DHCP ja NAT

Osoitteenmuunnos ei ole mikään tietoturvaratkaisu. Yksittäisen koneen nattauksessa ei ole mitään järkeä. Nat tuo aina mukanaan kaikenlaisia vaikeuksia, joiden kiertämisessä puuhaa riittää. Yksittäisen koneen suojaksi ESTABLISHED,RELATED-tyyppinen pakettisuodatus on paljon parempi.

Sitten kun käytössä on oma sisäverkko tuota osoitteenmuunnosta on vaikea välttää. Muutos taitaa tulla vasta sitten kun IPv6 tulee yleisen käyttöön.

Sille että modeemin DHCP-serveri vaihtelee jatkuvasti sisäverkon osoitteita ei kyllä ole mitään järkevää tarkoitusta.

Ossi kirjoitti:

Osoitteenmuunnos ei ole mikään tietoturvaratkaisu. Yksittäisen koneen nattauksessa ei ole mitään järkeä. Nat tuo aina mukanaan kaikenlaisia vaikeuksia, joiden kiertämisessä puuhaa riittää. Yksittäisen koneen suojaksi ESTABLISHED,RELATED-tyyppinen pakettisuodatus on paljon parempi.

Sitten kun käytössä on oma sisäverkko tuota osoitteenmuunnosta on vaikea välttää. Muutos taitaa tulla vasta sitten kun IPv6 tulee yleisen käyttöön.

Sille että modeemin DHCP-serveri vaihtelee jatkuvasti sisäverkon osoitteita ei kyllä ole mitään järkevää tarkoitusta.

Lue lisää

mitä vaikeuksia yksittäisen koneen nattaus tuo tullessaan ja onko sillä nyt merkitystä vaihteleeko se ip vai ei. Olen sitä mieltä, että on hyvä että vaihtuu ja nattauksen avulla ei taatusti pysty seuraamaan konetta. Puuhaa varmaan tulee sille, joka yrittää sitä????

idja kirjoitti:

mitä vaikeuksia yksittäisen koneen nattaus tuo tullessaan ja onko sillä nyt merkitystä vaihteleeko se ip vai ei. Olen sitä mieltä, että on hyvä että vaihtuu ja nattauksen avulla ei taatusti pysty seuraamaan konetta. Puuhaa varmaan tulee sille, joka yrittää sitä????

Lue lisää

Monet ohjelmat joutuvat käyttämään hätäapuvirityksiä natin takia ja yleensä jonkinlainen toimivuus saadaankin aikaan. Vaikeampaa on sitten sellaisilla systeemeillä, joissa pakettien oikeellisuus tarkistetaan pakettitasolla. Kun paketin otsikkotietoija peukaloidaan, menetetään aitous.

Ja se seuranta. Kuka tulee vakoilemaan liikennettä modeemin ja koneen väliseen piuhaan? Lisäksi tämä johtokaappari voi seurata aivan kaikkea johdossa olevaa liikennettä.

Ossi kirjoitti:

Monet ohjelmat joutuvat käyttämään hätäapuvirityksiä natin takia ja yleensä jonkinlainen toimivuus saadaankin aikaan. Vaikeampaa on sitten sellaisilla systeemeillä, joissa pakettien oikeellisuus tarkistetaan pakettitasolla. Kun paketin otsikkotietoija peukaloidaan, menetetään aitous.

Ja se seuranta. Kuka tulee vakoilemaan liikennettä modeemin ja koneen väliseen piuhaan? Lisäksi tämä johtokaappari voi seurata aivan kaikkea johdossa olevaa liikennettä.

Lue lisää

NATtauksesta on odotettavissa?

Minulla on kolme konetta wlan-sisäverkossa
joka on yhdistetty adsl-modemilla ja reitittimellä nettiin.
Reitittimessä on NAT päällä ja sisäverkon osoitteet
192.168-sarjaa.
Joka koneelta pääsee internettiin kivuttomasti ja samoin toisiin koneisiin.
Kaikki on toiminut ihan yes, mutta onko jotain murheita odotettavissa ja millaisia?
Olisi kiva tietää noin ennaltaehkäisevässä mielessä.

vaikeuksia kirjoitti:

NATtauksesta on odotettavissa?

Minulla on kolme konetta wlan-sisäverkossa
joka on yhdistetty adsl-modemilla ja reitittimellä nettiin.
Reitittimessä on NAT päällä ja sisäverkon osoitteet
192.168-sarjaa.
Joka koneelta pääsee internettiin kivuttomasti ja samoin toisiin koneisiin.
Kaikki on toiminut ihan yes, mutta onko jotain murheita odotettavissa ja millaisia?
Olisi kiva tietää noin ennaltaehkäisevässä mielessä.

Lue lisää

Normaalisurffauksessa kaikki yleensä toimii moitteettomasti. Vaivaton ja helppo menetelmä kotiverkon tekoon. Postikin tulee ja menee. Jopa ftp-siirot onnistuvat koska ohjelmiin on tehty muutoksia natin takia.

Homma vaikeutuu kun siirrytään ohjelmiin jotka tarvitsevat erillistä yhteyttä myös siäänpäin. Tarvitaan uudelleenohjauksia. Jos useammat koneet käyttävät samoja ohjelmia, täytyy niiden porttiasetuksia vaihtaa tuon uudelleenohjauksen takia. Useimiten se vaatii vain organisointia kuten bittornado. Mutta mitenkäs emule?

Yllätyksiä voi tulla myös siitä ettei nattaava kone voi tietää koska UDP-yhteys päättyy. Se on vain jossain vaiheessa katkaistava.

Voip-systeemien ja VPN-viritysten kanssa saattaa joutua punnertamaan pitkäänkin ennenkuin homman saa pelaamaan edes jotenkin.

Ossi kirjoitti:

Normaalisurffauksessa kaikki yleensä toimii moitteettomasti. Vaivaton ja helppo menetelmä kotiverkon tekoon. Postikin tulee ja menee. Jopa ftp-siirot onnistuvat koska ohjelmiin on tehty muutoksia natin takia.

Homma vaikeutuu kun siirrytään ohjelmiin jotka tarvitsevat erillistä yhteyttä myös siäänpäin. Tarvitaan uudelleenohjauksia. Jos useammat koneet käyttävät samoja ohjelmia, täytyy niiden porttiasetuksia vaihtaa tuon uudelleenohjauksen takia. Useimiten se vaatii vain organisointia kuten bittornado. Mutta mitenkäs emule?

Yllätyksiä voi tulla myös siitä ettei nattaava kone voi tietää koska UDP-yhteys päättyy. Se on vain jossain vaiheessa katkaistava.

Voip-systeemien ja VPN-viritysten kanssa saattaa joutua punnertamaan pitkäänkin ennenkuin homman saa pelaamaan edes jotenkin.

Lue lisää

> Mutta mitenkäs emule?

Ihan oikein vain, jos jotkut aloittelevat piratismin harrastajat eivät saakaan NAT:n takia emulea toimimaan kunnolla. Siinähän ihmettelevät ja kärsivät, kun eivät osaa! :-)

> Yllätyksiä voi tulla myös siitä ettei nattaava kone voi tietää koska UDP-yhteys päättyy. Se on vain jossain vaiheessa katkaistava.

Täh, miksi sen pitää päättyä tai katketa?

> Voip-systeemien ja VPN-viritysten kanssa saattaa joutua punnertamaan pitkäänkin...

Eipä oo tuollasia tarvinnut...

Laitoin muutama kuukausi sitten yhdelle lapsiperheelle laajakaistayhteyden toimimaan. Ostivat suosituksestani modeemin, jossa on NAT ja palomuuri. Tärkeä juttu, sillä en halua joutua korjaamaan heidän Windowsiaan, koska useamman lapsen puuhatessa kahdella mikrolla netissä ei ole ihme, jos softapalomuuri olisi joskus poissa päältäkin. Oikeastaan heillä ei ole toisessa mikrossa mitään softapalomuuria, koska eihän sitä nyt välttämättä tarvita kun se on modeemissa. NAT myös estää lapsia lataamasta netistä piraattisoftaa ja -elokuvia (lupasin kuitenkin joskus laittaa asetukset kohdalleen että toimisi kuten toimii minullakin...). Ja se mahdollistaa myös kahden mikron välille helpon ja turvallisen lähiverkon, joten lapset voivat helposti pelata moninpelejä.

Ossi kirjoitti:

Normaalisurffauksessa kaikki yleensä toimii moitteettomasti. Vaivaton ja helppo menetelmä kotiverkon tekoon. Postikin tulee ja menee. Jopa ftp-siirot onnistuvat koska ohjelmiin on tehty muutoksia natin takia.

Homma vaikeutuu kun siirrytään ohjelmiin jotka tarvitsevat erillistä yhteyttä myös siäänpäin. Tarvitaan uudelleenohjauksia. Jos useammat koneet käyttävät samoja ohjelmia, täytyy niiden porttiasetuksia vaihtaa tuon uudelleenohjauksen takia. Useimiten se vaatii vain organisointia kuten bittornado. Mutta mitenkäs emule?

Yllätyksiä voi tulla myös siitä ettei nattaava kone voi tietää koska UDP-yhteys päättyy. Se on vain jossain vaiheessa katkaistava.

Voip-systeemien ja VPN-viritysten kanssa saattaa joutua punnertamaan pitkäänkin ennenkuin homman saa pelaamaan edes jotenkin.

Lue lisää

"Yllätyksiä voi tulla myös siitä ettei nattaava kone voi tietää koska UDP-yhteys päättyy. Se on vain jossain vaiheessa katkaistava. "

Kerrotko mikä ihmeen udp-yhteys. Ainakin viimeksi kun rfc dokumentteja tuli luettua oli udp ns. yhteydetön protokolla jossa mitään yhteyttä ei avata. Lätkäistään dataan vain lähde ja kohde osoitteet ja potkaistaan piuhankautta pihalle.

"Voip-systeemien ja VPN-viritysten kanssa saattaa joutua punnertamaan pitkäänkin ennenkuin homman saa pelaamaan edes jotenkin."

Hyvin ainakin minulla VPN yhteys pelaa, mutta johtuukin varmaan siittä että palomuuri boksini osaa hanskata myös VPN-yhteydet.

Ja eipä tuolle skypellekkään tarvinnut kuin ohjata palomuurista portti läpi ja kertoa skypelle mitä porttia käyttää. Helppoa kuin mikä.

miten kyseisen natin saa pois päältä