- Liittynyt
- 10.01.2019
- Viestejä
- 19 868
Siinä olen samaa mieltä että NAT estää liikennettä. Mutta se ei ole NATin tarkoitus, vaan haitta, ongelma.Alkuosasta oli hieman vaikea saada selkoa? Mutta jos tarkoitit sanoa että NAT ei ole palomuuri, niin totta, ei olekaan. NAT ei ota kantaa liikenteen sisältöön, toisin kuin palomuurin pitäisi. Mutta pelkästään jo NAT estää aika tehokkaasti pääsyn sisäverkkoon - olettaen että reititin ei ole haavoittuvaa mallia. Ja jos se reititin on haavoittuvaa mallia, niin sitten sen palomuurillakaan tuskin on virkaa?
Jos sisäverkon laitteella ei ole tuoreita yhteyksiä nettiin, niin NAT heikosti osaa sille paketteja netistä ohjata, ei toivottujakaan.
Nykyään tuskin, Yksi moneen NAT käytetään vain sen takia että niitä IPv4 osoitteita on niukasti. Muuten voitaisiin mennä niin että kaikille laitteille olisi julkinen IPv4.Tiedätkö käyttäjiä joilla olisi verkkonsa kaikilla laitteilla julkiset IP:t? Minä en.
IPv6lla julkinen ip on oletus.
Käsittääkseni NAT ei toimi kuten väität, eli että jos laite käyttää nettiä, niin "siellä on sitten reitit netistä tulostimeenkin päin". Eikös nuo reitit muodosteta sieltä NATin sisältä kohdeosoitteisiin? Simppeli simerkki, tulostin ottaa yhteyttä palveluun x netissä, resolvaten sen IP:ksi vaikka 1.2.3.4, niin sitten siellä on reitti auki tuosta 1.2.3.4 ja aukaistusta portista tuolle sisäverkosta huutelun aloittaneelle tulostimelle - ei mitenkään "ovi auki koko internetille huudella tulostimelle"? UPNP ymv on sitten erikseen, sen avulla voi aukoa NATtiin reikiä palveluille port forwardin tapaan...
Jos se tulostin haluaa sieltä netistä vastauksen niin NAT pitää olla reikä sille. (* NATkäyttö on toki johtanut siihen että siirrytty käyttään protokollia missä oletus että ei välissä on NAT. Ei sen takia että se olisi hyvä, vaan sen takia että netti ei toimi. NAT yrittää parhaansa mukaan arpo niitä tulevia paketteja oikealle laitteelle. Joillain protokollilla voi olla hankalempaa jos sen NATin takana useita samaa protokollaa käyttäviä.
NAT toteutuksiin on tullut myös palomuurikaltaisia ominaisuuksia, se voi joissain tapauksissa estää / päästää tulevaa liikennettä lähteen mukaan, se ei sinänsä ole NAT tehtävä, vaan enemmänkin haitta jota joudutaan tekemään että hanskataan useita sisäverkon yhteyksiä.
UPNP ymv on sitten erikseen, sen avulla voi aukoa NATtiin reikiä palveluille port forwardin tapaan...
Protokollat joilla sisäverkon laite voi kertoa NATille tarpeistaan on välttämättämiä että niitä reittejä saadaan auki. nekin sitten vaatii sen että jollain muualla tavalla viestitään se mistä portista, missä julkisessa osoitteessa palvellaan, sekin lähinnä vain vaikeuttaa palomuurin työtä.
Jos se IPv6 olisi ollut ajoissa, niin ei olisi noita murheita, palomuurit, joilla ihan lähtökohtaisesti helpompaa.
(NAT tässä yhteydessä tarkoitetaan Yksi moneen NAT)
(*
Tähän se NAT suoja perustuu, se ei osaa reittittään oikeaan kohteeseen muuta, no osaan yhteyksiä se voi arpoa useamman portin, eli ei sille tulostimelle mene kaikki liikenne mitä ko julkiseen osoitteeseen tulee, vaan vain ne reijät mitä avattu. Eli jos tulostin lähettää jonkin http pyynnön, niin ei NAT sille avaa portteja kaikille tulostimen palveluille.
Muihin julkisen osoitteen portteihin tuleva liikenne menee sitten jollekkin muulle laitteelle, tai jää reitittämättä kokonaan.