Jankkaan tätä amatöörinä, koska ollaan IPv6 ketjussa ja jotkut pitää sitä riskinä koska ei ole NATattu.
Eli jankkaat vaikkei ole kunnon tietoa?
Oli aika jolloin Win XP saastui jo asennusvaiheessa jos oli verkossa kiinni julkisella osoitteella. Mikäli oli NAT:n takana niin kyseistä saastumista ei tapahtunut.
Koita nyt jo uskoa että se NAT on ihan riittävä palomuuri suurelle osalle. Se NAT lähes poikkeuksetta myös toteutetaan sillä ihan samalla ohjelmalla kuin ne "paremmat" palomuuri fyytsörit. Linuksin tapauksessa se on netfilter.
Ja edelleen: oli kyseessä se ihan OIKEA palomuuri taikka NAT, niin ei ne kumpikaan tiedä niiden pakettien sisällöstä yhtään mitään koska se paketin sisältö on salattu nykyisin lähestulkoon kaikessa liikenteessä. Tai jos tietäävät, niin sitten salaukset on korkattu ja meillä on paljon isompi ongelma kuin onko NAT oikeasti palomuuri vaiko ei, koska kuka tahansa voi sönkiä kenen tahansa liikennettä mielinmäärin.
Voi sen NAT:n toki virittää YHDELLE koneelle niin että se laskee ihan kaiken läpitte, mutta mitä järkeä siinä on? Sama sitten laittaa suoraan julkisella osoitteella se pönttö verkkoon kiinni.
Ainut käyttökohde moiselle viritykselle olisi sellainen täysin korvaamaton purkki joka ei tunne termiä DHCP ja se pitäisi saada julkiseen verkkoon dynaamisella osoitteella.
Sitten joku meni keksimään että on hiton upee juttu kun laitetaan uPnP tuki siihen purkkiin jolloin se windows voi ihan automaagisesti aukoa portteja miten tahtoo. Veikkaan että toi on suurin syy siihen miksi NAT:lla on niin huono maine ja toki sen takia kun operaattorit kun tekee NAT:n niin siellä ei portteja aukaista että juuso pääsee turskaa seedaamaan.
Ja tottakai meillä on tietoturha ongelma kun noi monet purkit laskee IPv6 liikenteen suoraan läpitte. Tämä tuli itsekin havaittua parin purkin kanssa, sen takia poistin IPv6:n pois käytöstä ja tekeillä on openwrt purkki jolla homma pitäisi hoitua. Ei ole vaan vielä käytössä kun purkkiin ei ollut openwrt tukea, joten se piti itte tehä (Onneksi oli klooni purkki niin tuen sai suht pienellä vaivalla) ja nyt on PR vetämässä tuen saamiseksi ihan viralliseen julkaisuun ja välillä tarttenu jotain muutoksia kokeilla niin ei voi purkkia laittaa "tuotantoon".
Noita purkkien valmistajia ei monesti nappaa kovin pitkään tuotteitaan päivitellä. Tuossakin telewell purkissa kerneli 2.6.36 kun nykyisin mennään 5.15.x jotakin. Siinä on jo uutena ollut todella vanha kerneli.
Ilmeisesti joskus 2014/2015 on tuo purkki ollu ns. uusi tuote. Vastaavasti toi kerneli on vuodelta 2011. Onhan siihen todennäköisesti backportattu jotain kriittisiä juttuja, mutta viimeisin firmis on vuodelta 2015, eli ei ole juuri kiinnostanu tukea jatkaa.
Mutta joo. Koulukuntia on useampia ja jotkuu on tiukasti sitä mieltä että NAT ei tuo mitään turvaa, no ei tietenkään tuo jos se on väärin conffattu. Ihan samoin voidaan sanoa palomuurista, jos se on väärin conffattu, niin ei se mitään turvaa tuo.
Itte olen NAT:a käyttänyt vuosikymmeniä eikä minulla ole siitä mitään huonoa sanottavaa. Se toimii varsin loistavasti silloin kun se on conffattu oikein ja rauta joka sitä NAT:n virkaa hoitaa on riittävän tehokas. Oli aikoinaan VDSL2 purkki jossa rauta oli niin lussua että purkista itsestään kun laittoi NAT:n päälle niin nopeudet tippu 100Mbps johonkin 30Mbps.