NAT для безопасности сети

← →
isasa © (2008-07-29 22:13) [40]

Вот мне нравится народ. Ну и где в названии сего девайса слово модем?

DSL-524T
Маршрутизатор ADSL/ADSL2/ADSL2+ со встроенным 4-х портовым коммутатором 10/100 Мбит/с и расширенными функциями QoS.

То, что один из интерфейсов сопрягается через модем, еще не значит, что всю байду можно обозвать модемом.

По аналогии я свою железяку могу обозвать коммутатором (DI-604), хотя она коммутатор+роутер (4LAN+1WAN).

На коробке написано Internet Broadband Router, а то, что один порт RJ-45, или RJ-11 это детали реализации. Есть модификации с добавленной WiFi точкой доступа ...

← →
isasa © (2008-07-29 22:16) [41]

antonn © (29.07.08 22:07) [39]

поговорим о том, какие разные они бывают? :)

:)
По классике, только два
1. Статическая(порт мапинг) - один к одному
2. Динамическая - один ко многим.

← →
Сергей М. © (2008-07-29 22:22) [42]

Ну давай поговорим)

imho, симетричный НАТ и конусный (полный/ограниченный конус) НАТ имеют ощутимо разные степени безопасности с т.з. потенциальных атак извне) ..

Имеются возражения ?

← →
Сергей М. © (2008-07-29 22:24) [43]

> где в названии сего девайса слово модем?

Нету его)

Он типо "по-народному" в модемы навечно записан)

← →
isasa © (2008-07-29 22:33) [44]

Короче, если следовать пословице
"Не бери дурного в голову, а тяжелого в руки"

Волноваться нужно в двух случаях
1. Если назначить на одну из машин внутренней сети DMZ(на IP)
2. Если назначить на одну из машин внутренней сети "виртуальный сервер"(IP:PORT)

Вот за них и надо волноваться...

← →
Сергей М. © (2008-07-29 22:37) [45]

> isasa © (29.07.08 22:33) [44]

Автор, видать, каким-то неведомым ему макаром "попал" на DMZ, вот и бъет тревогу.

← →
isasa © (2008-07-29 22:43) [46]

Сергей М. © (29.07.08 22:37) [45]

Автор, видать, каким-то неведомым ему макаром "попал" на DMZ, вот и бъет тревогу.

:)
Видать динамическая трансляция не пошла. "Интернуту" не было. Надо выключать DMZ ...

← →
antonn © (2008-07-29 22:48) [47]

> isasa © (29.07.08 22:13) [40]
>
> Вот мне нравится народ. Ну и где в названии сего девайса
> слово модем?
> То, что один из интерфейсов сопрягается через модем, еще
> не значит, что всю байду можно обозвать модемом.

эти девайсы настолько обыденны, что железяка, "даваемая интернет" через привычный телефонный кабель (как и предыдущая типа Акорп 56к КОМ, тока немного другой модуляции %)) по привычке называется модем.
и обозвать можно, только некоторые буквоежки будут путаницу вводить :) к тому же автор в первых постах вообще не говорил ничего о всяких модемах-проксях.

> imho, симетричный НАТ и конусный (полный/ограниченный конус)
> НАТ имеют ощутимо разные степени безопасности с т.з. потенциальных
> атак извне) ..
>
> Имеются возражения ?

возрожений нет, есть вопрос - так все таки НАТ может содействовать повышению безопасности? true? :)

← →
isasa © (2008-07-29 23:14) [48]

antonn © (29.07.08 22:48) [47]

возрожений нет, есть вопрос - так все таки НАТ может содействовать повышению безопасности? true? :)

В данном случае речь идет о динамическом.
Невозможно инициировать соединение со стороны одного(внешнего). Т.к. в таблице трансляции сопоставимого внетреннего адреса "скорее всего" нет ...

← →
antonn © (2008-07-29 23:21) [49]

> isasa © (29.07.08 23:14) [48]

ну значит ведь все же может быть ситуация true? :)
я это еще в [1] пытался сказать.

причем столкнулся с такой ситуацией. Знакомый позвонил, очень бы помогла удаленка. Но на той стороне чайник, через ipconfig (все что пришло в голову в тот момент) узнал, что у него 192.168.1.2, немножко обломился :)
и сам вопрос - я могу узнать внешний ИП (у знакомого роутер (ака модем :)) типа как выше по ссылке) и знаю внутренний сетевой, каким образом я могу законектиться на его тачку по какому нибудь dameware/radmin? или хотя бы по шарам? :) для полноты ощущения на удаленной тачке win2k и знакомый несколько чайник :)

← →
Anatoly Podgoretsky © (2008-07-30 01:02) [50]

> antonn (29.07.2008 21:37:30) [30]

То что называется рутером, рутером по определению не является.

← →
miek (2008-07-30 09:04) [51]

>Невозможно инициировать соединение со стороны одного(внешнего).
вот именно это я и хотел узнать.

для справки:
это DSL-2540U: ADSL-модем(он же роутер)

>еще не значит, что всю байду можно обозвать модемом
можно, потому что так его назвал производитель

← →
Сергей М. © (2008-07-30 09:50) [52]

> я могу узнать внешний ИП (у знакомого роутер (ака модем
> :)) типа как выше по ссылке) и знаю внутренний сетевой,
> каким образом я могу законектиться на его тачку по какому
> нибудь dameware/radmin? или хотя бы по шарам?

Собственно никак, если на его шлюзе не настроен соответствующий форвардинг пакетов.

А нафих оно надо ? Если твой хост тем или иным образом маршрутизируем извне, для упомянутой цели сервером может выступать твой хост, "знакомому" же будет достаточно на огурцах объяснить, как инсталлировать у себя, скажем, OpenVNC-клиента (он инсталлируется без лишних вопросов). Он же, его VNC-клиент, после коннекта к твоему VNC-серверу, сам сможет выступать как сервер, и ты при этом получишь вполне достаточный доступ к его хосту.

← →
antonn © (2008-07-30 12:36) [53]

> Сергей М. © (30.07.08 09:50) [52]

говорю ж, чайник на том конце провода, точнее в другом здании в другой части города, вот и хотел я к нему через инет подрубиться :) думаю если бы у него был ИП выдаваемый провом, я же смог бы подрубиться? по Ип то...

← →
Сергей М. © (2008-07-30 12:48) [54]

> я же смог бы подрубиться?

А к чему ?

RDP-сервис на винтукейной раб.станции напрочь отсутствует ..

Радмин и прочие приблуды "чайник" вряд ли сам установит ..

К чему ты хотел "подрубиться", будь даже его хост маршрутизируемый извне ?

← →
Сергей М. © (2008-07-30 12:51) [55]

Или ты только доступ к его шаре имел ввиду ?

← →
Prohodil Mimo © (2008-07-30 16:57) [56]

antonn © (29.07.08 23:21) [49]
знаю внутренний сетевой, каким образом я могу законектиться на его тачку по какому нибудь dameware/radmin?

TeamViewer.exe могёт, даже если не знаешь на внешний, ни внутренний :о)
Запускаешь на том конце и у себя.

← →
antonn © (2008-07-30 18:23) [57]

> Сергей М. © (30.07.08 12:48) [54]

ДамВаре ставится автоматически (удаленно) при первом коннекте, желательно ввести админский пароль на целевой тачке.

← →
antonn © (2008-07-30 18:37) [58]

> на целевой тачке.

от целевой тачки :)

← →
Сергей М. © (2008-07-30 19:07) [59]

> ДамВаре ставится автоматически (удаленно)

Он там, на голой чайной машинке, откуда взялся, этот самый ДамВаре ? С луны свалился ?)

> при первом коннекте

К кому ?)

Т.е. к какому сервису ?

"Коннект к тачке" - термин, достойный, полного валенка, и "за отмазку не канается")

← →
Eraser © (2008-07-30 19:12) [60]

> [57] antonn © (30.07.08 18:23)

не жалательно, а обязательно иначе ничего не установится.

← →
antonn © (2008-07-30 19:16) [61]

> Он там, на голой чайной машинке, откуда взялся, этот самый
> ДамВаре ? С луны свалился ?)

стоит тачко в сети (чистая, только залили, даже в домен не вогнали), открываю Дамваре у себя, выбираю контицо по сети, ввожу ИП целевой тачки, жму коннект - она спрашивает установить клиент дамваре на удалаенной тачке? канешно, говорю я, и через 10-15 секунд я вижу рабочий стол удаленной машины :)
Номано? :)

← →
Сергей М. © (2008-07-30 19:23) [62]

> antonn © (30.07.08 19:16) [61]

Антоша, не согласишься ли, любезный, умерить свой доморощенный сленг, если ты нуждаешься в помощи ?)

Не надо уже свое откровенное дилетантство прикрывать идиотскими сленговыми затычками)

Как-то не вяжется это с твоими якобы "взрослыми" рассуждениями про NAT)

А на вопрос, откуда это самое "Дамваре" там взялось, потрудись все-таки ответить..

← →
antonn © (2008-07-30 19:32) [63]

это все вредное общество кетмара виновато, не бейте дяденька %)

Дамваре там не взялось, дамваре у меня взялось, купил я его и поставил у себя. На целевую тачку оно ставится удаленно. ну вот совсем удаленно, надо только знать адрес компа в сети, и будь он хоть пять минут как с чистоустановленной ОС - дамваре туда поставится при первом моем коннекте на тот компьютер. Устроено оно так :)

← →
antonn © (2008-07-30 19:33) [64]

ну вот считай - увидел шару целевого копьютера - сможешь зайти по дамваре (если порты конечно не закрыты)

← →
Сергей М. © (2008-07-30 19:50) [65]

> надо только знать адрес компа в сети

В какой сети ?

> увидел шару целевого копьютера - сможешь зайти по дамваре

Не ври.

Виндовая Шара - это сервис, позволяющий манипулировать доступом к файловым ресурсам по чтению/записи, но никак не по экзекуции.

Короче, Антоша, до свидания, с тобой все ясно.
Найми админа и не забудь напоить его пивом)

← →
Eraser © (2008-07-30 19:51) [66]

> [64] antonn © (30.07.08 19:33)

ошибаешься

← →
antonn © (2008-07-30 20:42) [67]

>
> Короче, Антоша, до свидания, с тобой все ясно.
>

Счастливо, Сережа (уж извините, любезно-ласкательно-языительный тон я могу пропустить раз, два, но надоедает). Я не заставляю.
шара не выполнит. Увидел шару (admin$ - да, я про нее), значит очень большая вероятность коннекта. но да ладно, не буду заставлять и ставить в глупое положение, спасибо и на этом :)

> Eraser © (30.07.08 19:51) [66]

где? желательно пополнее рассказать, действительно интересно и я ошибаюсь, буду рад услышать объяснение не в буквоедствующем тоне :) (зы - шара admin$)

> [67] antonn © (30.07.08 20:42)

шара $admin открыта почти на всех компьютерах, без пароля она бесполезна. но суть не в этом, удаленная установка, в т.ч. в случаес с dmware, реализована совершенно с пом. других механизмов. Грубо говоря, чтобы удаленно установить программу нужно, чтобы на уд. машине был выключен "простой общий доступ к файлам" (по-умолчанию он включен), а так же был извесен и установлен пароль на админа (если пароль пустой - работать не будет). Есть такой нюанс, что дмваре кэширует атрибуты доступа и сохраняет, поэтому если когда-то один раз ввел пароль, потом его может и не спрашивать.
По моему это все очевидно, иначе можно было бы смело зайти на машину к любому )

> Сергей М. © (30.07.08 19:50) [65]
>
>
> > надо только знать адрес компа в сети
>
>
> В какой сети ?

а вот и еще один вопрос касающийся сабжа, где вопрос частично был true, зато радостных попинаков на страницу... :(
и вот именно про это я и спрашивал - если бы клиент имел модем не маршрутизатор (а какой нибудь усб), где сетевое подключение иницировалось на самом компе и в нете он бы имел ИП выдаеный провом, вот тогда я бы попробывал подключиться (например удаленный рабочий стол в ХР работает, только юзеров нужно растолкать по группам). А если клиент находится за натом в своей внутренней сети, то получается я не смогу у нему пробиться (за исключением поправок сделаных выше), и вот про это я и спрашивал - как можно. Если у кого то мало регистров чтобы охватить всю информацию разом - ну что, я не виновал, нечего было спрашивать :) а то полетело "что за дамваре", "а как она поставится"...

> [69] antonn © (30.07.08 20:48)

> А если клиент находится за натом в своей внутренней сети

никак, разве что через виртуальный тонель вроде хамачи, но это отдельный разговор.

> По моему это все очевидно, иначе можно было бы смело зайти
> на машину к любому )

пароль локального админа я знаю (и он не пустой, винду заливают с диска для "тихой" установки, там все есть, так же как я был ранее у знакомого и завел админа заранее (до этого был старый модем, я через удаленный рабочий стол коннектился, а сейчас он апгрейд сделал))

> [71] antonn © (30.07.08 20:49)

> пароль локального админа я знаю

тогда если отключен "простой общий доступ" и есть сетевой доступ - можно смело устанавливать хоть dmware, хоть что нибудь получше.

> Eraser © (30.07.08 20:49) [70]

угу, но вот читая сообщения Сергея думается что он знает какое то кун-фу, раз тал долго к чему то подводил своими распросами :)

кстати, по идее я так же не смогу получить даже пользовательские шары в такой внутренней сети? проверить неначем...

> и есть сетевой доступ

вот, а вопрос то - как получить и можно ли вообще. ответ "низя" меня вполне бы устроил (если он таковым и должен являться) и небыло бы кучи офтопа.
уточню еще раз - я могу узнать только ИП маршрутизатора и внутренний ИП компьютера, есть юзер Админ, но больше чем уверен, что на маршрутизаторе все настройки по дефолту, никаких включеных дмз и прочее, нат и может быть дхцп :( Т.е. без каких либо телодвижений со стороны пользователя и при вышеописанных данных я не могу получить доступ к шаре?

муршрутизаторовский :)
яж говорю, я раньше через удаленный рабочий стол ХР сидел :)

> [76] antonn © (30.07.08 21:02)

если есть доступ к маршрутизатору - отконфигурируй его нужным образом - все будет работать.

> antonn (30.07.2008 20:48:09) [69]

Не сможешь, без специальных действий с его стороны, ну и что, многих это не останавливает, они умудряются сделать проходной двор и за НАТом

← →
wp2 (2008-07-31 01:54) [79]

заходите на сайт http://leader.ru/secure/who.html и узнаете ваш реальный IP-адрес...

NAT для безопасности сети Найти похожие ветки