NAT это не фаервол, говорили они. Говорили?

Я за бан этого ТС-клоуна, толсто.

В случае с H.323 можно симулировать пакет с командами перенаправления звонка, получив который система отслеживания соединений в сетевом стеке включит проброс пакетов для любого выбранного атакующим порта, считая, что данный порт используется для обработки звонка.

Какой-то бекдор в реализации NAT.

Простой пример, у вас есть роутер не прикрытый никакими fw, кто-то в локалке прова подбирает ваш admin:admin - profit

Из WAN в настройки роутера зайти нельзя. По крайней мере так обычно по умолчанию настроено.

Гуглить я умею. Мне интересна практическая информация в ситуации, где нету пароля admin и где юзерам из локалки не подсовывают в браузер то, куда им надо тыкать левой кнопкой хомяка.

Но суть я вроде понял: устроойство в локалке за нат вполне себе безопасно будет жить (ну только если роутер, конечно, не настраивал кто-то из местных), т.к. пробраться внутрь LAN в общем случае не представляется возможным.

В некоторые можно. Но сам пример был максимально приближен к «для блондинок», не описывать же все доступные варианты чего можно сделать.

Почему никто не придумал протокола энкапсуляции IP пакетов и их отправки в локальную сеть? Будет иерархический адрес вроде 1.2.3.4/192.168.1.101

пробраться внутрь LAN в общем случае не представляется возможным

Возможным представляется снифинг топологии внутренней сети ната и нахождение твоего хоста, после чего это просто обычный открытый на распашку хост в интернете. Нет, ты не умнее кетайцев, их тупо больше, даже если китаец тупее тебя в 100 раз, 1000 китайцев умнее тебя в 10, не забывай об этом.

Но суть я вроде понял: устроойство в локалке за нат вполне себе безопасно будет жить (ну только если роутер, конечно, не настраивал кто-то из местных)

видимо суть тебе так и осталась не понятна :). погугли NAT slipstreaming. роутер тут прям совсем ни при чем.

устроойство в локалке за нат вполне себе безопасно будет жить

при условии, что браузер уже с защитой от сплитстрим (год назад браузеры получали фикс. далеко не все парятся об обновлениях - работает и ладно). не углублялся сильно, но есть ощущение, что софт на базе электрона, который не так быстро обновления выпускает, но имеет всякие плагины, может быть подвержен этой атаке.

это прям первый пункт в атаке - узнать внутреннюю топологию.

Может ли NAT защитить сеть от проникновения извне? - Да.

Является ли NAT файерволом? - Нет.

Шарахните ТСа томиком Танненбаума уже!

NAT slipstreaming

Хорошо, что я всегда удалял ALG в кинетиках и отключал в микротиках, вот как знал прям.

NAT это не фаервол

Верно говорят. NAT - это технология подмены source/destination адреса в ip пакете.

Вопрос был, если вчитаться, про «снаружи захачить беззащитное бесфаервольное устройство» и про практику, а не терминологию, так что томик ёлочно-деревянного прибереги для собственных нужд.

Как на счёт компромисса - ядрос?

Ага, в одной стране у него конституционное большинство в парламенте. Или ты не про это?

У тебя есть устройство с размещённым на нём public ip. На этом устройстве МОГУТ БЫТЬ запущены сервисы, которые могут быть уязвимы к атакам. Как правило, локальный сервис слушает подключения на всех ip адресах в системе. Вот на этот случай и нужен firewall - ограничить доступ к локальным процессам на устройстве. В сочетании с технологией NAT, можно рулить доступ и к портам стоящих за этим устройством процессов.

Шарахните ТСа томиком Танненбаума уже!

Дай ссылку

Даже и не думай приближаться ко мне со своими ненайденными томиками. Я всё написал чётко. А если кто не понял - так это уж не мои проблемы с описанием, а чьи-то проблемы с чтением.

NAT не защитит вас от атакующих, которые снаружи в одном сегменте с вами, а брандмауер защитит. правда в наше время такое редко встречается в жизни - у более-менее приличных провайдеров все пользователи сидят в отдельных vlan-ax, или испольуется точка-точка (ррр и тп). но даже в этих случаях, тот кто имеет контроль над роутером провайдера сможет лазить у вас в сети.

Может да, а может нет.

https://www.lants.ru/books/IT/%D0%A2%D0%B0%D0%BD%D0%B5%D0%BD%D0%B1%D0%B0%D1%83%D0%BC.%D0%AD%20-%20%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B5%20%D1%81%D0%B5%D1%82%D0%B8(%D0%9A%D0%BB%D0%B0%D1%81%D1%81%D0%B8%D0%BA%D0%B0%20Computer%20Science)-2012.PDF

• Напросится к тебе в гости, попросить пароль вайфая
• Пригласить на лор-пати, напоить, пока ты отвлечешься, утащить пароль на вайфай с телефона
• Поставить кали на ноут, прийти домой по адресу, сесть на лавочке у подъезда, поломать вайфай
• Поломать роутер
• Поломать другое устройство в локалке (скинуть троян на винду или андроид в этой теме))

И внезапно возможности провести атаку расширяются

Если это единственный способ провести атаку, то я полностью удовлетворён найденными ответами на все свои вопросы

Привел 5 способов

Если это единственный способ

Таки правда, что люди действуют не логикой, а какой-то неведомой фигней)

«NAT это не фаервол» - это так и есть! NAT ни отчего не защищает!

Сеть защищает только фаервол!

На сегодняшний день, твоя сеть защищена со стороны провайдеров при их пиринги между собой только потому, что они фильтруют RFC1918 ну и ещё некоторые вот и всё.

По факту дефолтный src-nat/masquerade на железке под твоим управлением выполняет в том числе и функции фаервола, что тут такого? Удобная штука, без неё интернет давно захлебнулся бы в атаках уровня нюков времён win98.

Провайдерский же нат, если ты прям провод от прова в пекарню включаешь, от беспредела самого провайдера тебя никак не фаерволит, это тоже правда.

Лови адеквата!

NAT это не фаервол, говорили они

Да, NAT никак не защищает. Твоя проблема: ты смешиваешь NAT с кучей локальных условий, типа это рутер подкл. к провайдеру, таблица маршрутизации не предусматривает передачу пакетов в некоторых направлениях и т.д. и т.п. В конце концов наличие NAT’a почему-то считается основным критерием защиты внутренней сети.

Глупость.

Который раз удивляюсь твоей озлобленности. Я для себя просил, ты мне не интересен.

правда в наше время такое редко встречается в жизни - у более-менее приличных провайдеров все пользователи сидят в отдельных vlan-ax

«Приличные» провы скупили «неприличных» и работают на том же оборудовании :)

Вопрос был, собственно, на уровне детского сада и выглядел примерно так:
Велосипед это средство передвижения? Можно на нём передвигаться?

Ответы, как обычно, поражают в самое сердце все лимиты воображения неискушённого зрителя:

• велосипед это не автомобиль
• у велосипеда могут украсть колесо
• велосипед может ездить, но нельзя называть его средством, ведь он велосипед, а не средство
• они могут оторвать у твоего велосипеда руль и он станет не очень нужным
• если велосипеду проколоть колесо он станет хуже одеваться
• велосипед надо называть брандмауэр цвайрад, иначе недалеко и до беды
• иди учись, как залезать на велосипед
• ездить не может, но иногда да, ведь он для этого и нужен, наверное
• милфы могут прибежать и раздавить своими тушами велосипед
• велосипед нельзя использовать с браузером в дождь, ведь это опасно
• нет, велосипед точно никак не защищает вообще не может ездить
• ты смешиваешь велосипед с дорожными знаками
• в конце концов наличие велосипеда почему-то считается основным критерием умения передвигать себя в пространстве и времени

Глупость?

Да нет же, ибо ещё живы и те, кто в совершенстве владеет русским и умеет читать вопросы, а я получил таки ответ, пусть даже за это обещали огреть тяжёлым по голове.

разве вопрос так был поставлен? Врешь ведь

Озвучьте, пожалуйста, полученный, возможно правильный, ответ. Просто интересно…

Как бы ещё смаршрутизировать пакет с dest ip из 192.168.0.0, чтобы он дошёл до 100.69.32.35, не находясь с ним в одной подсети?

Факт:

Тут постоянно все тыкают носом нубов типа меня, что NAT это не фаервол.

Вопрос:

Но если есть в локалке роутер и некое ip4 устройство, порты к которому не проброшены специально, то какие ваши хакерские штучки вы собираетесь применять, чтобы снаружи захачить беззащитное бесфаервольное устройство?

Ответ:
В данном случае NAT тождественен фаерволу, т.к. достигается требуемый эффект, а именно: безфаервольное устройство в локалке за NAT является защищённым для атак снаружи.

Исключения:

1. кто-то захачил прошивку роутера
2. кто-то, как тут почти все обычно делают, оставил у роутера пароль admin admin
3. меня заставили (ну хорошо, хорошо, я сам это, по своей доброй воле) любоваться на милф из локалки и посредством их насувачили вирусов и прочих скриптиков куда-то
4. то же, что и с милфами, но просто браузер заставили меня использовать (от сегодняшнего стола-качелей и мегафона красного цвета я угорел реально)
5. что-то неведомое, никем чётко не озвученное, ну либо я не понял смысла сказанного

т.к. я ранее не упомянул, что интересует меня это касательно IoT, живущих в LANе, то 3. и 4. отбрасываем, второй очевидно отпал, а вероятность первого, по ряду причин, стремится к нулю. Пункт 5. сам за себя сказал.

Итого:
NAT эквивалентен firewall для описанной ситуации.

futurama

Скорее всего аналогия с велосипедом была не так уж и далека от истины. Или я таки наврал?

Скорее всего аналогия с велосипедом была не так уж и далека от истины. Или я таки наврал?

таки наврали

Пропущен такой важный момент, как режим работы маршрутизатора (роутера), хотя в нескольких постах об этом упомянули, например NAT это не фаервол, говорили они. Говорили? (комментарий) Нюанс в том, что встречаются модели в которых по умолчанию разрешена пересылка пакетов между подсетями, тогда сработает атака со стороны провайдера или сегмента сети провайдера.

NAT это функция маршрутизатора слегка совмещенного с файероволом (хотя что чье можно долго холиварить). Если по умолчанию запрещена пересылка пакетов от внешнего мира к внутренним сетям (а это как бы функция файервола), то NAT в режиме замены адреса отправителя обеспечивает внутренним клиентам возможность получить ответные пакеты из внешнего мира (поскольку правильный источник), при этом правило разрешающее прохождение пакетов для установившихся соединений часто создается автоматически.

Таким образом, типа файервол получается поскольку включена политика drop снаружи внутрь - неявный такой файервол

NAT это функция маршрутизатора слегка совмещенного с файероволом

Никакого совмещения с файерволом.

NAT только то и есть что «Network Address Translation» и ничего более. Совпадение прочих разных условий не позволяет в бытовых рутерах снаружи залезть во внутреннюю сеть не благодаря NAT, оно и без NAT также закрыто снаружи

Меня удивляет, откуда такие клоуны беруться? Мало того, что сами не понимают так еще и пытаются комментировать и давать советы или что-то объеснять. А ведь потом это будет читать молоды «специалиты» и будут говорить , что вот на ЛОРЕ написали … и ссылочка ) . Еще раз, НАТ - это НАТ ( трансляция - nat, pat, napt ) он больше ничего не далеат и ни отчего не защищает, буть это хоть linux, cisco или что-то еще. Одна из функций защиты - это файрвол. Модераторам порекомендовал бы удалить эту тему по причине озвученной выше.

беруться

Т.е. милфы всётаки догнали, оседлали и раздавили своей тяжестью мой велосипед.
Я тоже раздавлен, и я мухожук.

все-таки

Да и комментарий не тебе адресован.

Интересно, что ты вынес для себя из всего этого обсуждения?

NAT не защитит вас от атакующих, которые снаружи в одном сегменте с вами

А в чём проблема с тем же сегментом? NAT же не маршрутизирует во внутренние адреса. Пока изнутри соединение не установят, снаружи достучаться невозможно в принципе.

NAT же не маршрутизирует во внутренние адреса.

Смешались в кучу, пони кони.

Пока изнутри соединение не установят, снаружи достучаться невозможно в принципе.

Кто вам сказал такую глупость?

Кто вам сказал такую глупость?

Это же принцип действия NAT, разве нет? Пакеты передаются снаружи внуть в соответствии с таблицей соединений. Нет соединений – некуда передавать.

NAT - Network Address Translation. Что не понятно в этом словосочетании ?

Вот об этом я и говорю.

что ты вынес для себя из всего этого обсуждения

То, что фаервол на каждое отдельное устройство, находящееся на NAT, в моей ситуации не сильно нужен (исключения в посте про велосипед).

А ещё то, что ограничение анонимных комментариев это неплохо в ситуации, когда пост с условием задачи длиннее одного предложения (включая приветствие).
Иначе кто-то недочитал, кто-то прочитал с середины, а кто-то и вообще не читал.

Но в любом случае спасибо всем, мне было интересно.