[FreeBSD] IPv6 NAT
Adam Szilveszter
sziszi at bsd.hu
2002. Aug. 9., P, 22:13:05 CEST
On Thu, Aug 08, 2002 at 10:43:16PM +0200, Marton Fabo wrote:
> > Kulonben en sejtem minek. Az illetok a NAT-ot "lusta ember tuzfalanak"
> > hasznalhatjak, ami ugye sose volt egy oriasi otlet, de na es.
>
> Mar felmerult bennem korabban, hogy megkerdezem toletek, egy sima NAT
> kulon csomagszuresi szabalyok nelkul mennyire betorheto (belso halon
> csucsulo trojaiktol eltekintve). Na most ennek apropojan fel is teszem a
> kerdest. Szoval?
Latom ismet feszultseg alatti vezetekbe vertem szoget:-) Nos, elvileg
mint ahogy a tobbiek is irtak, minden (meglepo modon) a belso halozat es
a nem megbizhato halo hataran levo atereszto gepen mulik legyen az
tuzfal (akkor is. Ha egy kulon gepet hasznalunk megfelelo topologiaval
akkor az tuzfal, a szoftver ami rajta fut az a csomagszuro:-)))) vagy
NAT gateway. Miert ajanlom megis a csomagszuro alkalmazasat (a NAT
mellett persze, ha az utobbi funkciojara is szukseg van)
Azert mert egy csomagszuro "letomiti" azokat az esetleg kilatszo
gateway szolgaltatasokat, amikre kifele nincs szukseg, de nem lehet nekik
megmondani, hogy ne az osszes interface-n figyeljenek (pl mindenki
kedvence a sendmail elegge problemas gyerek). Neheziti a portscannelok
dolgat. A logok analizisevel fel lehet ismerni tamadasi kiserleteket es
gondolkozni lehet, hogy mi a honap exploitja. Ha akarod, "lathatatlanna"
teheted vele a gepet a netrol (azzal, hogy connectekre drop-olsz es nem
RST-t kuldesz) Es persze mert akkor is mukodik, ha nincs NAT a kepben:-)
Meg valami: ma mar arra szamitani, hogy az un "privat" IP-ket a routerek
altalanossagban szurnek, nem lehet. A szolgaltatok azt mondjak erre,
hogy ez kinek-kinek a halozat perimeteren a feladata mind ki, mind
befele. (es ez is egy fontos funkcioja lehet egy borderen felallitott
tuzfalnak) Arra is hivatkoznak, hogy akkora forgalom mellett, amekkorat
ok kezelnek, az ilyen szures keptelenseg lenne. Ebben is van valami.
Persze, ez csak az en velemenyem.
Udv:
Sz.
--
-------------------------------------------------------------------------------
* Adam Szilveszter * Szombathely * email: sziszi at bsd.hu *
* sziszi at IRCnet, #freebsd.hu, #bsd.hu *
* www.bsd.hu: A leggyorsabb magyar BSD hirszolgalat *
További információk a(z) BSD levelezőlistáról