Je pravda, ze mam nastaveny port forwarding na port 1218 na pc s Windows. A tedy tento port, potazmo ta sluzba co na nem bezi by mela byt jedina napadnutelna z venku, ne?
Kdyz zminujes bezpecnost a rikas ze NAT mi nepomuze, tak jak by se pripadny utocnik mohl dostat skrz NAT bez toho, aby pouzil otevreny port o kterem vim? Jedine, co me napada je, ze bych se k nemu musel pripojit ja (backconnect).
Dekuji za objasneni
Chjo ...
router ... cim se myslis asi tak vyznacuje ... nj, ze routuje. Takovej standardni domaci router zna dve site (tu vnitrni a tu venkovni), a potom nejakou jednu default routu. Standardni (=kazdy) router nedela nic jinyho, nez se bafne libovolnej prichozi paket, podiva se na jeho dst (src ho vubec nezajima) a doruci => posle bud do interni site nebo do vnejsi site nebo preda na default routu. Router s NATem kupodivu udela presne totez. Je to totiz primarne router. Tudiz pokud (rekneme) doma pouzivas 192.168... a ja poslu na tvoji verejnou adresu paket, kterej bude mit dst 192.168... tak se uplne vpohode spojim s tvym internim strojem. Zadnej forward na to netreba. Samo, "spravne" by mi takovej paket nemel projit (ale jak si sam ukazal, minimalne v raci tvyho ISP vpohode projde), navic existujou zcela standardni (ac nedoporucovane/zakazovane - ovsem asi tak stejne jako privatni adresy) postupy - technicky lze do paketu vymenovat i nekolik routeru, pres ktery si preju aby paket sel. A, kupodivu, ac je toto uz davno vynato z pozadovaneho chovani, hromada routeru to vpohode udela. Navic muzu vladnout strojem v siti ISP, a pak mi v doruceni paketu na tvoji IP nic nezabrani.
Nat traversal stim nema nic spolecnyho, skype nedela nic jinyho, nez se prolejza v nejhorsim vsechny porty ze site ven, a zkousi, jestli se pres nejakej dostane na supernode. Klidne k tomu pouzije oblibenou 80tku. Samo, pokud je odchozi traffic znemoznen, tak se i skype muze jit leda klouzat.
Já si dovolím řící, že celé tvé řešení je trochu postavené na hlavu. Ty cheš blokovat konkrétní IP adresu, ale uTorrent klient to neví a tedy můlže docházet ke zvláštním situacím.
Ale prdlajs ... nedostupnoust IP je zcela standardni situace, navic klient o tom, ze nejaka IP existuje, vubec nikdy a za zadnyho okolnosti nic nezjisti, pokud neprojde pres firewall
tadeas: to co jsi popsal, jak by to slo prakticky zneuzit? Protoze, co se stane, az se pripojis na mujrouter:53342, tam nic nepobezi, ne? Jake ma utocnik moznosti?
Moznosti ma takovy, ze muze klido pouzivat tvoje (dost pravdepodobne povolene) windowsi sdileni, aniz bys ho poustel do netu. Viz vejs.
tadeas: Jak bys neco poslal do meho browseru, pokud nebudes mit pristup na stroj, na ktery jsem ze zacatku vytvoril spojeni na port 80?
Vzdyt browser ze sebe neudela server, ktery nasloucha na portu x?
Jak se to snazim pochopit, tak bys musel mit stejnou IP jako server, ke kteremu jsem se pripojil na port 80
A nebo nekde v trase mit moznost zmenit obsah paketu co je pro me, co mi poslal ten http server
Obavam se, ze o moznostech prohlizece a js nemas predstavu, specielne s prichodem html5 a dalsich uzasnych ficur ...
Jěště k tomu NAT traversal.. Já určitě netvrdím, že NATy se nedají traverzovat, jen tvrdím, že vždy to musí chtít obě strany - tzn. nikdo nemůže SAMOVOLNĚ traverzovat NAT, to prostě nejde imho. Jediný případ kdy by to samovolně teoreticky šlo, jsem popsal výše (útočník v síti ISP), ale i tak by bylo IMHO šíleně těžké navázat TCP spojení. Možná by byl útočník (v síti ISP) schopen protlačit mi tam nějaké UDP pakety, ale k čemu by mu to bylo.. TCP by IMHO ani nebyl schopen navázat a napojovat se na mě.
Přijde mi to, že je to prostě takový mýtus, trochu FUD 
Pozor pozor, NAT se dá "prostřelit" !! Nedá... samovolně se prostě nedá prostřelit. Ale jestli nesouhlasíte, rád se nechám poučit, ale zajímal by mě konkrétní scénář jak se mi dostanete na můj stroj za NATem, který nic nedělá.
Viz vejs, nevis o cem mluvis ...
42 Odpovědí
9528 Zhlédnutí