Příspěvky

2746

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 16. 01. 2019, 22:20:33 »

Takze nemas autoritativni informaci a jako vzdy jen "kalis vodu" a vydavas sva prani/predstavy za absolutni pravdu

Opravte mne, jestli jsem něco přehlédl, ale ani vy jste nedodal odkaz na nějakou autoritativní informaci. Co se týče způsobu vystupování, používáte v této diskusi absolutnější výroky, než já, takže pro vás platí minimálně stejně jako pro mne, že jen kalíte vodu a vydáváte svá přání/představy za absolutní pravdu.

2747

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 16. 01. 2019, 17:22:06 »

A odkaz na patricne RFC, ktere si mam precist, by nebyl?

Pokud vám jde jen o definici pojmu „firewall“, pak je mi líto, ale neznám RFC, které by tento pojem definovalo. Což samozřejmě neznamená, že neexistuje – akorát jsem to nikdy nepotřeboval.

2748

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 16. 01. 2019, 16:41:14 »

Asi cteme kazdy jina RFC....

Asi ano, já totiž čtu RFC vztahující se k tématu. „Benchmarking Terminology for Firewall Performance“ vskutku není RFC, ve kterém bych hledal obecnou definici síťového firewallu. Vy jste jí tam také samozřejmě nenašel, našel jste pouze definici „pro účely tohoto dokumentu se firewallem rozumí“…

Mimochodem, jediné, v čem se já i PetrM rozcházíme s uvedenou definicí, je to, že netrváme na tom, že firewall musí být fyzické zařízení – důležitá je pro nás funkce, ne jak to vypadá. Žádný problém v tom rozporu ale nevidím – v roce 1999 opravdu všechny firewally byly fyzická zařízení a nikoho nenapadlo, že možná za dvacet let půjde provozovat firewall i ve virtuálním počítači nebo jako službu. Vy se s definicí firewallu v tom RFC rozcházíte mnohem víc.

2749

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 16. 01. 2019, 16:16:27 »

A co na to p. Jirsak? Vysvetli mi to on?

Vysvětlení PetraM mi připadalo dostatečné, ale když si to žádáte…

Firewall je služba v počítačové síti, jejímž účelem je filtrovat nežádoucí síťový provoz zejména na třetí a/nebo čtvrté síťové vrstvě – např. škodlivou nebo potenciálně škodlivou komunikaci, neznámou komunikaci, útoky na síťové úrovni (L3 nebo L4), pokusy o zahlcení, komunikace, která má být blokována z právních důvodů nebo kvůli znesnadnění úniků informací…

Cely zivot ziju v bludu a omylu ze firewall je … Wikipedia

To je problém, pokud někdo čerpá znalosti jen z Wikipedie. Wikipedie není učebnice, je to všeobecná encyklopedie. A úlohou každé všeobecné encyklopedie je přinést základní obecné povrchní informace někomu, kdo o dané věci nic neví. Jako ajťák se do všeobecné encyklopedie budu dívat, pokud potřebuju základní informace o kolibřících, těžbě diamantů nebo literatuře Jižní Ameriky. Ale na věci z oblastí IT, které znám, se tam fakt nebudu dívat, abych se odsud dozvěděl, jak něco funguje. Podívám se tam např. když potřebuju vědět, na jakém offsetu začíná konkrétní položka paketu, protože vím, že to na Wikipedii je, a je to pro mne rychlejší, než se otočit a hledat to v papírové knížce nebo hledat příslušné RFC.

2750

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 16. 01. 2019, 08:09:14 »

Prepáčte mi, ale nenašiel som články z ktorých by vyplývalo, že NAT nemôže byť súčasťou firewallu.

Jestli to nebude tím, že tohle nikdo neřeší. NAT je název pro nějakou funkci. Firewall je název pro jinou funkci. Tyhle funkce se často vyskytují spolu, v jednom zařízení. Ovšem když někdo napíše, že NAT podle něj může nahradit (koho, co) jednoduchý firewall, evidentně považuje NAT a firewall za dvě různé funkce. Protože tvrzení „firewall může být nahrazen firewallem“ by vskutku bylo málo objevné.

Že vy máte potřebu v tom dělat zmatek a používat název NAT pro jedu funkci, název firewall pro dvě různé funkce, z nichž jedna je NAT a druhá asi nemá jméno, je váš problém. Každopádně to s původní diskusí o NATu nijak nesouvisí, protože dokud je NAT překlad adres, bezpečnost sítě za NATem nezvyšuje ale snižuje.

Vtedy nie je potrebné žiadne routovanie IP prevádzky medzi sieťami, nie je potrebný žiadny NAT a napriek tomu počítače z privátnej siete môžu mať prístup vybranými protokolmi do verejnej siete.

Vždyť jsem to také psal, že existují tři různé funkce – router, firewall a NAT. A že se často vyskytují spolu a dělá je zařízení, ale není to nutné a každá z těch funkcí může být i samostatně nebo jen ve dvojicích.

Prečo teda nechcete uznať že firewall môže byť postavený aj na NAT

Protože NAT má v jistém smyslu přesně opačnou funkci, než firewall – firewall zabraňuje komunikaci, která by jinak byla možná, NAT naopak vytváří komunikační propojení, které by bez něj možné nebylo.

jednom pravidle v packet filtri na odrazenie pokusov na podhodene cieľové adresy, ktoré sú prekladané?

Protože paketový filtr je firewall, nikoli NAT. Nebo k vašemu tvrzení, že NAT je součástí firewallu, chcete přidat ještě další, že také firewall je součástí NATu?

aby ste sa otvorili aj širšiemu ponímaniu slova firewall.

Já se ale takové hlouposti bráním záměrně. Dělat ze slov bramboračku a náhodně měnit jejich význam není k ničemu dobré. Router, firewall i NAT jsou definované tím, co dělají, ta definice je poměrně jasná. Když chci psát o filtrování provozu, napíšu prostě „firewall“ a nemusím složitě vysvětlovat, že myslím tu část firewallu, která má na starost filtrování provozu.

neznižujete sa k urážkam (teda okrem priamych obvinení že v tom mám zmätok )

To ale nebylo myšleno jako urážka, nýbrž jako konstatování výsledku pozorování vašich komentářů. Protože v nich opravdu termín „firewall“ (a také „NAT“) používáte v různých významech, takže často není jasné, o čem vlastně píšete.

Taktiež manipulujete, napr. keď ste mi vysvetľovali význam slova firewall na anglickom preklade. Nesúhlasím, že je to dobrá analógia pre účel vysvetlenia že Firewall a NAT sú dve rozdielne veci. Firewall má hlavne vydržať oheň čo je zrejmé z názvu, ale je to stena ktorej účel nie je prepúšťať napríklad vybraných ľudí.

To není manipulace, ale fakt. A nejde o analogii – jde o přenesený význam, to slovo „firewall“ pro označení síťového filtru takhle vzniklo. Účelem firewallu, protipožární zdi, je oddělit špatný oheň od ostatních věcí (lidi, auta, zvířata, zboží…) Propouštět vybrané lidi není účelem protipožární zdi, stejně jako to není účelem síťového firewallu. Protipožární zeď brání před ohněm, ale už nebrání třeba před záplavou nebo před lupiči. A stejné je to se síťovým firewallem – brání proti špatné síťové komunikaci na nižších úrovních síťového provozu. Ale třeba autentizace uživatelů v HTTPS provozu už je mimo kompetenci firewallu, to řeší zase jiné komponenty.

Taktiež nie je celkom fér že ste zvýraznili časť odstavca ktorá sa Vám hodí bez toho aby ste sa zaoberali zvyškom vety:
Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?

Já jsem tu část odstavce zvýraznil, abyste si jí všiml, protože je důležitá. Zbytek jsem ale citoval také – fér by nebylo, kdybych ten zbytek věty zatajil. Pokud si myslíte, že zbytek té věty nějak zásadní mění to zvýrazněné tvrzení, napište v čem. Podle mne je to klasické wikipedistické tvrzení, aby se vlk nažral, koza zůstala celá a Wikipedie zůstala neutrální vůči všemu. Všimněte si, že v té druhé části není nic o tom, že by ta obrana byla funkční – prostě se to jen začalo takhle často používat.

2751

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 15. 01. 2019, 14:26:21 »

Len pre srandu som si dal vyhľadať spojenie NAT v poslednom odkaze ktorý odkazujete .

...Implementuje v sobě NAT (Network Address Resolution) a IP maškarádu,
které dříve nebyly přímou součásti firewallu....

Máte takovéhle manipulace zapotřebí? Ano, implementuje v sobě – ale kdo to implementuje? Netfilter. Tak se nesnažte vzbuzovat dojem, že NAT a IP maškarádu implementuje firewall. Jak už jsem psal, nestačí hledat, je potřeba taky číst.

Ďalej sa tam píše:

...jaké vlastně typy firewallů
máme. Základní dělení podle toho, jak firewall pracuje, je dělení na paketové
filtry a aplikační servery...
...Představitelem aplikačních serverů je například unixový proxy server Squid nebo
WinProxy pro operační systémy Windows...

Platí teda stále, že firewall == filter packetov .

Ne, platí, že firewall je filtr síťové komunikace. Filtr paketů je jenom jeho podmnožina.

2752

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 15. 01. 2019, 14:22:15 »

Páni, nie že by to bolo podstatné, ale stále sa snažíte tvrdiť že Firewall == filtrovanie packetov, a tvrdíte že moje predstavy sú nesprávne s vedecky zaužívanou terminológiou.

Proč ta manipulace? Nebo snad dokážete odkázat nějaký komentář, kde někdo psal něco o vědecké terminologii? Ne, vaše terminologie je v rozporu se všeobecně používanou terminologií.

Môžete prosím dať nejaký link, ktorý podporí vaše tvrdenie.

Můžete začít na Wikipedii: Firewall.

Lebo ja keď si pozriem stránku Wikipedie o firewalle (computing) a dám hľadať NAT tak to tak nevyzerá.

Hledat nestačí, je potřeba také číst v kontextu celé stránky. Mělo by vám být nápadné, že ten odstavec popisující NAT je v rozporu s tím, co je o firewallu napsáno na začátku stránky – kde byste měl hledat definici nebo popis toho, co firewall je. Ono nic není černobílé a Wikipedie popisuje další věci, které s firewally souvisí a někdy se pod firewall řadí a někdy ne – třeba aplikační firewall.

Navíc diskuse původně začala tvrzením, že NAT má podobné/stejné bezpečnostní vlastnosti jako jednoduchý firewall, které poněkud nedává smysl, pokud by NAT byl firewall nebo jeho součást.

Dokonca celý odstavec je k tejto téme relevantný.

Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?

2753

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 15. 01. 2019, 07:00:05 »

V podstate sa môžeme dohodnúť na Vašej terminológii, ale moja prestava je takáto

- Firewall je pre mňa sieťový komponent (či už softvérový alebo samostatná krabička), ktorá poskytuje rôzne služby
- NAT je služba
- Filtrovanie packetov je služba

ak správne rozumiem tak pre Vás Firewall == filtrovanie packetov.

Používat při komunikaci bez varování vlastní představy místo všeobecně uznávaných významů je problém. Ta terminologie firewall = filtrování paketů není terminologie PetraM, ale je to všeobecně uznávaná terminologie. Stačí si přeložit ten anglický termín (používá se přenesení významu slova – protipožární zeď odděluje dva různé prostory, aby se případný požár, tedy něco škodlivého, nedostalo z jednoho prostoru do druhého; stejně tak síťový firewall odděluje sítě, aby se škodlivé pakety nedostaly z jedné sítě do druhé) nebo si pár definic vyhledat.

2754

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 14. 01. 2019, 21:00:14 »

na toto neviem co ani napisat, aky ma zmysel pripojit privatnu siet k internetu?
to mozem rovno vytiahnut kabel z WAN portu a prehlasit ze moja LAN siet je 100% bezpecna pretoze sa do nej naozaj nikto nedostane, to ze sa ja nedostanem von je asi vedlajsie

toto naozaj nie su argumenty s ktorymi sa da viest diskusia kedze namiesto zabezpecenia siete ju chcete uplne znefunkcnit.

Za prvé tu neřešíme smysl, ale funkcionalitu. Když prohlásíte, že nemá smysl používat vidličku bez nože, pořád ještě to neznamená, že je vidlička výborný nástroj na krájení. Když si tady někteří pořád pletou funkce firewallu, routeru a NATu, je potřeba uvést příklad, kde je jenom ten router, aby si uvědomili, co je funkce routeru. Když mi někdo bude tvrdit, jak se vidličkou dobře krájí, taky mu seberu ten nůž, aby si vyzkoušel opravdu krájení vidličkou a konečně zjistil, jaký je rozdíl mezi vidličkou a nožem.

Za druhé, ta privátní síť nemusí mít přímou IP konektivitu do internetu, ale přesto se může k internetu nějak připojovat – třeba přes proxy server.

ak sa rozpravame o SNAT, inteligentne routere maju tabulku prekladov s ktorymi porovnavaju prichodzie pakety a podla toho robia spatny NAT z verejnej cielovej adresy na privatnu cielovu adresu v LAN, takze ak chce utocnik preniknut do LAN siete musi spoofnut IP adresu so zariadenim v internete s ktorym je nadviazana komunikacia z internetu. ==> podobne sa sprava FW

Nikoli. SNAT mění IP adresy v hlavičkách paketů. Firewall blokuje pakety, nepropustí je dál. Co je na tom tak těžkého k pochopení? Tak si to představte na klasické poště. Jeden člověk dělá to, že vezme obálku a když se mu líbí, pustí ji dál, když se mu nelíbí, hodí ji do skartovačky. Druhý člověk se podívá na obálku a když je tam napsáno jenom „Franta“ přelepí to štítkem s kompletní Frantovou adresou. Připadá vám, že ti dva lidé dělají to samé?

iba? to je asi celkom velky problem ze nefunguje pripojenie do internetu

Není. Na protokolu IP jsou postavené různé sítě a ne všechny musí mít přímou IP konektivitu do Internetu. Dříve například bylo běžné vytáčené připojení k Internetu – internetová konektivita byla dostupná jenom v okamžiku, kdy bylo navázané spojení přes modem, vyřídilo se, co bylo potřeba (třeba stáhly a odeslaly e-maily), a spojení se zase ukončilo, čímž se síť od Internetu odpojila.

2755

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 14. 01. 2019, 15:06:26 »

routovanie môže fungovať správne len vďaka tomu NAT

Nikoli, routování na NATu vůbec nijak nezávisí. Než došly IPv4 adresy, žádné NATy se nepoužívaly a Internet fungoval perfektně, NAT nikomu nechyběl.

Vďaka tomu skenovanie vnútornej siete bude pre počítač napr. z Číny nedostupné a stále bude mať počítač vo vnútornej sieti možnosť browsovať na intrnete.

Nepoužívejte zájmena, pak není jasné, o čem píšete. Konkrétně ty dva body – (přímá) nedostupnost z Číny a možnost brouzdat po internetu z vnitřní sítě jsou možné díky dvěma věcem – routování a NATu. Dokonce se to dá ještě rozdělit a zkoumat každou vlastnost zvlášť. To, že budou počítače ve vnitřní síti nedostupné přímo z Číny závisí čistě jen na routování – a NAT je naopak může zpřístupnit. Možnost brouzdat po internetu pak závisí na routování i NATu.

Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.

K přístupu by opět bylo potřeba routování. K zabránění přístupu by se pak opět použil firewall, v některých případech jde použít i routování. NAT by se dal také použít, třeba jak tu někdo navrhoval řešit multihoming – v síti používat IP adresy z jednoho rozsahu a v případě výpadku příslušné konektivity je NATovat na adresy z druhého rozsahu (patřícího k té funkční konektivitě). Je to typické řešení pro IPv4, pro IPv6 není ideální, protože IPv6 od začátku počítá s tím, že zařízení mají více IPv6 adres. V případě dvou konektivit minimálně tři – lokální adresu v síti a IP adresu od každé konektivity. Mimochodem, všimněte si, že NAT opět bezpečnost nijak nezvyšuje – spíš naopak, protože komplikuje cestu paketů a snáz se pak stane, že správce zapomene na nějaký okrajový případ, který by měl firewall řešit.

Skype a predpokladám aj Teredo potrebuje pomoc z vnútornej siete.

Ano, potřebuje. A co? U drtivé většiny vnitřních sítí musíte předpokládat, že ta pomoc z vnitřní sítě je možná, dokonce že je snadná.

Neviem aké sú všeobecné dohody v terminológii, no ja si myslím že firewall je sieťový komponent, ktorý poskytuje služby filtrovania paketov, preklad adries a iné (zoznam schopností závisí od typu firewallu). Ale o tomto sa nemá zmysel hádať.

Firewall blokuje vybraný provoz (odmítá nebo zahazuje pakety). Router pakety směruje. NAT překládá adresy v hlavičkách paketů. Ty názvy popisují přímo chování. Vedle toho pak existují (obvykle fyzická) zařízení, která často plní všechny tři role (router, NAT a firewall, obvykle ještě switch, často mají další funkce jako WiFi AP nebo DNS server). Tato zařízení se nazývají různě, v SOHO oblasti se jim často říká router nebo WiFi AP, v profesionální oblasti se často nazývají svou primární funkcí, i když toho často umí víc – takže třeba router umí i filtrovat a NATovat atd. V této diskusi ale určitě nemohlo dojít k záměně názvu pro funkci a (obchodního) názvu zařízení, protože řeč byla původně o NATu, a NAT jako obchodní název zařízení se vyskytuje velmi sporadicky. Takže když se tu píše o NATu, je všem jasné, že se tím myslí funkcionalita NATu, tedy překládání adres.

2756

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 14. 01. 2019, 14:37:04 »

Jirsak tvrdi, ze NAT je k nicemu, ze staci pouze router

Netvrdí.

2757

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 14. 01. 2019, 12:17:53 »

vies ale tu si vyberas specificke pripady ktore vyhovuju tvojim argumentom
to je to iste ako keby som ja tvrdil ze niekto z internetu cez NAT mi neoscanuje LAN, tym padom je NAT plnohodnotne security riesenie

^^^to tu ale nikto netvrdi, popierat ale ze niektore vlastnosti NATu maju podobny efekt ako zakladny FW mi pride zvlastne

Nevybírám si specifické případy. Pokud podle vás některé vlastnosti NATu mají podobný efekt, jako základní firewall, napište které. Tady zatím nikdo takové vlastnosti nepopsal – akorát Peter napsal, že si vedle toho NATu může zapnout i firewall, a ten firewall pak blokuje nějaký provoz.

Pořád jde o to, že někdo trochu míchá dohromady NAT, firewall a router, a vlastnosti, které má celé to řešení díky routování nebo firewallu připisuje NATu.

Jinak i pokud se na to díváte z toho pohledu, zda se útočník odkudkoli z internetu dostane do vnitřní sítě, pak NAT bezpečnost naopak snižuje. Když budete mít na hranici té sítě čistý router, ten bude pakety podle IP adresy směrovat do vnitřní sítě nebo do sítě ISP a na gateway ISP. V síti ISP by se ty pakety se zdrojovou IP adresou z privátního rozsahu měly zahodit. Pakety s cílovou adresou z privátního rozsahu útočník sedící kdekoli v internetu nedopraví ani do sítě vašeho ISP, natož na váš hraniční router. Takže bez NATu se ten útočník sedící obecně kdekoli v internetu nemá šanci do vaší sítě přímo dostat. Když tam přidáte NAT, situace se úplně změní – útočník dostane pakety odkudkoli z internetu až na váš hraniční router, a pak už záleží jenom na tom, jestli se mu podaří přesvědčit NAT, aby ty adresy přeložil.

Takže když to shrnu, proti útokům odkudkoli z internetu je privátní síť připojená k internetu routerem bez NATu odolná více, než privátní síť připojená k internetu routerem s NATem, NAT tedy „bezpečnost“ v tomto smyslu snižuje. A pokud chcete skutečné zabezpečení (tj. ne takové, že si k vašim opatřením zpětně vymodelujete nějakého extrémn ě neschopného útočníka, kterého ta opatření zastaví) té privátní sítě, potřebujete na tom hraničním routeru filtraci provozu, tj. buď alespoň routovací pravidla, nebo firewall.

2758

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 14. 01. 2019, 07:31:52 »

svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil.

Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.

V tom druhom to odreže "takmer" celý internet od možnosti vytvoriť spojenie na súkromnú adresu.

To není pravda. A už jsem tu jmenoval například původní Skype nebo Teredo, které vytvořit spojení na soukromou adresu umí.

A keď ste už spomínali ten firewall, tak práve NAT je implementované ako modul do netfiltra.

I tentokrát se mýlíte. Firewall i NAT jsou obecné pojmy vztahující se k síťovém komunikaci. Netfilter je jedna z implementací na Linuxu, ale firewall i NAT můžete provozovat i na *BSD, na Windows, na jednoúčelových zařízeních bez Linuxu. I na Linuxu se firewall a NAT dříve řešil pomocí ipchains, nyní máte k dispozici vedle netfilteru i nftables.

NAT je zkratka pro Network Address Translation, a je to prostě změna IP adres (zdrojové a/nebo cílové) v IP paketech. Není to firewall a nezáleží na tom, že je to v některých implementacích řešeno stejným nástrojem, jako firewall. Rozlišovat to můžete podle jednoduchého pravidla – když to podle určitých pravidel pakety zahazuje (nebo odmítá s ICMP zprávou, případně předá pakety k analýze), je to firewall, když to podle určitých pravidel mění zdrojovou a/nebo cílovou IP adresu v hlavičkách paketu, je to NAT.

aj pri najjednoduchšom NAT je potrebné vykonať filtrovanie packetov

Není. Filtrování paketů je jiná úloha, než NATování, a NAT funguje výborně i bez jakéhokoli firewallu.

Teda na nastavenie predtým spomínaného filtrovacieho pravidla nie je treba mať žiadny ďalší "firewall", stačí pridať pravidlo do vhodnej tabuľky netfiltra. Stane sa tak z hlúpeho-NAT firewall?

Ano, když filtrujete provoz, je to firewall. Na začátku komentáře jste psal, že v tom nemáte zmatek, ale tady už si v tom zase zmatek děláte. To, že často máte firewall a NAT na jednom zařízení a dokonce implementované jednou technologií, neznamená, že to můžete vzájemně zaměňovat. U dveří také často máte kliku a zámek v jednom „zařízení“, ale to neznamená, že byste mohl tvrdit, že klika slouží k zamykání a že pro zamezení vstupu neoprávněné osoby tudíž stačí klika a zámek není potřeba.

2759

Sítě / Re:IPv6 a řešení záložní konektivity

« kdy: 13. 01. 2019, 19:53:09 »

Netvrdím že NAT je nejaké výrazné zabezpečenie, ale Váš príklad by fungoval len ak by na danom routeri ktorý vykonáva NAT vnútorných adries na vonkajšiu nebolo žiadne iné pravidlo. Pokiaľ na vonkajší interface príde packet s cieľovou adresou vo vnútornej sieti, tak predsa ten packet zahodím. To dokáže aj jednoduché pravidlo cez iptables.

Děláte si v tom sám zmatek tím, že nerozlišujete router, firewall a NAT. Když ten váš popis upřesním, píšete: „Váš příklad by takhle fungoval jedině tehdy, kdyby na routeru byl jenom NAT. Když přidám i firewall a do něj jednoduché pravidlo, paket z internetu do vnitřní sítě neprojde.“ Ano, v tom máte pravdu, a je to přesně to, co celou dobu tvrdím – NAT není žádné zabezpečení. Abyste tu vnitřní síť zabezpečil, musel jste na router dát firewall – samotný NAT nic nezabezpečil.

Samotné NAT per se samozrejme okrem prekladu (a tým aj schovania) adries žiadnu bezpečnosť nerieši, no zriedkakedy sa používa bez toho aby daný router odrážal minimálne všetky pokusy o odoslanie packetu z vonkajšej do vnútornej siete. Ostávajú síce čiastočne otvorené vrátka v prípade povoleného UDP, no tam si myslím je problém či už NAT alebo neNAT.

NAT žádné adresy neschovává. Jak jste správně napsal v předchozím odstavci, samotný NAT žádnou bezpečnost neřeší. Pokud chcete bezpečnost, musíte vedle NATu dát ještě něco jiného, co tu bezpečnost bude řešit. Asi vás mate to, že se NAT velice často vyskytuje na stejném zařízení jako firewall, ale tu bezpečnost pak řeší firewall, nikoli NAT.

Ešte dopním, že podobne by ste mohli argumentovať že firewall vyhodnocujúci packety po TCP/IP vrstvu nie je žiadne zabezpečenie, predsa niekto na routovanej ceste môže uniesť spojenie. To je pravda, môže, a preto je trend že sa všetko v aplikačnej vrstve podpisuje / šifruje.

Nikoli. Únos spojení je nebezpečí, před kterým firewall nechrání, ale firewall chrání před jiným nebezpečím – např. před komunikací útočníka se zařízením, ke kterému útočník nemá mít přístup. NAT nechrání před žádným nebezpečím – jak jste sám správně uvedl, aby router začal vnitřní síť chránit, musíte přidat firewall, NAT síť před ničím neochrání.

2760

Desktop / Re:Leaking RAM? na Linuxu

« kdy: 13. 01. 2019, 09:04:14 »

No asi tak jako win98;) Kdyz pohnu mysi, reakce je v radu sekund. Vzdy po par sekundach poskoci, nebo se kousek pohne. Obnobna reakce na klavesnici, do nekolika sekund.

Export dmesg kde je videt, ze neco sestreli. Viz https://pastebin.com/rG1LzYP3

V logu je hlavně vidět, že sestřelí Chromium, které mělo obsazené 1,5 GB paměti. To je i na prohlížeč docela dost, pokud jste tam měl otevřené jen normální webové stránky. Uvidíte, zda je Chromium odstřelováno opakovaně, nebo zda to postihuje náhodně různé aplikace. Můžete i průběžně sledovat Chromium, zda proces v paměti stále bobtná. Pokud používáte aktuální verzi Chromia bez nějakých úprav, memory leak přímo v Chromiu to asi nebude – to byste nebyl jediný, kdo by na to narazil. Ale mohl by to být problém s ovladačem grafické karty, jak už tu bylo řečeno. Můžete v Chromiu přepnout akceleraci vykreslování – předpokládám, že máte zapnutou hardwarovou akceleraci vykreslování, zkuste jí vypnout, zda se tím případné bobtnání Chromia v paměti zastaví (po restartu prohlížeče).