi, ale pri trose stesti to vubec neni nemozne.
A clanek je evidentne predevsim pro BFU, a upozrnuje na to, ze NAT neni zadna ochrana.
Ja mam navic duvodne podezreni, ze autor clanku vubec netusi, jak funguje routing TCP/IP a uz vubec nevi, co to je source routing. jestli si vazeny autore myslis, ze se pomoci source routingu dostanes kamkoli na internet s packetem, ktery ma v destination IP rezervovanou adresu, tak se hluboce pletes, zkus si to schvalne, kazdy internetovy router ti jej okamzite zahodi. Toto funguje jedine na stejnem subnetu, tedy bez jakeholi routeru v ceste.
Ano taky sem našel v článku chyby, a to jsem ho jenom zběžně prolítl, ale myslím že jako varování pro začínající/neznalé uživatele je to dobré.
Každý ať si najde další informace, či přesnější informace. Pak se samozřejmě jeví dost věcí jinak, pravdou však zůstává člověk znalý nevidí síť bezpečnějši než jak je autor článku prezentuje.
Z vašeho příspěvku spíš čiší jakýsi dluh minulosti, kdy jste si myslel že bude jednoduché se někam dostat a ono ejhle to tak jednoduché nebylo a jste z toho ještě rozhořčený.
Apropo ne všichni jsou připojení přes nejnovější vybavení, na internetu lze nalézt i takové pošetilce, kteří používají starší sw i jako hraniční zařízení, a pak taková informace jako tato přijde vhod: http://support.microsoft.com/kb/217336
Takže source routing může být aktuální problém, hlavně v oblasti uživatelů pro kterou je článek koncipován.
Hlaska dne: "kazdy internetovy router ti jej okamzite zahodi"
Otestujte to, schvalne. Podle RFC by se to netu nemely dostat pakety smerovane na privani rozsah, to je fakt. Ze tam normalne k videni jsou, to je taky fakt. A ze source routing s tim nema nic spolecneho, to je rek bych taky fakt. Router si totiz capne prvni adresu v rade (ono jich totiz muze byt vice) a na tu paket posle nebo (pokud jde o privatni adresu mimo privatni sit) by takovy paket MEL (zduraznuju ze MEL) zahodit. Osobne se, pokud vypnu svuj FW, ktery takove pakety samozrejme ven nepusti (a dovnitr taky ne) dostanu minimalne pres 3 dalsi routery.