svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil.
Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.
V tom druhom to odreže "takmer" celý internet od možnosti vytvoriť spojenie na súkromnú adresu.
To není pravda. A už jsem tu jmenoval například původní Skype nebo Teredo, které vytvořit spojení na soukromou adresu umí.
A keď ste už spomínali ten firewall, tak práve NAT je implementované ako modul do netfiltra.
I tentokrát se mýlíte. Firewall i NAT jsou obecné pojmy vztahující se k síťovém komunikaci. Netfilter je jedna z implementací na Linuxu, ale firewall i NAT můžete provozovat i na *BSD, na Windows, na jednoúčelových zařízeních bez Linuxu. I na Linuxu se firewall a NAT dříve řešil pomocí ipchains, nyní máte k dispozici vedle netfilteru i nftables.
NAT je zkratka pro Network Address Translation, a je to prostě změna IP adres (zdrojové a/nebo cílové) v IP paketech. Není to firewall a nezáleží na tom, že je to v některých implementacích řešeno stejným nástrojem, jako firewall. Rozlišovat to můžete podle jednoduchého pravidla – když to podle určitých pravidel pakety zahazuje (nebo odmítá s ICMP zprávou, případně předá pakety k analýze), je to firewall, když to podle určitých pravidel mění zdrojovou a/nebo cílovou IP adresu v hlavičkách paketu, je to NAT.
aj pri najjednoduchšom NAT je potrebné vykonať filtrovanie packetov
Není. Filtrování paketů je jiná úloha, než NATování, a NAT funguje výborně i bez jakéhokoli firewallu.
Teda na nastavenie predtým spomínaného filtrovacieho pravidla nie je treba mať žiadny ďalší "firewall", stačí pridať pravidlo do vhodnej tabuľky netfiltra. Stane sa tak z hlúpeho-NAT firewall?
Ano, když filtrujete provoz, je to firewall. Na začátku komentáře jste psal, že v tom nemáte zmatek, ale tady už si v tom zase zmatek děláte. To, že často máte firewall a NAT na jednom zařízení a dokonce implementované jednou technologií, neznamená, že to můžete vzájemně zaměňovat. U dveří také často máte kliku a zámek v jednom „zařízení“, ale to neznamená, že byste mohl tvrdit, že klika slouží k zamykání a že pro zamezení vstupu neoprávněné osoby tudíž stačí klika a zámek není potřeba.