On 06.02.2011 20:29, Dan Borlovan wrote: > On 02/06/2011 06:58 PM, Dumitru Ciobarcianu wrote: > >> Sa folosesti NAT ca firewall e ca si cum ti-ai pune o holograma pe tine >> si te-ai astepta sa-ti tina de frig. > > Nu chiar > > nat te asigura ca no matter what (in afara de cazul ca-ti faci port > forwarding) din afara nu se pot initia conexiuni inauntru. Supapa > unidirectioanala fool proof.
Care ne face all warm and fuzzy ca suntem protejati. _NOT_. 1. Accelasi lucru (din afara nu se pot initia conexiuni) se obtine cu -state ESTEABLISHED -j ACCEPT -j DROP 2. In anumite conditii (functie de echipament/NAT) se poate sa trimiti pachete din exterior catre interior. Nu tot timpul, nu orice pachet, dar se poate. Da, in teoria NAT spune ca nu se poate, dar in echipamentele existente in piata nu ruleaza teorie ci SO-uri facute de oameni supusi greselii. 3. Dupa cum spunea un colistash cu mai multa experienta decat mine in de-astea, vectorii actuali de malware & such nu au nici o problema cu NAT sau cu faptul ca din afara nu se pot initia conexiuni. > E foarte bun pentru utilizatorul casnic cu windows care asculta pe smb > si poate fi spart la minut daca nu are ultimele update-uri. Am vazut > suficiente calculatoare casnice cu xp sp2 fara firewall si cu updates pe > off. Nu disput ca si-o merita, dar decit sa ajungem sa fie toata lumea > parte din cite un botnet... Dap, nu va face parte la minut, va face parte la zi sau saptamana in momentul in care userul respectiv va da click pe AnnaKurnikova.jpg.exe sau (pentru ca userul este mai cunoscator si stie ca nu tre sa dea click pe exe) in momentul in care ie6 va rula ce vrea detinatorului site-ului care promite ultimul clip al lu' Lady Baba. Faptul ca se afla in spatele unui NAT nu l-a protejat cu nimic... Cioby _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
