Белые адреса, IPv6 и безопасность

Простой межсетевой экран есть везде.

Не думай что NAT нужен для защиты локальной сети, это не правда.

Она одинаково плохо защищена как с NAT-ом, так и без него.

чому? вот у меня обычный пека с линуксом как роутер, а за ним — вагон и тележка windows, android-девайсов. если они сами не лезут в интернет за вируснёй, то никто их и не тронет.

почему-то не впервые уже слышу что нат не делает локальную сеть безопаснее. втф.

с ТС согласен. когда IPшники начнут выдавать каждой лампочке в доме, которые будут доступные из «вне», будет (_._), но сразу резумируя, нат же никто не будет отменять, держи все свои лампочки за натом.

и решение — хз. когда мобильные операторы начнут выдавать ipv6 каждой симке, а на смартфоне стоит дырявая прошивка необновляемая.. наверное просто просить не выдавать тебе ipv6. в «личном кабинете» настраивать самому.

Oh, not this shit again.
NAT != firewall

NAT не фаервол, он просто транслирует адреса и не от чего не защищает. Ты согласен с ТС только потому что в предметной части особо не разбирался/не разбираешься, такие как ты очень опасны, так как в основном из-за вас и появляются ботнеты из миллионов кофеворок. У меня уже как несколько лет все мои чайники и кофеварки работают с белым IP, надо просто правильно настроить фаервол.

и решение — хз. когда мобильные операторы начнут выдавать ipv6 каждой симке, а на смартфоне стоит дырявая прошивка необновляемая.. наверное просто просить не выдавать тебе ipv6. в «личном кабинете» настраивать самому.

Не думай что не_прозрачная адресация - это безопасность. Провайдеры закрывают клиентов фаерволами, для клиентов всё прозрачно.

Провайдеры закрывают клиентов фаерволами

это которым надо писать письмо в бумажно-аналоговом виде с просьбой открыть 110/25 порты для почтового сервера? ясно-понятно.

Однако есть масса альтернативно одарённых, которые считают NAT == firewall.

мтс уже раздает ipv6

Уже как год пользуюсь смартфоном с ipv6

Как-то плевать. Векторов атаки всё равно нет.

а за ним — вагон и тележка windows

Вот оно, уродливое лицо настоящего спуфинга!

это которым надо писать письмо в бумажно-аналоговом виде с просьбой открыть 110/25 порты для почтового сервера? ясно-понятно.

перекошенное отсутствием интеллекта :)

Уже сказали, что NAT не про безопасность?

не, ну вы поделитесь своими знаниями пожалуйста, то сидите такие вумные на айтишном ресурсе, только и повторяете как попугаи «nat != firewall», а так чтобы обрисовать на пальцах — никто не возьмётся.

Ты меня с кем-то спутал. Я тебе про закрывание провайдерами почтовых портов хотел донести. Это правильно. И в Россию эта правильность пришла относительно (запада) сравнительно недавно. Ну хорошо что хоть вообще пришла.

Уже сказали, что NAT не про безопасность?

Мало ли что он не про безопасность, а побочный результат для многих ит-хомячков в том, что к ним нельзя просто так подключиться извне. Что впрочем, сильно неудобно для многих вещей и потому некоторые приобретают реальные IP.

А вообще Брюс Шнайер уже написал книгу по теме Bruce Schneier. Click here to kill everybody.

В ней рассказывает о том, чем грозит IoT.

Я тебе про закрывание провайдерами почтовых портов хотел донести. Это правильно.

Неправильно. Потому что их на практике часто нельзя открыть даже специально по желанию. Между тем, ничего плохого для интернета нет в существовании подкроватных серверов.

Ты не понимаешь. Пров раздает динамические адреса по dhcp. У них стремные и опасные порты (обычно 1 - 1024) по дефолту залочены во имя безопасности. Если хочешь сервер, тебе нужен стат. ип. На статике можно открывать какие угодно порты, не надо заливать.

nmap не сможет охватить, это да. но это страусиная безопасность, голова в песке, а жопа снаружи.

а если адрес по DHCP последние несколько лет один и тот же? :P

Это никого не волнует. Обычно они меняются раз в 2-5 недель.

не у всех такие провайдеры

так может лучше менеджером работать, раз даже провайдера нормально нет :)

мне кажется, провайдер, меняющий адрес раз в несколько лет, лучше провайдера, меняющего адреса 2-5 раз в день

чем?

Постой пример. Если на твоем маршрутизаторе нет правила, запрещающего форвард [не предусмотренных] входящих соединений - то НАТ никак не помешает трогать твою внутреннюю сетку за всякое. А если такое правило есть(а оно всегда есть у здоровых людей), то не принципиально, белые или серые у тебя айпи внутри.

штабильностью

а как его добавить? подскажите позязя. https://a.pomf.cat/wkviwa.png

но только я так и не пойму как потрогают 192.168 из вне =( если б мой провайдер выдавал хотя бы два айпишника, из которых я бы передавал какой-нибудь машине за натом дальше, то да, но тут то у нас одни локальные сети 192.168, 10.0.0.0/8, 172.[16-31]...

или «вы мне про фому, а я вам про ерёму» получается.

но только я так и не пойму как потрогают 192.168 из вне =

пропишут у себя маршрут на 192.168.0.0/16 через твой внешний айпи

Мнимая стабильность. Культ карго? :) У тебя dhcp и все, на остальное пофиг.

О боже, опять...

а что, так можно было? (ц)

это типа как... CSRF в веб? когда с одного веб-узла можно выполнить запрос на другой сайт, у-у-у. а ещё веб ругают!

ну ты сделал для меня открытие, срсли.

а как его добавить? подскажите позязя. https://a.pomf.cat/wkviwa.png

На скрине есть дефолтная политика DROP для FORWARD

но только я так и не пойму как потрогают 192.168 из вне =(

Также, как изнутри трогают вне.

комрад выше отписался, ясненько... спасибо.

ппц. мы все умрём. =(

теперь я присоединяюсь к лиге плюща NAT != Firewall

мтс уже раздает ipv6

Но к сожалению он не статический

А так статический ipv4 для всякого около Иота недёшево стоит.

ппц. мы все умрём. =(

Само-собой, но не от этого. На любом днищевом SOHO-маршрутизаторе дефолтно есть фаерволл, и это никак не связано с НАТ-ом.

ну мы же будем в безопасности, если будем дропать весь трафик который наши клиенты за натом не запрашивали? будем же, да? будем?

вот как -P FORWARD DROP,
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
и -A FORWARD -j REJECT --reject-with icmp-host-unreachable.

и нам не страшны никакие ip route add 192.168.0.0/24 via МЫ с третьей стороны? да?

я просто фшоке =( хватаюсь за голову как старушка, «о горе, о времена, о нравы».

надо меньше нервничать. просто ещё за пол часа до этого узнал что у нас в организации во внешку смотрит микротик. сраный мать его микротик с прошивкой, карл! а ещё там крутится uc-httpd, я не знаю что это за зверь, но просто загуглил название и на первой же странице получил «Listing directory» и «Buffer overflow». я не знаю как дальше работать с такими «одменами». хоть я и не касаюсь айти в нашей сфере хлебозавода, я тестовод, но всё равно печаль.

пойду напьюсь чаю со сгухой.

пропишут у себя маршрут на 192.168.0.0/16 через твой внешний айпи

Они могут, конечно. Но как пакет дойдёт? Провайдер же его дропнет. Или такая атака только от самого провайдера сработает.

На сколько понял скриншот, всё довольно штатно - разрешены только соединения, инициированные изнутри. Ну и какие-то порты на роутере церенаправлено открыты(админка?)

церенаправлено открыты(админка?)

да там чего только нет, всё кроме админки, роутер называется AMD A4-6300, вот его фотка, люблю его. <3

Botnet на мобильниках и смартфонах

И ты думаешь, что NAT смаршрутизирует такой пакет во внутреннюю сеть?

Как уже сказали, фаервол, который режет все входящие подключения будет то же самое, что нат и даже лучше. А вот с IPv6 можно будет сделать нормальный p2p софт, мессенжеры без центрального сервера, голосовые звонки.

на что мы расчитываем открывая такой ящик пандоры?

на firewall

Сейчас ситуация такова, что у большинства людей выход в интернет построен по принципу NAT сети

NAT можно и для IPv6 организовать. Просто это не делают, потому что нет надобности.

когда их физические компьютеры и адреса недоступны из вне

На роутерах по дефолту с IPv6 входящие пакеты тоже отбрасываются. Принимаются только те, что разрешает conntrack. По сути, мало чем отличается от поведения NAT.

что-то Harald замолчал. (прям как я)

видимо затролил меня и довольный удалился из треда.

Script-kiddies так не умеют, так что не торопитесь полностью менять свою точку зрения. Да и, наверное, почти во всех случаях это все равно работать не будет.

https://a.pomf.cat/wkviwa.png

Так вот как crux используется! putty.exe — ваше всё!

тонкий намёк, что BSD'шники пользуются виндой, а для всего остального есть putty.exe? ну да, есть такое.

я уже слишком стар для пердолинга, воткнул систему в MSI A68HM-E33, а чтоб заработала интеграшка, надо включить в ведре CONFIG_AMDGPU. ну включил. иксы заработали. ура.

запустил alsamixer, а где звук? нету звука. он по-умолчанию вывод звука делает на HDMI, пришлось снова пердолить .asoundrc чтобы по-умолчанию звуковая карта была card1, а не card0.

а ещё давным-давно я читал, что если устройство вывода звука уже занято каким-то приложением, то второе приложение не может получить к нему доступ. я думал типа чо за бред, вот же у меня браузер, вот mpd, вот mplayer, запускаю всё вместе — звук микшируется, никто не жалуется. а вот на FM2-платформе эта «проблема» как раз и проявила себя, что даже порой в одной вкладке листаю коубы, и звук исчезнет, потому что ещё предыдущий коуб играет. что мне теперь, пульсу ставить ради этого?

старость не радость.

да и потом система с иксами превращается в свалку, это поставь, то поставь, зависимость ему доустанови... тут я могу сделать for p in `prt-get listinst`; do test -d /usr/ports/core/$p || echo $p; done и все установленные пакеты которых нету в репе core попросту удалить, вместо echo сделать pkgrm. и получить снова чистенький «нулёвый» дистр. я вижу какие _посторонние_ пакеты ставил и за что каждый пакет отвечает. если добавить к этому xorg и туеву хучу пакетов для DE, система станет свалкой в которой я не смогу разобраться. такая система мне не нужна. соррь.

поэтому только консольный линукс для сервера, а для всего остального — шиндошс.

может со временем появится время решит проблемы все и снова просто пользоваться линуксом. посмотрим.

на что мы расчитываем открывая такой ящик пандоры

Кто мы? Настрой у себя файервол и забудь про всех этих людей, делов-то.