Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: ripper6 20. 10. 2022, 13:59:49
-
Resim to stale jedno dilema. Nejsem odborny sitar, ale tu a tam neco umim nastavit.
Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.
Druha moznost je, zrusit je a byt s IPv4 za NATem.
Napric internetem, lze najit ze pro uzivatele je tak trochu bezpecnejsi kdyz je za NAT.
Pokud ma verejnou, ma to sva rizika napr skenovani portu apod a mel by vic resit poradne zabezpeceni.
To mam resene s AVM FritzBox, kdy vyrobce uvadi ze dovnitr jsou porty na routeru nastavene na uzavrene.
Do PC tam je Eset a jeho antivirus a firewall. Pripadne Symantec jako druha moznost.
Presto jsem nikdy divoce porty nehlidal.
Takze moje otazka je, jestli jeste jinak toto zabezpecit a nebo radeji se verejne IP zreknout?
Chapu ji, ze mi rychlost nezvysuje, pristupovat na PC odnekud jinud nepotrebuji a Smart Home tzv chytra domacnost, kamery to neprovozuju.
Co byste v tomto pripade zvolili vy? :)
-
Co byste v tomto pripade zvolili vy? :)
S rozumným firewallem je to úplně jedno. Otázka je, co je to "rozumný firewall". Linuxovým iptables/nftables věřím. Jakémusi čemusi na čínském SOHO routeru, kde běží pánbůh ví co ale rozhodně nikoliv už proto, že nevím, co to pánbůh ví co je i kdyby to bylo totéž -- nemluvě o jeho vlastních často ne zrovna bezpečných rozhraních. Co se týká firewallu ve Windows netuším; jako dlouholetý uživatel všech těch unixů a linuxů bych mu nevěřil taky, ale v dnešní době už to možná je jen předsudek.
-
Resim to stale jedno dilema. Nejsem odborny sitar, ale tu a tam neco umim nastavit.
Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.
Druha moznost je, zrusit je a byt s IPv4 za NATem.Napric internetem, lze najit ze pro uzivatele je tak trochu bezpecnejsi kdyz je za NAT.
Pokud ma verejnou, ma to sva rizika napr skenovani portu apod a mel by vic resit poradne zabezpeceni.
To mam resene s AVM FritzBox, kdy vyrobce uvadi ze dovnitr jsou porty na routeru nastavene na uzavrene.
Do PC tam je Eset a jeho antivirus a firewall. Pripadne Symantec jako druha moznost.
Presto jsem nikdy divoce porty nehlidal.
Takze moje otazka je, jestli jeste jinak toto zabezpecit a nebo radeji se verejne IP zreknout?
Chapu ji, ze mi rychlost nezvysuje, pristupovat na PC odnekud jinud nepotrebuji a Smart Home tzv chytra domacnost, kamery to neprovozuju.
Co byste v tomto pripade zvolili vy? :)
Co by za to dala spousta lidí mít veřejnou IPv4, když nemají možnost ji mít a mají jenom neveřejnou :D
Veřejnou IPv4 si každopádně ponechat (jednou se může hodit), a když ji máš za routerem, tak se není čeho obávat.
-
Resim to stale jedno dilema. Nejsem odborny sitar, ale tu a tam neco umim nastavit.
Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.
Druha moznost je, zrusit je a byt s IPv4 za NATem.
Napric internetem, lze najit ze pro uzivatele je tak trochu bezpecnejsi kdyz je za NAT.
Pokud ma verejnou, ma to sva rizika napr skenovani portu apod a mel by vic resit poradne zabezpeceni.
To mam resene s AVM FritzBox, kdy vyrobce uvadi ze dovnitr jsou porty na routeru nastavene na uzavrene.
Do PC tam je Eset a jeho antivirus a firewall. Pripadne Symantec jako druha moznost.
Presto jsem nikdy divoce porty nehlidal.
Takze moje otazka je, jestli jeste jinak toto zabezpecit a nebo radeji se verejne IP zreknout?
Chapu ji, ze mi rychlost nezvysuje, pristupovat na PC odnekud jinud nepotrebuji a Smart Home tzv chytra domacnost, kamery to neprovozuju.
Co byste v tomto pripade zvolili vy? :)
NAT bezpečnost nijak nezvyšuje. Pokud máte na výběr veřejnou IPv4 adresu a být s IPv4 za NATem za jinak stejných podmínek, neváhal bych a volil IPv4. I když ji teď žádným způsobem nevyužijete. Nikdy nevíte, jestli si na půl roku nepořídíte NAS, IoT zařízení nebo něco takového, a hned se vám IPv4 adresa bude hodit. Kdyby nic jiného, tu IPv4 adresu budete používat vy sám a nestane se vám, že vám někdo jiný za stejnou IPv4 adresou ztíží nebo znemožní používání nějaké služby, protože ta služba začne tu IPv4 adresu omezovat nebo blokovat.
Firewall bych neřešil. Firewall nelze mít, firewall lze pouze provozovat. Když nevíte, jak firewall provozovat, je vám k ničemu.
-
Filip Jirsák: dekuji za odpoved.
Tyto sluzby napr NAS, FTP server neplanuji. Co jsem tak dle toho srovnal, tak nekdy je to dobre pro nektere urcite hry, ktere vyzaduji prime spojeni a nebo otevreni urcitych portu.
Mel jsem podezreni, jestli ten NAT nepacha nekdy zlo kvuli urcite dostupnosti nekterych webu. Je mozne abyse web kvuli NATu nacital pomaleji?
IPv4 verejnou neni odlozeni, s tim ze ji nekdy uziju. Ja ji nyni mam, protoze ISP ji proste automaticky ihned aktivoval.
Takze dal odpoved a to: pokud verejnou Ipv4 nechcete, nemuzete mit ani IPv6. Bud tedy verejna a nebo jednoduse pouze NAT.
Dotaz:
Pokud bych chtel uzit IPv6 musim na routeru udajne nastavit
Pro nastavení IPv6 na Vašem zařízení je třeba na rozhraní, kde máte nekofigurováno IPv4 zapnout podporu SLAAC a DHCPv6 klienta
Mam tam tu moznost zapnuti IPv6 tj enable, ale jeste jsem to nezkousel. Pokud toto nastavim, zmanena to ze na internetu budu vystupovat uz pod IPv6 a nebo pod verejnou IPv4? Ted pod 4, protoze jsem to nenastavil a nechal to vse jak je.
-
Budeš vystupovat pod oběma IP, jak 4, tak 6
-
Firewall bych neřešil. Firewall nelze mít, firewall lze pouze provozovat. Když nevíte, jak firewall provozovat, je vám k ničemu.
To není úplně pravda. Když třeba na Arch Linuxu bez jakékoliv konfigurace spustíte třeba UFW, bude odmítat veškerý nechtěný příchozí provoz. Což je v jeho případě to, co chce, nic víc k tomu vědět nepotřebuje a poslouží mu docela dobře.
NAT bezpečnost nijak nezvyšuje.
Ani to není úplně pravda. Odstíní ho od různého primitivního automatizovaného botnetového provozu na různé frekventované porty. Což sice není nějak zásadní, ale pro běžného Frantu uživatele je to pořád lepší, než rezavým drátem do oka. Ano, podstatně efektivnější je pochopitelně mít veřejnou IP adresu k dispozici a použít rozumný firewall a prostě nechat všechno zavřené, pokud ten Franta uživatel není schopen mít pod kontrolou co kde naslouchá což často není. Ale to na věci nic nemění.
Atokonto mě fascinují rady zdejších guru vyprávějících jak vlastně nepotřebuje nic, že je úplně v pohodě, když coby sysadminovský analfabet (vzhledem k tomu, že je běžný uživatel) má vystavovat veřejnou IP adresu bez toho, aby byl schopen či ochoten kontrolovat co kde poslouchá a v jaké verzi a nenainstalovat ani ten blbej firewall, co všechny porty prostě zavře což je v daném případě to nejlepší, co lze udělat.
Fakt se lidi proberte, tohle nejsou síťaři jako vy.
-
Mel jsem podezreni, jestli ten NAT nepacha nekdy zlo kvuli urcite dostupnosti nekterych webu. Je mozne abyse web kvuli NATu nacital pomaleji?
Pokud to není blbej NAT, resp. pokud s vámi na tom NAT nejsou jiní zlí uživatelé, vliv to bude mít minimální na cokoliv (včetně rychlosti).
-
Tyto sluzby napr NAS, FTP server neplanuji. Co jsem tak dle toho srovnal, tak nekdy je to dobre pro nektere urcite hry, ktere vyzaduji prime spojeni a nebo otevreni urcitych portu.
Chápu, nicméně nemyslím si, že by teď kdokoli dokázal říct, že tu veřejnou IPv4 adresu nevyužije (nebo ji nevyužijete vy). Hry, které uvádíte, jsou další příklad, ale opravdu to může být i nějaké domácí zařízení – vysavač, regulace topení, kamera. Každopádně i kdybyste v tuto chvíli vyloučil, že nebudete používat nic, kde se dnes veřejná IPv4 adresa používá, nevíte, co nového se objeví – ale hlavně, pokud to nemá žádné mínus, tak mít to jako rezervu ničemu nevadí. Udělat si za veřejnou IPv4 adresou svůj vlastní NAT můžete vždycky.
Mel jsem podezreni, jestli ten NAT nepacha nekdy zlo kvuli urcite dostupnosti nekterych webu. Je mozne abyse web kvuli NATu nacital pomaleji?
Řekl bych, že prakticky nikdy. Musela by to být nějaká divná a hloupá implementace něčeho, co by se asi snažilo nějak spravedlivě rozdělovat dostupné pásmo (na serveru).
IPv4 verejnou neni odlozeni, s tim ze ji nekdy uziju. Ja ji nyni mam, protoze ISP ji proste automaticky ihned aktivoval.
Takze dal odpoved a to: pokud verejnou Ipv4 nechcete, nemuzete mit ani IPv6. Bud tedy verejna a nebo jednoduse pouze NAT.
Moc tomu nerozumím, možná je někde nějaké jiné slovo. Ale pokud to znamená, že buď můžete mít veřejnou IPv4 a IPv6 (veřejné), nebo IPv4 za NATem a žádné IPv6, není vůbec o čem uvažovat. To je jako kdyby se vás někdo ptal, jestli chcete dvě zmrzliny nebo žádnou.
Pokud toto nastavim, zmanena to ze na internetu budu vystupovat uz pod IPv6 a nebo pod verejnou IPv4? Ted pod 4, protoze jsem to nenastavil a nechal to vse jak je.
Vždy to bude záležet na tom, kterým protokolem se bude komunikovat. Přičemž správně by měl mít přednost IPv. Nebo-li když bude server dostupný po IPv6, připojíte se přes IPv6. Když bude dostupný jen přes IPv4, připojíte se přes IPv4.
Zda vám funguje IPv6 zjistíte třeba na webu https://www.nebezi.cz (je dostupný jen přes IPv6) nebo https://cas.nebezi.cz (je dostupný i přes IPv4, ale zobrazí se tam, že přistupujete přes IPv4).
-
To není úplně pravda. Když třeba na Arch Linuxu bez jakékoliv konfigurace spustíte třeba UFW, bude odmítat veškerý nechtěný příchozí provoz. Což je v jeho případě to, co chce, nic víc k tomu vědět nepotřebuje a poslouží mu docela dobře.
Zatímco když tam ten firewall nebude a nepoběží tam žádná služba, bude to odmítat veškerý nechtěný příchozí provoz. A když tam nějakou službu nainstaluje a spustí, bude to zase odmítat veškerý nechtěný příchozí provoz – protože ta služba bude chtěný provoz. C.B.D.
[quote author=Martin Poljak link=topic=26803.msg378121#msg378121
Ani to není úplně pravda. Odstíní ho od různého primitivního automatizovaného botnetového provozu na různé frekventované porty.
[/quote]
Což ovšem nijak nezvyšuje bezpečnost.
Atokonto mě fascinují rady zdejších guru vyprávějících jak vlastně nepotřebuje nic, že je úplně v pohodě, když coby sysadminovský analfabet (vzhledem k tomu, že je běžný uživatel) má vystavovat veřejnou IP adresu bez toho, aby byl schopen či ochoten kontrolovat co kde poslouchá a v jaké verzi a nenainstalovat ani ten blbej firewall, co všechny porty prostě zavře což je v daném případě to nejlepší, co lze udělat.
Fakt se lidi proberte, tohle nejsou síťaři jako vy.
Ale ono opravdu není potřeba nic a je to úplně v pohodě. Naštěstí, takže se do internetu mohou připojit i lidé, kteří nejsou síťaři.
Dříve bych se bál nechat do internetu vystavené bez nějaké další ochrany Windows, ale ani to už není u 10 a 11 problém. U Linuxu a macOS to nebyl problém nikdy.
Daleko lepší rada je „neinstalujte/neaktivujte nic, o čem alespoň rámcově netušíte, co negativního to může způsobit“. Víte, co negativního může způsobit firewall? Ne — tak ho neaktivujte.
-
To není úplně pravda. Když třeba na Arch Linuxu bez jakékoliv konfigurace spustíte třeba UFW, bude odmítat veškerý nechtěný příchozí provoz. Což je v jeho případě to, co chce, nic víc k tomu vědět nepotřebuje a poslouží mu docela dobře.
Zatímco když tam ten firewall nebude a nepoběží tam žádná služba, bude to odmítat veškerý nechtěný příchozí provoz. A když tam nějakou službu nainstaluje a spustí, bude to zase odmítat veškerý nechtěný příchozí provoz – protože ta služba bude chtěný provoz. C.B.D.
Problém je, že zjevně nemáte tušení, jak často se stane, že někdo nainstaluje a spustí něco, co sice někde poslouchá (nebo obecně provádí nějaké kejkle se systémem), ale chtěné to není. Takže tuhle situaci: "firewall tam nebude ale poběží tam služba, která ale chtěná není" jste tak nějak taktně opominul protože se vám to nehodí. Čili jako obvykle.
To byl omyl nebo to bylo úmyslně a je to tedy poněkud laciná, ovšem ve vašem případě, pane Jirsáku, poměrně obvyklá demagogie?
-
Ani to není úplně pravda. Odstíní ho od různého primitivního automatizovaného botnetového provozu na různé frekventované porty.
Což ovšem nijak nezvyšuje bezpečnost.
Vaší moc ne. Jenomže Franta uživatel není vy. Franta uživatel má neskutečnou schopnost udělat si v systému naprostý bordel a obvykle o tom navíc často ani nevědět. Co je tazatal pochopitelně nevím, ale proto musím předpokládat to horší.
-
Problém je, že zjevně nemáte tušení, jak často se stane, že někdo nainstaluje a spustí něco, co sice někde poslouchá (nebo obecně provádí nějaké kejkle se systémem), ale chtěné to není.
Ale mám.
Takže tuhle situaci: "firewall tam nebude ale poběží tam služba, která ale chtěná není" jste tak nějak taktně opominul protože se vám to nehodí. Čili jako obvykle.
Ne, situaci jsem neopominul. Této situace jsem si vědom – ale zároveň vím, že tu situaci firewall nezachrání.
To byl omyl nebo to bylo úmyslně a je to tedy poněkud laciná, ovšem ve vašem případě, pane Jirsáku, poměrně obvyklá demagogie?
Co kdybyste si odpustil ty invektivy? Vaše osobní problémy tu nikoho nezajímají.
Vaší moc ne. Jenomže Franta uživatel není vy. Franta uživatel má neskutečnou schopnost udělat si v systému naprostý bordel a obvykle o tom navíc často ani nevědět. Co je tazatal pochopitelně nevím, ale proto musím předpokládat to horší.
Což ovšem NAT nijak nevyřeší. Protože ten bordel v systému bude komunikovat zevnitř sítě ven, tedy NATem projde jako po másle. A jako bonus bude ještě komunikovat s ostatními zařízeními v lokální síti, o kterých vy si myslíte, že jsou „schovaná“ za NATem.
-
Ak mate verejnu IPv4 tak si ju urcite nechajte. On vas router ma tiez NAT, aby bolo mozne na IPv4 prevadzkovat viac ako 1 zariadenie. Cize ak tu IPv4 vratite a provider vas hodi za svoj nat, tak to uz problemy robit moze.
Ad NAT a bezpecnost:
Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi. Tym padom je vacsia pravdepodobnost ze pojde skusat niekam inam.
Co sa tyka breberiek ktore si bfu nataha s crackmi a podobnym, tak nie je prave jednoduche otvorit port aplikacii ktora to nema povolene na FW pre windows alebo to nema povolene cez selinux. FW z distribucie widli, co sa tyka fw od (R)esetu neviem ci default blokuje moznost otvorit port neznamej aplikacii. Ci sa tyka breberiek ktore port neotvaraju ale len volaju domov, tak je uplne jedno ci tam ten nat je alebo nie je.
-
to neni pravda. fakt nechapu kam na to dw chodis...
-
Ad NAT a bezpecnost:
Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi.
Otázka je, jakého útočníka modelujeme, ale může to být celkem odvážný předpoklad: (varování: web začne bez varování skenovat vaši místní síť) https://samy.pl/webscan/beta.html
-
to neni pravda. fakt nechapu kam na to dw chodis...
Co konkretne?
-
Ad NAT a bezpecnost:
Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi.
Otázka je, jakého útočníka modelujeme, ale může to být celkem odvážný předpoklad: xttps://samy.pl/webscan/beta.html
Dík moc, že sem bez varování dáte odkaz na web, který mi hned proleze celou lokální síť !!!!!!
Tvl to je na ban !!!
-
To skenování může provádět jakákoliv webová stránka, tohle je hodné demo, které to ukazuje. Mluvil o tom Libor Pelčák na letošním OpenAltu, viz článek na Rootu (https://www.root.cz/clanky/fotobioreaktor-za-polarnim-kruhem-distribuce-nixos-a-data-pro-mapy-cz/). Prý to používá třeba eBay a určitě to nebude jediný web. Dá se takhle postranním kanálem třeba zjistit, jaké máte na počítači pootevírané porty.
-
To skenování může provádět jakákoliv webová stránka, tohle je hodné demo, které to ukazuje. Mluvil o tom Libor Pelčák na letošním OpenAltu, viz článek na Rootu (https://www.root.cz/clanky/fotobioreaktor-za-polarnim-kruhem-distribuce-nixos-a-data-pro-mapy-cz/). Prý to používá třeba eBay a určitě to nebude jediný web. Dá se takhle postranním kanálem třeba zjistit, jaké máte na počítači pootevírané porty.
Věřím, že to může dělat jakýkoli web, ale mohl to tam OP aspoň napsat, že se scan hned rozjede, bych na to neklikal:-(
Nicméně díky za vysvětlení
-
Editoval jsem původní příspěvek a připsal jsem tam varován, pokud by to někomu vadilo. Ale v principu to může nepozorovaně dělat i web, který právě čtete.
-
Njn, to je na zhodenie zo schodov. Ked tak korektne zdrojaky toho "scaneru" : https://github.com/samyk/webscan Ked si tie zdrojaky prezriete, tak zistite ze nie je dovod na nejake velke obavy.
-
Takže tuhle situaci: "firewall tam nebude ale poběží tam služba, která ale chtěná není" jste tak nějak taktně opominul protože se vám to nehodí. Čili jako obvykle.
Ne, situaci jsem neopominul. Této situace jsem si vědom – ale zároveň vím, že tu situaci firewall nezachrání.
Brání ji u mnoha uživatelů dnes a denně. Co si o tom myslíte vy je celkem irelevantní. A některé vaše rádobyrady tomu člověku jsou bez dalšího kontextu vyloženě nebezpečné.
To byl omyl nebo to bylo úmyslně a je to tedy poněkud laciná, ovšem ve vašem případě, pane Jirsáku, poměrně obvyklá demagogie?
Co kdybyste si odpustil ty invektivy? Vaše osobní problémy tu nikoho nezajímají.
Že používáte demagogie není ve vašem případě naprosto žádná invektiva. Bohužel. Na to si stěžujte u zrcadla. Tam uvidíte sebe, ne mě. To je ta osoba, co to dělá.
Vaší moc ne. Jenomže Franta uživatel není vy. Franta uživatel má neskutečnou schopnost udělat si v systému naprostý bordel a obvykle o tom navíc často ani nevědět. Co je tazatal pochopitelně nevím, ale proto musím předpokládat to horší.
Což ovšem NAT nijak nevyřeší. Protože ten bordel v systému bude komunikovat zevnitř sítě ven, tedy NATem projde jako po másle. A jako bonus bude ještě komunikovat s ostatními zařízeními v lokální síti, o kterých vy si myslíte, že jsou „schovaná“ za NATem.
Ten bude čekat směrem dovnitř i komunikovat ven. Zase jste úmyslně některé věci cíleně opominul protože se vám to zrovna hodí. Jako obvykle.
-
Prosím, abyste se vrátili k tématu, kterým rozhodně není hodnocení ostatních diskutujících. Řešíme tu bezpečnost sítě s veřejnou adresou.
Faktem je, že NAT není žádná ochrana a bez správně nastaveného paket filtru to nebude bezpečné s veřejnou adresou ani bez ní. Hlavně za privátní adresou v síti poskytovatele nemáte žádnou jistotu, že to má poskytovatel nakonfigurované správně. Každopádně je rozumné mít vlastní filtrační řešení, kterému ale zase musíte rozumět a správně ho nastavit. Zkušenosti z praxe nám každopádně ukazují, že ukrytí za devatero naty nevyřeší mávnutím kouzelného proutku problémy na koncových uživatelských stanicích. Jak psal Filip, dnes se útočí jinak, útočníci se samozřejmě přizpůsobili stavu současných sítí.
-
Pokud někoho pobouřil scan lokální sítě bez varování, omlouvám se. Nicméně to může dělat v principu jakákoliv webová stránka. Není to žádná novinka. (Já se teda musel snažit, aby mi to fungovalo s mým nastavením, protože na telefonu mám Vanadium HTTPS-only (to asi není dostatečná ochrana, ale skript s tím zjevně nepočítá) a na počítači mi většina virtuálů nesmí do lokální sítě.)
Pokud máte pocit, že přes dobrý firewall se nikdo nedostane, taky to nemusí být pravda. Zůstaneme u prohlížeče, ze kterého si můžete udělat proxy pomocí techniky DNS rebinding. Tomu se stále lze bránit, ale zdaleka to není samozřejmost.
-
Dekuji za poznatky :)
Co se tyce odbornosti, tak jak uvadim, nejsem sitar, ale chapu dejme tomu fungovani metalickeho vedeni, co je switch, co je router, co je modem. Heslo do wi-fi dlouhe min 20znaku a ne "123456Pepajde" ;D
Vnitrni IP 10.xy
Verejna 95.88 xy
U NATU se to rikalo treba v souvislosti s P2P. Tim nerikam ze musite tahat jak das, staci vase nepovedena pritelkyne, kdy da neco stahnout napr pres torrent a muze byt problem. Proto v teto souvislosti se resilo, ze je to hure dohledatelne nebo alespon hure prokazatelne, kdyz uz nekdo to nema vyreseno jinak a toto provede.
Aby nekdo nechapal jen uvedeni NAT jako bezpecnost :)
Vseobecne ale lze na internetu dohledat, ze kvalitni ISP, ma urcitou vyssi bezpecnost pokud je ten clovek za NATem.
Tedy castecne pro BFU by to melo byt lepsi, mozna proto ISP tu IP verejku zpoplatnuji.
Na me to pusobi ze se ani ty ruzne clanky, nedokazou poradne shodnout.
Priklad uvedl jeden pokrocili technik, no kdyz putoval do site virus / trojan, tak odnesli to prvne PC s verejnou IP, zatim co ty NATovane, nemeli problem.
Samozrejme to nechrani, kdyz nainstalujete nejaky software, ktery ma crack a to neco vam bude komunikovat pak do site.
Ja to mam resene treba i tim firewallem ala Eset. Neni to top, ale ma to ucici rezim, tedy se to vzdy zepta povolit komunikaci VEN? a nebo prichozi ANO a nebo ne? Takze pokud dam ne, nemelo by to pustit.
Samozrejme u jinych jsem mel uz problem, se v tom poradne vyznat. Comodo Firewall me spis pridelal vrasky nez jsem to tam kdysi nasel, kde mohu neco blokovat ci zakazat. Jeste usel Symantec treba.
Jenze presne jsem s tim ted narazil. Priznam se, poradne nevim jak nastavit IPv6, takze super mam adresu a je me zatim na nic. Zkusil jsem zde vedle, ve vlaku pozadat sikovnejsi, kdo by dle foto poradil.
Ano vim ze s tim se mohu taky obracet na sveho ISP, jenze tam je casta odpoved, ze musite kupovat jejich zarizeni a to by mel doma clovek hromadu krabicek ;D
-
Tak asi budou scénáře, kdy NAT* pomůže. Ale je tu příliš scénářů, kdy NAT nepomůže (vizte moje příspěvky výše), takže bych se na to nespoléhal. Navíc se opíráte o bezpečnost routeru. Jak dlouho váš výrobce vydává bezpečnostní aktualizace? Pokud to výrobce vůbec dělá, instalujete je?
*) IIRC při čistém NAT bez firewallu stačí routeru poslat zvenku packet na vnitřní IP adresu, a jsem za NATem. Základní firewall tomu může zabránit.
-
Ano, firma AVM FritzBox dava updaty klidne 7 let, podpora je v Berline.
Jako jedna z mala nemela problem, kdyz nasli bezpecnosti problem u routeru napr Asus.
-
Ano, třeba Turris, Mikrotik (pokud se admin stará), FritzBox a některé další (hádám Google Nest Wi-Fi) asi budou dodávat pravidelné aktualizace. Pointa je, že to není samozřejmost. (A že to je jen jeden z problémů, nikoli jediný problém.)
-
Tak asi budou scénáře, kdy NAT* pomůže. Ale je tu příliš scénářů, kdy NAT nepomůže (vizte moje příspěvky výše), takže bych se na to nespoléhal. Navíc se opíráte o bezpečnost routeru. Jak dlouho váš výrobce vydává bezpečnostní aktualizace? Pokud to výrobce vůbec dělá, instalujete je?
Tak ono lze vymyslet scénář, že pomůže, že má router červenou barvu. To ale ještě neznamená, že něco takového budu reálně řešit, protože ten scénář je extrémně nepravděpodobný.
*) IIRC při čistém NAT bez firewallu stačí routeru poslat zvenku packet na vnitřní IP adresu, a jsem za NATem. Základní firewall tomu může zabránit.
Hlavně se celou dobu bavíme o NATu u ISP. To znamená, že jste za NATem ve stejné síti s dalšími zákazníky ISP, možná se všemi. Abyste od nich byl oddělen, potřebujete konfiguraci routování nebo firewall – to, že jste s nimi společně za NATem vám nijak nepomůže. A jste si jist, že některý z těch zákazníků není sám útočníkem, a hlavně že žádné ze zařízení ostatních zákazníků není ovládané útočníkem?
-
Já bych se klonil k té veřejné IP, samozřejmě s firewallem.
Static NAT 1:1 ještě jde, ale Hide NAT 1:many - to odse..ete za všechny co ji u providera sdílejí.
-
Tak ono lze vymyslet scénář, že pomůže, že má router červenou barvu. To ale ještě neznamená, že něco takového budu reálně řešit, protože ten scénář je extrémně nepravděpodobný.
Tak pokud útok nebude veden přes prohlížeč (vizte moje posty výše) a půjde od jiného IPS (asi velká část), tak ano. Pravděpodobnost asi bude řádově vyšší než u červené barvy, a může se to hodit jako defense-in-depth. Zároveň to ale dost útoků neřeší (útoky vedené přes prohlížeč, napadené zařízení ve vnitřní síti, …), takže mi přijde rozumné se na to nespoléhat. Pokud se to člověk spolehne příliš (tj. nevezme jen jako defense-in-depth), může NAT a firewall přinést falešný pocit bezpečí, což může přinést více škody než užitku. Volně řečeno, pokud by to zabránilo polovině útoků, může to být přínos, ale nesmíme zapomenout na tu druhou polovinu. Tolik k tomu, proč to podle mého názoru někteří doporučují a jiní zatracují.
Hlavně se celou dobu bavíme o NATu u ISP. To znamená, že jste za NATem ve stejné síti s dalšími zákazníky ISP, možná se všemi.
OK, toto jsem trošku zmotal…
-
NAT bezpečnost nijak nezvyšuje.
Chci se zeptat na odůvodnění této mantry opakované Filepem Jirsákem Filipa Jirsáka. Myslíš tím čistý NAT ( iptables -I -t nat -j MASQUERADE) bez dodatečného (iptables DROP ctsta te INVALID a/nebo ACCEPT ctstate RELATED,ESTABLISHED ): Trochu jsem to zjednodušil, záleží na relativním pořadí v FORWARD vůči jiným pravidlům (začátek/konec) a POLICY...
Já si myslím, že ji nezvyšuje dostatečně (lze poslat paket z WAN na vnitřní IP a měl by projít, což může stačit, pokud není cílem odpověď na paket zpět, kdy pujde NATovaně, což nemusí být problém, když je útočník na WAN, tak si opraví src u přijatých paketů ), ale myslím, že každý(?) soudný používá dodatečné pravidlo typu -PREROUTING -i wan -d LAN/24 -jREJECT .
Ale zároveň, že ji zvyšuje, protože se nemůže stát, že někdo z druhého konce internetu(kdo nemá přístup k WAN), kde jde předchozí narativ, se dovolá na otevřenou službu na nějakém PC bez stunů,upnp atd.
Mimochodem, ty nejsou ty 2 (DROP INVALID a ACCEPT EST+REL) jsou nějak komplementární? Protože mám policy drop (v záhlaví 0pkts), na začátku DROP INVALID (11000 pkt za 3měsice/500GB), ke konci ACCEPT NA EST+REL a to pobere vše (Pokud není bug v iptables -vL, že v záhlaví ukazuje nulu, mám tušení, že něco takového bylo)
-
A nebo třetí možnost(už jsem to nestih opravit): "nat nezvyšuje bezpečnost" si mám vyložit jako NAT nezajistí 100% kompletní bezpečnost ?
Dokážu si představit spoustu věcí, proti kterým NAT neochrání : UPNP funkcionalita (z routeru alias domnělé brány s NATem se vlastně stává bílý kůň/komplic)
nebo to zmíněné útočení pakety s vybroušenou DST adresou v LAN . Proti tomu by měl chránit ISP (pokud to dělá, tak to nemusí dělat mezi klienty, ale jen na svém WAN ozhraní), ale rozhodně se na to nelze spoléhat, že někdo jiný za mě bude filtrovat dst ip příchozích paketů
závěr Myslím, že víme,před číma NAT ochrání a před čím ne,taky mě zajímá,estli spíš problém není v významovém chápání "nat ne)zvyšuje bezpečnost" nebo že vy si nepředstavujete, že ji nezvyšuje tak si představujete. A jestli NATem myslíš jen tu část A -jMASQ bez části BÉ -ctstate INVALID-DROP/ESTABLISHED-ACCEPT. a možná i části C (i když teďsi uvědomuji, že to ESTABLISHED řeší ty LAN DST IP z WAN, ale jen u TCP) - snad se nepletu
-
ja se k nemu rad v tomhle pridam. nat nezvysuje bezpecnost. na bezpecnost pouzivej fw. hledat okolnosti za kterejch mozna trochu nat pomuze mi prijde padly na hlavu. polemizovat o tom zrovna tady ve vlakne mi prijde uplne kontraproduktivni.
-
NAT nebyl myslen nikdy jako firewall nebo ochrana napr pred virem. Pri vyhledani ala google, lze najit informace, ze NAT pomohl kdyz nekdo poslal virus na nejake pocitace (ne cilene na konkretni ale proste ze se siril virus), tak ty za NATem od operatora to nepostihlo.
NAT ze kdo ma tu potrebu se skryvat vic napr pred policii, ze stahl kdesi nelegalni software, film (asi horsi dohledavani daneho pc nebo ucastnika)
:)
-
Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.
Já mám public IPv4. Mám tam standartní wifi router pouze s ochrannou proti DOS/DDOS, s nějakou trapnou verzí firewallu a samozřejmě pár nestandartních aktivních portů které přesměrovávají do LAN. IPv4 pořád čumí do internetu a různé pokusy o připojení či scanny portu jsou tam pořád(dennodenně). Jedu tak už cca 15 let a nejsem si vědom žádného úspěšného útoku. Možná proto že ty zařízení v LAN nebývají 24/7 aktivní.
Kdybych byl tebou prostě bych si ty public obě IP nechal. Můžou se hodit.
-
Myslím tím, že z hlediska bezpečnosti je jedno, zda ISP NAT používá nebo nepoužívá. To, že se k vám nedostane jednoduše útočník z druhého konce světa neznamená, že stejný útočník není s vámi ve stejné síti za NATem. Nebo že nesedí v síti hned před NATem, odkud se za NAT dostane také. Takže když budete plánovat obranu, musíte počítat s tím, že útočník je ve stejné síti.
Je to jako kdybyste vytrénoval psa, že nepustí na zahradu nikoho, kdo má modrou bundu. Určitě pak nepřestanete zamykat – protože víte, že pes pustí kohokoli, kdo modrou bundu nemá.
A jestli NATem myslíš jen tu část A -jMASQ bez části BÉ -ctstate INVALID-DROP/ESTABLISHED-ACCEPT.
NATem myslím NAT a ne firewall. Tedy jen A a ne B. Když to v iptables není v tabulce nat (nebo případně mangle), není to NAT.
-
Ať už bude mít tazatel internet s dodávanými veřejnými nebo neveřejnými adresami, musí mít nějaký svůj firewall. A konfigurace toho firewallu by měla být v obou případech prakticky úplně stejná - paranoidní. Takže za mě, pokud je možné vybrat si za stejné peníze adresu veřejnou i neveřejnou, je volba úplně jasná - veřejnou.
A pokud je to dokonce opravdový dual stack, tak není vůbec co řešit. Já mám kupříkladu doma možnost dynamické veřejné ipv4 bez ipv6 nebo možná nevím jakou veřejnou ipv6 s natovanou neveřejnou ipv4. Mám tedy veřejnou ipv4 a abych měl doma ipv6, musím řešit opičárny s tunelováním ipv6 provozu před VPS.
-
Já mám kupříkladu doma možnost dynamické veřejné ipv4 bez ipv6 nebo možná nevím jakou veřejnou ipv6 s natovanou neveřejnou ipv4.
Mám pocit, že tohle je evergreen u majority poskytovatelů (řekl bych hlavně operátorů). Je nějaký důvod proč nedokáží nabídnout obě featury ?
-
Někdy to může být setrvačnost starých smluv – k novým smlouvám bude veřejná statická IPv4 za poplatek nebo vůbec (nicméně se starou smlouvou to můžete mít zadarmo), ke starým smlouvám zase nebudete mít IPv6. Pokud ale někdo nabízí tyto dvě možnosti k novým smlouvám, pak to nechápu.
-
NAT bezpečnost nijak nezvyšuje.
Bezpeci ma (minimalne) dva vyznamy. Jeden pocitovy, netechnicky, jako ze kdyz bude za natem tak se mu bude lip spat. V tomto vyznamu NAT bezpeci poskytuje.
Druhak bezpeci v oboru pocitacovych sitich znamena uroven prekazek v pristupu nekam, a NAT jako takovy prekazka je, urcitym druhem zabezpeceni tedy take je. Muzeme se samozrejme bavit o tom jak velkou prekazkou (urovni bezpeci) je, ale rikat ze nat nema nic spolecneho se sitovou bezpecnosti je podle me nespravne, a hranici to s bezpecnostni propagandou.
-
Bezpeci ma (minimalne) dva vyznamy. Jeden pocitovy, netechnicky, jako ze kdyz bude za natem tak se mu bude lip spat. V tomto vyznamu NAT bezpeci poskytuje.
Tohle ovšem není „bezpečí“, ale „pocit bezpečí“. A pokud něco neposkytuje bezpečí ale poskytuje to pocit bezpečí, ve skutečnosti to naopak bezpečnost snižuje. Protože dotyčný má pocit, že je v bezpečí, nesnaží se o další zabezpečení, není obezřetný a tím se vystavuje nebezpečí.
Druhak bezpeci v oboru pocitacovych sitich znamena uroven prekazek v pristupu nekam, a NAT jako takovy prekazka je, urcitym druhem zabezpeceni tedy take je. Muzeme se samozrejme bavit o tom jak velkou prekazkou (urovni bezpeci) je, ale rikat ze nat nema nic spolecneho se sitovou bezpecnosti je podle me nespravne, a hranici to s bezpecnostni propagandou.
Chyba ve vaší úvaze je v tom, že předpokládáte, že každá překážka zvyšuje bezpečnost. Jenže to není pravda. Za prvé, aby překážka zvyšovala bezpečnost, musí působit systematicky – ne že útočníka zastaví jen v případě, kdy na ni náhodou narazí. Bankovní lupič může zakopnout o obrubník chodníku před bankou, rozbije si nos a banku nevyloupí. Cizojazyčný bankovní lupič může narazit na vstupní dveře s nápisem táhnout, nepodaří se mu je otevřít (bude tlačit), zazmatkuje a uteče. Můžete mít neoplocenou zahradu a v jednom místě dva metry zapomenutého plotu – může se stát, že se k vám někdo bude chtít v noci dostat, narazí zrovna na ten plot a nevšimne si, že jde obejít. Ale nic z toho není zabezpečení, protože to útočníka zastavilo jenom náhodou.
Za druhé, aby překážka zvyšovala bezpečnost, musí chránit proti nějakému vektoru útoku, proti kterému nechrání jiná věc v obranné sestavě. (Pozor, několik vrstev zabezpečení s tím není v rozporu – každá vrstva chrání jiným způsobem, takže je namířená proti jinému vektoru útoku.) Pokud do trezoru umístíte papírovou krabici, není to bezpečnostní opatření, protože kdo dokázal otevřít trezor, poradí si i s papírovou krabicí.
NAT chrání asi tak stejně, jako kdybyste měl kolem baráku plot, ale kus by ho chyběl – a v tom místě by byl normální průchod, nijak nehlídaný, dalo by se tam projet autem…
-
NAT bezpečnost nijak nezvyšuje.
Bezpeci ma (minimalne) dva vyznamy. Jeden pocitovy, netechnicky, jako ze kdyz bude za natem tak se mu bude lip spat. V tomto vyznamu NAT bezpeci poskytuje.
Druhak bezpeci v oboru pocitacovych sitich znamena uroven prekazek v pristupu nekam, a NAT jako takovy prekazka je, urcitym druhem zabezpeceni tedy take je. Muzeme se samozrejme bavit o tom jak velkou prekazkou (urovni bezpeci) je, ale rikat ze nat nema nic spolecneho se sitovou bezpecnosti je podle me nespravne, a hranici to s bezpecnostni propagandou.
Tak teda trochu propagandy :-) :
TCP/IP je o tom, že něco naváže spojení na určitou IP a port.
Buď to schramstne přímo cíl, nebo NATovací mašina, která drží tabulku na jakou IP a port to poslat,
nic víc, nic míň. První adresa je (veřejně) známá, port taky, NATovací mašina bez firewallu to jen slepě pošle dál dovnitř, kde vidíte přínos k bezpečnosti ? NAT není ani překážka , IMO.
-
NAT není ani překážka , IMO.
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
-
aby překážka zvyšovala bezpečnost, musí působit systematicky
Dostaceny pocet vhodnych prekazek muze utocnika odradit. Naopak dobre namotivovaneho utocnika neodradi ani systematicka bazpecnost.
-
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.
-
Dostaceny pocet vhodnych prekazek muze utocnika odradit.
Ano, ale pořád se to netýká překážek, na které útočník narazí spíš omylem.
Naopak dobre namotivovaneho utocnika neodradi ani systematicka bazpecnost.
To je ale něco jiného. Teprve když mám vůbec nějaké překážky, začne se rozhodovat o tom, zda jsou dostatečné, aby zastavily daného útočníka.
-
NAT není ani překážka , IMO.
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
Musíme si ujasnit o jakém NATu se vlastně bavíme. jestli one-to-many, kdy lezete ze sítě na internet schováni za veřejnou IP brány, tak se na váš počítač z internetu nejde dostat,(tím míním připojit) . Velká většina uživatelů NAT ani veřejnou IP neřeší, tohle jim úplně stačí.
Ale je to na nic lidem, kteří se na něj chtějí dostat z internetu, proto chtějí mít veřejnou adresu aspoň pro bránu. Pak už se na svoje hejblata dostanou aspoň přes přes port NAT.
Pokud těch adres mají víc, můžou je nastavit ideálně v DMZ přímo na hosty, nebo jejich IP NATovat na bráně. Bránou myslím samozřejmě firewall.
P.S. velcí provideři dávají na router u zákazníka dle mých zkušeností veřejnou IP adresu, s tím, že nezaručují její neměnnost, mj. taky proto aby ještě trochu víc vydělali .
-
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.
Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...
-
NAT není ani překážka , IMO.
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
Musíme si ujasnit o jakém NATu se vlastně bavíme. jestli one-to-many, kdy lezete ze sítě na internet schováni za veřejnou IP brány, tak se na váš počítač z internetu nejde dostat,(tím míním připojit) . Velká většina uživatelů NAT ani veřejnou IP neřeší, tohle jim úplně stačí.
Ale je to na nic lidem, kteří se na něj chtějí dostat z internetu, proto chtějí mít veřejnou adresu aspoň pro bránu. Pak už se na svoje hejblata dostanou aspoň přes přes port NAT.
Pokud těch adres mají víc, můžou je nastavit ideálně v DMZ přímo na hosty, nebo jejich IP NATovat na bráně. Bránou myslím samozřejmě firewall.
Nicméně v tom druhém případě není “překážkou” NAT, ale firewall.
Rozumíme si ?
-
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.
Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...
Pakety chodí oběma směry.
-
Nicméně v tom druhém případě není “překážkou” NAT, ale firewall.
Rozumíme si ?
smazano, omyl
-
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.
Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...
Pakety chodí oběma směry.
bavime se celou dobu VYHRADNE o smeru dovnitr (v verejne site smerem do privatni), reagoval jsem na to, ze tui nekdo zacal rozlisovat pakety uzivatele (ktery potrebuje ke sve siti vzdalene pristoupit) a utocnika.
-
Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...
Omlouvám se, myslel jsem, že chcete věcně diskutovat. Vy chcete jen trolit a podsouvat něco, co jsem nenapsal. Tak si to užijte, ale beze mne.
-
*) IIRC při čistém NAT bez firewallu stačí routeru poslat zvenku packet na vnitřní IP adresu, a jsem za NATem. Základní firewall tomu může zabránit.
Pro ujißtění, řeší to
-I FORWARD -m ctstate --ct-state INVALID -j DROP?
(Za předpokladu -P ACCEPT)
-
Neresi, zjisti si co je to state, v tomhle pripade bude NEW.
Edit:
Resi se to tak, ze ty musis pridat pravidlo na iface a ip rozsah. Tzn pokud je eth0 ven, tak chces zahodit vse, co dorazi na eth0 a ma v dst nebo v src interni rozsah. Musis resit oboji, protoze pokud v src neco zevnitr, tak router odpovi tomu zarizeni vevnitr = to taky nechces.
-
jjrsk:
Odpověď jsem pročetl, promyslel a zkonfrontoval se svým nastavením. Zabývám se částí kdy pakety příchozí na wan mají dst je v interní síti (a ne src).
.a nesedí mi tam tvoje odpověď vše co má interní rozsah zahodit -- Pokud si dám pravidlo DROP na -d 192.168.1.0/24, tak defacto odříznu internet. Pokud dám -d 10.0.0.45 (adresa na routeru na wanu), toto pravidlo je tam uplně hluché(souzeno dle counterů )
On totiž conntrack v PREROUTING vrátí zpět natované adresy, takže už FORWARD u (všech spojení?) vidí interní adresy , ačkoli MASQUERADEP/SNAT je definován v POSTROUTING. (A drop nejde dát do prerouting, a do mangle se to taky nedává)
reálný výpis: (iptables -nvL FORWARD - výtah)
26 1560 DROP all -- * * 85.207.103.194
192.168.1.7
0 0 DROP all -- * * 85.207.103.194 10.1.0.42
Nebo jsem něco přehlédl? (pokud to nebude conntracku známé spojení, přepis se nekoná, ale stejně si takto odříznu kontektivitu) Simuloval jsem to spojením iniciovaným ze své sítě(klasicky curl 85....). Je možné, že pokud by mi 85.207... a záleží asi zase na pořadí pravidel...
řeší to tedy?
A FORWARD -d 192.168.1.0/24 -i waneth0 -o lan1 -m conntrack --ctstate !RELATED,!ESTABLISHED -j DROP (opět negované, za předpokladu P ACCEPT . Je to už správně?
Neřeším teď pakety co mají src interní rozsah (což to taky nechces), a navíc to řeší rp_filter. (akorát by mě zajímalo, jestli když mám k rp_filtru i odpovíjící pravidlo DROP v FORWARD, co účinkuje dřív: zda)
Možná jsem to nepředvedl, ale router(čistý linux) mám nastaven bezpečně, ale je to tím, že mám -P FORWARD DROP, takže pravidla diskutovaná nejsou 1:1, mají jiné pořadí, záměna ACCEPT-DROP, nevidím celý obrázek, všechna pravidla . Tady se diskutuje jen minimální příklad - jak zablokovat spojení s adresou obashující vnitřní síť na WAN. Ale s policy ACCEPT se to dá přepsat na komfortní ctstate ESTABLISHED -jACCEPT
-
Nezapomínáte na to, že NAT pravidla na linuxovém firewallu píšete jen pro první paket spojení, a jádro se postará o správnou modifikaci následujících paketů (včetně paketů v opačném směru)?
DROP se normálně dává do FORWARDu a dáte tam pravidlo, že se mají zahodit všechny pakety, které přišly z WAN, jako cíl mají interní IP adresy a nesouvisí s existujícím spojením. Nebo naopak před ten DROP dáte ACCEPT pravidlo, které vyřeší všechny pakety týkající se navázaných spojení. Bývá zvykem takovéhle pravidlo dávat hned na začátek FORWARDu, protože tím většinu paketů vyřídíte hned v prvním pravidlu a firewall se jimi dál nemusí zabývat.
Případně pokud v interní síti něco, co je dostupné z venku (DMZ), po povolení všech paketů z existujících spojení ještě povolíte komunikaci na tuto IP adresu (případně i omezíte porty) a pak zbytek DROPnete.
-
jjrsk:
Odpověď jsem pročetl, promyslel a zkonfrontoval ...
Takze si to precti jeste jednou. Od kdy z internetu chodi privatni adresy? A ja ti tam jasne psal, ze v kombinaci z rozhranim.
FORWARD -i eth0 -s 192.168/16 -j DROP
FORWARD -i eth0 -d 192.168/16 -j DROP
Tohle nemuze odriznout nic at uz to v poradi das kamkoli. A samozrejme, spravnejsi reseni je nastavit na drop policy.
-
Od kdy z internetu chodi privatni adresy?
Od okamžiku, kdy použijete NAT s privátními adresami.
-
Od kdy z internetu chodi privatni adresy?
Od okamžiku, kdy použijete NAT s privátními adresami.
kazdej pricetnej provider tohle blackholuje
-
Od kdy z internetu chodi privatni adresy?
Od okamžiku, kdy použijete NAT s privátními adresami.
kazdej pricetnej provider tohle blackholuje
Bavíme se o routeru mezi ISP a zákaznickou sítí.
Navíc teda spousta ISP vám na router poskytne IP adresu z privátního rozsahu, protože veřejných IP adres nemá dost.
-
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.
Překážka pro útočníka to je natolik, nakolik je překážkou třeba zámek na brance u plotu. Plot přelezete celkem snadno ale obvykle vám nevlezou dovnitř děti pokud uvnitř fakt netouží být. Což se taky počítá. Jako zabezpečení nemovitosti vám to pojišťovna pochopitelně počítat skutečně nebude. A komplikace pro drtivou většinu uživatelů to není; drtivé většině uživatelů je to srdečně jedno.
-
Michaj se tu 2 věci, priv.adresy na wan(legitimní-viz Jirsák) a to pravidlo -i eth0 -d -jDROP
jjrsk:
Odpověď jsem pročetl, promyslel a zkonfrontoval ...
Takze si to precti jeste jednou. Od kdy z internetu chodi privatni adresy? A ja ti tam jasne psal, ze v kombinaci z rozhranim.
FORWARD -i eth0 -s 192.168/16 -j DROP
FORWARD -i eth0 -d 192.168/16 -j DROP
Tohle nemuze odriznout nic at uz to v poradi das kamkoli. A samozrejme, spravnejsi reseni je nastavit na drop policy.
ale odřízne(ne na router samotný ale do LAN)
192.168 značí rozsah vnitřní sítě, nesouvisí s ip adresou na wan rozhraní.
Zkoušel jsi to z své sítě za routerem(ptž FORWARD) a ne z routeru(...INPUT)? To pravidlo -d mi přestane forwardovat odpovědi do LAN (udp/icmp response dorazí na router, ále ten to DROPne, v případě tcp dorazí zpět jen příchozí sy+ack, zařízení neodpoví svým odchozím syn +ack)
(Jirsákovo poznámka se týkala -d, kde -d by byla v tomto případě wan adresa routeru 2, mohu li mluvit za něj)