IPv6 a řešení záložní konektivity

Re:IPv6 a řešení záložní konektivity
« Odpověď #45 kdy: 14. 01. 2019, 14:37:04 »
Jirsak tvrdi, ze NAT je k nicemu, ze staci pouze router
Netvrdí.


PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #46 kdy: 14. 01. 2019, 14:46:37 »
to routovanie môže fungovať správne len vďaka tomu NAT.

Routování funguje díky tomu, že router "ví", kam který paket hodit. Router ví, že
- když mu přijde paket pro IP adresu gatewaye, má ji hodit do privátního rozhraní NATu
- když mu přijde paket z veřejnýho rozhraní NATu, má to kopnout do WAN
- když přijde paket na veřejnou IP adresu, má ho kopnout na veřejný rozhraní NATu
- když přijde paket na IP adresu vnitřní sítě, má to kopnout do vnitřní sítě.

Víc za routováním IPv4 v SOHO mašině nehledej.

Vďaka tomu skenovanie vnútornej siete bude pre počítač napr. z Číny nedostupné

A na to jsi přišel jak?

Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.

To může i s NATem. A v obou případech pomůže jedno - firewall a dropnout SMB zvenku.

Skype a predpokladám aj Teredo potrebuje pomoc z vnútornej siete. Bez tejto pomoci nie je možné to čo popisujete.

Pomoc z vnitřní sítě je jedna z možností, nikoliv jediná...

Neviem aké sú všeobecné dohody v terminológii, no ja si myslím že firewall je sieťový komponent, ktorý poskytuje služby filtrovania paketov, preklad adries a iné (zoznam schopností závisí od typu firewallu). Ale o tomto sa nemá zmysel hádať.

Právě že základ je rozumět tomu, co který slovo znamená. Jinak se nedomluvíme nikdy.

- Firewall je prostý filtr, kde si nastavím pravidla. Podle nich paket projde, hlásí odesílateli chybu, nebo je prostě zahozen.
- NAT je něco, co mění IP adresy paketů.
- Router je něco,co propojuje několik sítí a na základě IP adresy (kterou nemění) a tabulky cest přehazuje pakety z jednoho rozhraní na jiný.
- Gateway je něco, co má IP adresu do vnitřní a vnější sítě a zprostředkovává komunikaci těch sítí (z pohledu LAN je to IP adresa, která vede ven a zvenčí IP adresa, na kterou posílá router pakety, když se chce dostat dovnitř, nic na paketech nemění).

Že je to na jednom procesoru v jedné krabičce na definicích nic nemění.

Re:IPv6 a řešení záložní konektivity
« Odpověď #47 kdy: 14. 01. 2019, 15:06:26 »
routovanie môže fungovať správne len vďaka tomu NAT
Nikoli, routování na NATu vůbec nijak nezávisí. Než došly IPv4 adresy, žádné NATy se nepoužívaly a Internet fungoval perfektně, NAT nikomu nechyběl.

Vďaka tomu skenovanie vnútornej siete bude pre počítač napr. z Číny nedostupné a stále bude mať počítač vo vnútornej sieti možnosť browsovať na intrnete.
Nepoužívejte zájmena, pak není jasné, o čem píšete. Konkrétně ty dva body – (přímá) nedostupnost z Číny a možnost brouzdat po internetu z vnitřní sítě jsou možné díky dvěma věcem – routování a NATu. Dokonce se to dá ještě rozdělit a zkoumat každou vlastnost zvlášť. To, že budou počítače ve vnitřní síti nedostupné přímo z Číny závisí čistě jen na routování – a NAT je naopak může zpřístupnit. Možnost brouzdat po internetu pak závisí na routování i NATu.

Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.
K přístupu by opět bylo potřeba routování. K zabránění přístupu by se pak opět použil firewall, v některých případech jde použít i routování. NAT by se dal také použít, třeba jak tu někdo navrhoval řešit multihoming – v síti používat IP adresy z jednoho rozsahu a v případě výpadku příslušné konektivity je NATovat na adresy z druhého rozsahu (patřícího k té funkční konektivitě). Je to typické řešení pro IPv4, pro IPv6 není ideální, protože IPv6 od začátku počítá s tím, že zařízení mají více IPv6 adres. V případě dvou konektivit minimálně tři – lokální adresu v síti a IP adresu od každé konektivity. Mimochodem, všimněte si, že NAT opět bezpečnost nijak nezvyšuje – spíš naopak, protože komplikuje cestu paketů a snáz se pak stane, že správce zapomene na nějaký okrajový případ, který by měl firewall řešit.

Skype a predpokladám aj Teredo potrebuje pomoc z vnútornej siete.
Ano, potřebuje. A co? U drtivé většiny vnitřních sítí musíte předpokládat, že ta pomoc z vnitřní sítě je možná, dokonce že je snadná.

Neviem aké sú všeobecné dohody v terminológii, no ja si myslím že firewall je sieťový komponent, ktorý poskytuje služby filtrovania paketov, preklad adries a iné (zoznam schopností závisí od typu firewallu). Ale o tomto sa nemá zmysel hádať.
Firewall blokuje vybraný provoz (odmítá nebo zahazuje pakety). Router pakety směruje. NAT překládá adresy v hlavičkách paketů. Ty názvy popisují přímo chování. Vedle toho pak existují (obvykle fyzická) zařízení, která často plní všechny tři role (router, NAT a firewall, obvykle ještě switch, často mají další funkce jako WiFi AP nebo DNS server). Tato zařízení se nazývají různě, v SOHO oblasti se jim často říká router nebo WiFi AP, v profesionální oblasti se často nazývají svou primární funkcí, i když toho často umí víc – takže třeba router umí i filtrovat a NATovat atd. V této diskusi ale určitě nemohlo dojít k záměně názvu pro funkci a (obchodního) názvu zařízení, protože řeč byla původně o NATu, a NAT jako obchodní název zařízení se vyskytuje velmi sporadicky. Takže když se tu píše o NATu, je všem jasné, že se tím myslí funkcionalita NATu, tedy překládání adres.

werwer

Re:IPv6 a řešení záložní konektivity
« Odpověď #48 kdy: 14. 01. 2019, 20:30:08 »
Takže když to shrnu, proti útokům odkudkoli z internetu je privátní síť připojená k internetu routerem bez NATu odolná více, než privátní síť připojená k internetu routerem s NATem, NAT tedy „bezpečnost“ v tomto smyslu snižuje. A pokud chcete skutečné zabezpečení (tj. ne takové, že si k vašim opatřením zpětně vymodelujete nějakého extrémn ě neschopného útočníka, kterého ta opatření zastaví) té privátní sítě, potřebujete na tom hraničním routeru filtraci provozu, tj. buď alespoň routovací pravidla, nebo firewall.

na toto neviem co ani napisat, aky ma zmysel pripojit privatnu siet k internetu?
to mozem rovno vytiahnut kabel z WAN portu a prehlasit ze moja LAN siet je 100% bezpecna pretoze sa do nej naozaj nikto nedostane, to ze sa ja nedostanem von je asi vedlajsie

toto naozaj nie su argumenty s ktorymi sa da viest diskusia kedze namiesto zabezpecenia siete ju chcete uplne znefunkcnit.

Nevybírám si specifické případy. Pokud podle vás některé vlastnosti NATu mají podobný efekt, jako základní firewall, napište které. Tady zatím nikdo takové vlastnosti nepopsal
ak sa rozpravame o SNAT, inteligentne routere maju tabulku prekladov s ktorymi porovnavaju prichodzie pakety a podla toho robia spatny NAT z verejnej cielovej adresy na privatnu cielovu adresu v LAN, takze ak chce utocnik preniknut do LAN siete musi spoofnut IP adresu so zariadenim v internete s ktorym je nadviazana komunikacia z internetu. ==> podobne sa sprava FW
ak sa rozpravame o statickom NAT 1:1 alebo o statickom port-forward-e tak ano, tu toto pravidlo neplati a komunikacia je otvorena pre cely internet ak nie su nastavene nejake ACL pravidla

Bez NATu se jenom nedostanou do vnější sítě (protože pravidla na firewallech definují "privátní adresy nepouštěj dál").
iba? to je asi celkom velky problem ze nefunguje pripojenie do internetu

Re:IPv6 a řešení záložní konektivity
« Odpověď #49 kdy: 14. 01. 2019, 21:00:14 »
na toto neviem co ani napisat, aky ma zmysel pripojit privatnu siet k internetu?
to mozem rovno vytiahnut kabel z WAN portu a prehlasit ze moja LAN siet je 100% bezpecna pretoze sa do nej naozaj nikto nedostane, to ze sa ja nedostanem von je asi vedlajsie

toto naozaj nie su argumenty s ktorymi sa da viest diskusia kedze namiesto zabezpecenia siete ju chcete uplne znefunkcnit.
Za prvé tu neřešíme smysl, ale funkcionalitu. Když prohlásíte, že nemá smysl používat vidličku bez nože, pořád ještě to neznamená, že je vidlička výborný nástroj na krájení. Když si tady někteří pořád pletou funkce firewallu, routeru a NATu, je potřeba uvést příklad, kde je jenom ten router, aby si uvědomili, co je funkce routeru. Když mi někdo bude tvrdit, jak se vidličkou dobře krájí, taky mu seberu ten nůž, aby si vyzkoušel opravdu krájení vidličkou a konečně zjistil, jaký je rozdíl mezi vidličkou a nožem.

Za druhé, ta privátní síť nemusí mít přímou IP konektivitu do internetu, ale přesto se může k internetu nějak připojovat – třeba přes proxy server.

ak sa rozpravame o SNAT, inteligentne routere maju tabulku prekladov s ktorymi porovnavaju prichodzie pakety a podla toho robia spatny NAT z verejnej cielovej adresy na privatnu cielovu adresu v LAN, takze ak chce utocnik preniknut do LAN siete musi spoofnut IP adresu so zariadenim v internete s ktorym je nadviazana komunikacia z internetu. ==> podobne sa sprava FW
Nikoli. SNAT mění IP adresy v hlavičkách paketů. Firewall blokuje pakety, nepropustí je dál. Co je na tom tak těžkého k pochopení? Tak si to představte na klasické poště. Jeden člověk dělá to, že vezme obálku a když se mu líbí, pustí ji dál, když se mu nelíbí, hodí ji do skartovačky. Druhý člověk se podívá na obálku a když je tam napsáno jenom „Franta“ přelepí to štítkem s kompletní Frantovou adresou. Připadá vám, že ti dva lidé dělají to samé?

iba? to je asi celkom velky problem ze nefunguje pripojenie do internetu
Není. Na protokolu IP jsou postavené různé sítě a ne všechny musí mít přímou IP konektivitu do Internetu. Dříve například bylo běžné vytáčené připojení k Internetu – internetová konektivita byla dostupná jenom v okamžiku, kdy bylo navázané spojení přes modem, vyřídilo se, co bylo potřeba (třeba stáhly a odeslaly e-maily), a spojení se zase ukončilo, čímž se síť od Internetu odpojila.


peter

Re:IPv6 a řešení záložní konektivity
« Odpověď #50 kdy: 14. 01. 2019, 22:32:56 »
Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.

To může i s NATem. A v obou případech pomůže jedno - firewall a dropnout SMB zvenku.
Môžete to prosím vysvetliť podrobne? Musím priznať že táto znalosť dosť narúša moje naivné predstavy o sieťovaní. Ale je pravda že zo školy som už mnoho rokov preč a som len samouk, sieťovaniu sa profesionálne nevenujem.

Alebo, ak súhlasíte môžeme to spraviť zaujímavejšie. Pripravím stroj s privátnou adresou a pred neho dám jeden router na ktorom sľubujem že nastavím do IP tables len jediné pravidlo.
Kód: [Vybrat]
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o <verejnyInterf> -j SNAT --to <VER.EJNA.IP.ROUTERA>
Žiadne iné pravidlo na filtrovanie packetov tam nedám. Samozrejme povolím forwarding.

Na stroj na privatnej sieti dam http server bez hesla a na to http nahram index.html s tajnou poznamkou. Tú poznámku mi odtiaľ prečítate a pošlete. Súhlas? Môžme sa dohodnúť na stávke o sumu aby sa zaplatil Váš stratený čas a môj čas nastavením spomínaných zariadení. Plus nejaký bonus, ktorý dúfam že chápete nemôže byť privysoký aby Vám nestálo za to presvedčiť nejakého zamestnanca u môjho providera aby Vám pomohol. Budem to brať ako náklad na školenie :).

Právě že základ je rozumět tomu, co který slovo znamená. Jinak se nedomluvíme nikdy.

- Firewall je prostý filtr, kde si nastavím pravidla. Podle nich paket projde, hlásí odesílateli chybu, nebo je prostě zahozen.
- NAT je něco, co mění IP adresy paketů.
...

V podstate sa môžeme dohodnúť na Vašej terminológii, ale moja prestava je takáto

- Firewall je pre mňa sieťový komponent (či už softvérový alebo samostatná krabička), ktorá poskytuje rôzne služby
- NAT je služba
- Filtrovanie packetov je služba

ak správne rozumiem tak pre Vás Firewall == filtrovanie packetov.

Re:IPv6 a řešení záložní konektivity
« Odpověď #51 kdy: 15. 01. 2019, 07:00:05 »
V podstate sa môžeme dohodnúť na Vašej terminológii, ale moja prestava je takáto

- Firewall je pre mňa sieťový komponent (či už softvérový alebo samostatná krabička), ktorá poskytuje rôzne služby
- NAT je služba
- Filtrovanie packetov je služba

ak správne rozumiem tak pre Vás Firewall == filtrovanie packetov.
Používat při komunikaci bez varování vlastní představy místo všeobecně uznávaných významů je problém. Ta terminologie firewall = filtrování paketů není terminologie PetraM, ale je to všeobecně uznávaná terminologie. Stačí si přeložit ten anglický termín (používá se přenesení významu slova – protipožární zeď odděluje dva různé prostory, aby se případný požár, tedy něco škodlivého, nedostalo z jednoho prostoru do druhého; stejně tak síťový firewall odděluje sítě, aby se škodlivé pakety nedostaly z jedné sítě do druhé) nebo si pár definic vyhledat.

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #52 kdy: 15. 01. 2019, 07:20:17 »
Kód: [Vybrat]
[quote author=peter link=topic=20522.msg303651#msg303651 date=1547501576]
Môžete to prosím vysvetliť podrobne? Musím priznať že táto znalosť dosť narúša moje naivné predstavy o sieťovaní. Ale je pravda že zo školy som už mnoho rokov preč a som len samouk, sieťovaniu sa profesionálne nevenujem.

Nejjednodušší je dostat se ven ze sítě. V síti existuje gateway (má řekněme IP adresu 192.168.1.1). Pokud se pokusíš kontaktovat něco mimo tvou síť, tak IP stack ví, že skrz tuhle adresu vede cesta ven (a ví podle masky, že to není prefix jeho sítě a chce ven), zjistí si přes ARP MAC adresu a na ni pošle paket s cílovou IP adresou, kterou chce kontaktovat. Gateway paket přijme a prohodí ho dál, nijak to neřeší.
Z venku to samý. Řekněme, že mám páteřní síť ve firmě a tahle gateway má směrem ven adresu 192.168.0.25. Pokud chce někdo přistupovat na třeba 192.168.1.27, router hodí (na základě tabulky prefixů) paket na 192.168.0.25 a gateway ho prohodí do té naší sítě, kde .27 buďto je, nebo není. To není jeho starost.
Neřeší se IP adresy zdroje ani příjemce, neřeší porty, neřeší protokol...

Router ti podle tabulky řekne, že "192.168.1.0/255.255.255.0 je na rozhraní LAN přes IP adresu 192.168.0.25". Router funguje taky jako gateway, takže tvoří gateway pro tu páteřní síť a jednak říká, který paket má jít kam mezi vnitřníma sítěma a druhak komunikuje s vnějším světem (pro prefixy, který nejsou ve vnitřní síti, hází pakety ven na jedno nebo několik rozhraní podle nějaké metriky).

Když nasadím službu SNAT do té gatewaye, tak přijde paket z vnitřní sítě "192.168.1.7->8.8.8.8" a SNAT místo gatewaye to změní na "192.168.0.25->8.8.8.8". Podobně pro příchozí, odpověď "8.8.8.8->192.168.0.25" se překope na odpověď "8.8.8.8->192.168.1.27" a paket projde. Přitom není potřeba ho otevírat zvenku, SNAT ví, že to má házet tomuhle stroji. Veškerá ochrana 0.

Oproti tomu pokud tam dám firewall, ten se podívá do paketu, ale nic nezmění. Zjistí si protokol, zdrojovou a cílovou IP adresu, zdrojový a cílový port. A pak prochází tabulku pravidel a první, který vyhoví, použije. Takže pokud na 192.168.1.27 máš Telnet na portu 22 a nechceš, aby byl viditelný zvenku, dáš tam pravidlo, že přístup od kohokoliv z WAN na tuhle adresu, port 22 má zahodit. No a firewallem neprojde paket, který by navázal spojení. Přitom každý jede pod svou IP adresou.

V podstate sa môžeme dohodnúť na Vašej terminológii, ale moja prestava je takáto

- Firewall je pre mňa sieťový komponent (či už softvérový alebo samostatná krabička), ktorá poskytuje rôzne služby
- NAT je služba
- Filtrovanie packetov je služba

ak správne rozumiem tak pre Vás Firewall == filtrovanie packetov.

Firewall je filtr paketů. Jedno jestli SW black box na nějakým zařízení, nebo samostatná krabice. Žádný další služby dělat nemůže. Je to portýr u vchodu, jenom kontroluje vstupenky. Ale nemůže nikoho nutit, aby se převlíkal, nebo aby šel na WC do kabinky č. 3, pokud bude potřebovat. Vejdi nebo vypadni.

No a celý ten slavný NAT by bez firewallu vypadal tak, že na router přijde na WAN port požadavek na (privátní) adresu v LAN, router ji zná, tak ho pustí dovnitř a paket prostě předá do LAN. Je to jeho práce*. Takže pokud má někdo možnost do sítě ISPíka pouštět IP adresy z tvýho privátního rozsahu, je pro něj bez FW tvoje síť krásně transparentní... Jenom tě nebude kontaktovat přes IP adresu NATu. Stačí napadnout nějaký prvek v síti ISP, nebo počítač u souseda a z něho překonfigurovat jeho router a má tě. I proto je NAT jenom iluze bezpečnosti... Prostě musíš počítat s tím, že i privátní adresa může být vidět zvenčí a i když ty lezeš ven dveřma, někdo se dovnitř může dostat oknem.

Bez FW nic bezpečně neuděláš, i to, že se schováváš za NATem a nepřijde ti nic přímo, je práce firewallu (že nepustí pakety s privátní adresu z WAN do LAN). No a když už tam ta filtrace je, k čemu potřebuješ NAT, pokud nepotřebuješ z důvodu absence dostatku IP adres schovat víc strojů za jednu "veřejnou"** IP adresu? K tomu, aby sis zbytečně komplikoval život...

------

*) Smlouva s routerem: Přijde-li ti paket a znáš jeho IP adresu, předej ho do příslušné sítě, jinak se pokus zjistit, jak ho doručíš.
**) "Veřejná" IP adresa je často ještě za CGNATem nebo je přidělená automaticky z DHCP, často obojí

peter

Re:IPv6 a řešení záložní konektivity
« Odpověď #53 kdy: 15. 01. 2019, 13:46:55 »
Páni, nie že by to bolo podstatné, ale stále sa snažíte tvrdiť že Firewall == filtrovanie packetov, a tvrdíte že moje predstavy sú nesprávne s vedecky zaužívanou terminológiou. Môžete prosím dať nejaký link, ktorý podporí vaše tvrdenie. Lebo ja keď si pozriem stránku Wikipedie o firewalle (computing) a dám hľadať NAT tak to tak nevyzerá. A musím povedať, že ja som tú stránku včera needitoval :). Dokonca celý odstavec je k tejto téme relevantný.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #54 kdy: 15. 01. 2019, 13:56:43 »
Ono by mozna stacilo, kdyby kolega nestudoval jen knihy, ale nekdy nejaky server, konfiguraci a zabezpeceni site apod. sam realizoval, drzel "pri zivote" a zodpovidal za to

Pote by bylo jeho prispevku mene a vice k veci...

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #55 kdy: 15. 01. 2019, 14:04:22 »
Páni, nie že by to bolo podstatné, ale stále sa snažíte tvrdiť že Firewall == filtrovanie packetov, a tvrdíte že moje predstavy sú nesprávne s vedecky zaužívanou terminológiou. Môžete prosím dať nejaký link, ktorý podporí vaše tvrdenie. Lebo ja keď si pozriem stránku Wikipedie o firewalle (computing) a dám hľadať NAT tak to tak nevyzerá. A musím povedať, že ja som tú stránku včera needitoval :). Dokonca celý odstavec je k tejto téme relevantný.

Wikipedie je docela zrádná věc a je potřeba ji brát s rezervou. Tvoří ji lidi pro lidi a ne vždycky má ten, kdo téma edituje, úplně jasno v tom, o čem píše. Takže jako první nástřel dobrý, ale to je tak všechno. Ale pst, lidi na to ještě nepřišli...

Doporučil bych libovolný skripta ohledně sítí, nebo třeba (pokud tě sítě víc zajímají), můžeš zkusit https://www.kosmas.cz/knihy/196044/pocitacove-site/

A pokud to chceš hned a zadarmo, co třeba https://pcworld.cz/internet/zabarikadujte-se-firewally-bez-tajemstvi-i-13594 ?

peter

Re:IPv6 a řešení záložní konektivity
« Odpověď #56 kdy: 15. 01. 2019, 14:21:39 »
Len pre srandu som si dal vyhľadať spojenie NAT v poslednom odkaze ktorý odkazujete :).

...Implementuje v sobě NAT (Network Address Resolution) a IP maškarádu,
které dříve nebyly přímou součásti firewallu....


Ďalej sa tam píše:

...jaké vlastně typy firewallů
máme. Základní dělení podle toho, jak firewall pracuje, je dělení na paketové
filtry a aplikační servery...
...Představitelem aplikačních serverů je například unixový proxy server Squid nebo
WinProxy pro operační systémy Windows...


Platí teda stále, že firewall == filter packetov :).

Inak mrzí ma to podpichovanie, ale nemohol som si pomôcť.

Re:IPv6 a řešení záložní konektivity
« Odpověď #57 kdy: 15. 01. 2019, 14:22:15 »
Páni, nie že by to bolo podstatné, ale stále sa snažíte tvrdiť že Firewall == filtrovanie packetov, a tvrdíte že moje predstavy sú nesprávne s vedecky zaužívanou terminológiou.
Proč ta manipulace? Nebo snad dokážete odkázat nějaký komentář, kde někdo psal něco o vědecké terminologii? Ne, vaše terminologie je v rozporu se všeobecně používanou terminologií.

Môžete prosím dať nejaký link, ktorý podporí vaše tvrdenie.
Můžete začít na Wikipedii: Firewall.

Lebo ja keď si pozriem stránku Wikipedie o firewalle (computing) a dám hľadať NAT tak to tak nevyzerá.
Hledat nestačí, je potřeba také číst v kontextu celé stránky. Mělo by vám být nápadné, že ten odstavec popisující NAT je v rozporu s tím, co je o firewallu napsáno na začátku stránky – kde byste měl hledat definici nebo popis toho, co firewall je. Ono nic není černobílé a Wikipedie popisuje další věci, které s firewally souvisí a někdy se pod firewall řadí a někdy ne – třeba aplikační firewall.

Navíc diskuse původně začala tvrzením, že NAT má podobné/stejné bezpečnostní vlastnosti jako jednoduchý firewall, které poněkud nedává smysl, pokud by NAT byl firewall nebo jeho součást.

Dokonca celý odstavec je k tejto téme relevantný.
Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?

Re:IPv6 a řešení záložní konektivity
« Odpověď #58 kdy: 15. 01. 2019, 14:26:21 »
Len pre srandu som si dal vyhľadať spojenie NAT v poslednom odkaze ktorý odkazujete :).

...Implementuje v sobě NAT (Network Address Resolution) a IP maškarádu,
které dříve nebyly přímou součásti firewallu....

Máte takovéhle manipulace zapotřebí? Ano, implementuje v sobě – ale kdo to implementuje? Netfilter. Tak se nesnažte vzbuzovat dojem, že NAT a IP maškarádu implementuje firewall. Jak už jsem psal, nestačí hledat, je potřeba taky číst.

Ďalej sa tam píše:

...jaké vlastně typy firewallů
máme. Základní dělení podle toho, jak firewall pracuje, je dělení na paketové
filtry a aplikační servery...
...Představitelem aplikačních serverů je například unixový proxy server Squid nebo
WinProxy pro operační systémy Windows...


Platí teda stále, že firewall == filter packetov :).
Ne, platí, že firewall je filtr síťové komunikace. Filtr paketů je jenom jeho podmnožina.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #59 kdy: 15. 01. 2019, 14:34:49 »
Asi si zkus precist https://cs.wikipedia.org/wiki/Firewall

je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěm

Firewall (krabice, black box) implementuje firewallova pravidla (paketova, stavova a aplikacni)

Nebo radeji https://en.wikipedia.org/wiki/Firewall_(computing) ?