NAT средствами Linux - уже безопасно?

[awua]

Привет всем. Позвольте нубовский вопрос. Насколько я знаю, при помощи iptables можно настроить как firewall, так и NAT, что не одно и то же. Так вот, если делать из компа маршрутизатор (LAN и выход в Интернет для всех членов LAN по VPN), поставив на него GNU/Linux с iptables и другим софтом для этих целей, будет ли достаточно для безопасности настроить только NAT средствами iptables, и firewall не настраивать? Или он тоже понадобиться для защиты от проникновения в LAN и кражи данных?

[apprentice]

Ваш вопрос звучит приблизительно так "можно ли с помощью топора рубить дрова"

Поэтому все в ступоре и не могут литературно сформулировать ответ.

А вообще вы можете сделать все что хотите, но получите ровно то что вы сделали.

[awua]

Но firewall и NAT - не одно и то же?

[apprentice]

вообще-то одно и тоже, и то и другое - это правила обработки сетевых пакетов.

[rm_]

Но firewall и NAT - не одно и то же?

Нет.

вообще-то одно и тоже, и то и другое - это правила обработки сетевых пакетов.

"Ж*па и палец - одно и то же, и то и другое - это части тела человека."

[awua]

Нет.

Что надёжнее для тех целей, которые я описал в топике - сделать на маршрутизаторе NAT или firewall?

[apprentice]

и то и другое - это части тела

Ну да, и если вдарить по ним молотком то будет больно

[serzh-z]

Что надёжнее для тех целей, которые я описал в топике - сделать на маршрутизаторе NAT или firewall?

NAT и экран - это разные, по назначению, вещи.

[Voral]

Привет всем. Позвольте нубовский вопрос. Насколько я знаю, при помощи iptables можно настроить как firewall, так и NAT, что не одно и то же. Так вот, если делать из компа маршрутизатор (LAN и выход в Интернет для всех членов LAN по VPN), поставив на него GNU/Linux с iptables и другим софтом для этих целей, будет ли достаточно для безопасности настроить только NAT средствами iptables, и firewall не настраивать? Или он тоже понадобиться для защиты от проникновения в LAN и кражи данных?

Часть проблем связанных с подключением в интернет компьютеры в вашей сети (кроме того на котором стоит нат испытывать не будут). Т.к они все представлены одним IP адесом. Т.е., например если будут сканировать открытые порты, то под сканиование попадет только комп с натом. Однако, если можно ведь и все порты прокинуть на другие компы правилами со всеми вытекающими.

Если же вы имеете ввиду несколько другое. Т.е. напимер вы прокинули 80 порт на кнекий комп в вашей локальной сети. И настроили защиту, например, что если на 80 порт обращаются с подсети 99.20.45.0/24 на компе с настроенным nat. ТО для ответа на ваш вопрос посмотрите на порядок движения пакетов, например в статье по iptables на opennet

[drBatty]

Насколько я знаю, при помощи iptables можно настроить как firewall, так и NAT, что не одно и то же. Так вот, если делать из компа маршрутизатор (LAN и выход в Интернет для всех членов LAN по VPN), поставив на него GNU/Linux с iptables и другим софтом для этих целей, будет ли достаточно для безопасности настроить только NAT средствами iptables, и firewall не настраивать?

в ядро линукса встроен NAT и firewall. Для управления ими используются разные инструменты (в частности iptables, но я слышал есть и мышкотыкательные).

Ответ - нет. Для безопасности нужно настроить ещё и firewall в ядре. А NAT можно вообще-то и не настраивать, если вам не нужна отдельная подсеть, с отдельными Адресами. Но имея отдельную подсеть её проще защитить. Потому настраивают и то и другое.

Что надёжнее для тех целей, которые я описал в топике - сделать на маршрутизаторе NAT или firewall?

и то и другое. то или другое отдельно имеет мало смысла. NAT переделывает адреса, а firewall фильтрует их. что важнее для безопасности - бюро пропусков, или охранник, который эти пропуска проверяет? охранник == firewall

[Nazyvaemykh]

NAT нужен только нищебродам, которым не хватило нормальных адресов.
Firewall нужен всем, можно попробовать использовать для этого и Linux, ничего плохого в этом нет.

[SLEDopit]

NAT нужен только нищебродам, которым не хватило нормальных адресов.

Даешь всем 100500 машинам в каждой крупной компании белые внешние ip. Серверам с различными документами и секретами желательно по 2-5 ip.

[Nazyvaemykh]

NAT нужен только нищебродам, которым не хватило нормальных адресов.

Даешь всем 100500 машинам в каждой крупной компании белые внешние ip. Серверам с различными документами и секретами желательно по 2-5 ip.

Ваше утверждение, безусловно, истинно, только его можно и обобщить:
«каждая машина в сети имеет хотя бы один IP-адрес».


Но ведь к вопросу о фильтрации пакетов это относится лишь косвенно?

[Denjs]

Ваш вопрос звучит приблизительно так "можно ли с помощью топора рубить дрова"

гм... нет - скорее
"рубить дрова топором - уже можно"?.... как будто раньше было нельзя/небезопасно... <_<

провокаторов к стенке - и розгами, розгами,

NAT нужен только нищебродам, которым не хватило нормальных адресов.

провокаторов к стенке - и розгами, розгами,

нат ещё нужен тем кто шифруется или желает скрыть структуру подсети. Это тоже важно.

[sash-kan]

Но firewall и NAT - не одно и то же?

ввиду очень сильной расплывчатости термина «firewall» однозначный ответ на этот вопрос может быть только один: нет, конечно.

[drBatty]

NAT нужен только нищебродам, которым не хватило нормальных адресов.

практика показывает, что нищеброды как раз те, кто покупает 100500 IP, вместо того, что-бы читать доки, или нанять админа, который эти доки прочитал, и знает, когда и как надо (не)применять NAT.

[ieleja]

Даешь всем 100500 машинам в каждой крупной компании белые внешние ip. Серверам с различными документами и секретами желательно по 2-5 ip.

некоторые крупние (белые?!) компании имеют /8 ...

а IPV6 всех уравняет (kinda Colt) ...

[rm_]

Такие вот утверждения:

Даешь всем 100500 машинам в каждой крупной компании белые внешние ip. Серверам с различными документами и секретами желательно по 2-5 ip.

нат ещё нужен тем кто шифруется

что нищеброды как раз те, кто покупает 100500 IP, вместо того, что-бы читать доки

дают понять что некоторые пока что смогли осилить только NAT, файрволл у них на уроке информатики ещё не проходили.

[drBatty]

что нищеброды как раз те, кто покупает 100500 IP, вместо того, что-бы читать доки

дают понять что некоторые пока что смогли осилить только NAT, файрволл у них на уроке информатики ещё не проходили.

что такое "фаервол"?

[SLEDopit]

дают понять что некоторые пока что смогли осилить только NAT, файрволл у них на уроке информатики ещё не проходили.

а как фаерволл и возможность доступа извне соотносятся? зачем выставлять наружу банковский сервер, которые высчитывает транзакции и операции, если в этом нет никакой необходимости?
да и ПО вроде как неидеальное. пусть даже найденные уязвимости закрывают достаточно быстро, однако есть некий промежуток времени, когда обновления еще не установлены, а уязвимостью можно воспользоваться. причем уязвимость может быть обнаружена в том же фаерволе. и зачем подвергать себя излишней опасности?

[Devoter]

Надо же и что-нибудь свое сюда вписать На самом деле, что такое NAT, автору темы, полагаю уже и так понятно - вывод парка машин одной подсети в другую, имея в той подсети всего 1 адрес (это в самом первом приближении). Что же касается firewall'а, то тут понятие более широкое даже в том же первом приближении. Да, вы защитили компьютеры, которые "лезут" в интернет через NAT, но сам сервер-то тоже необходимо защищать. Большинство портов вообще не должно быть открыто на сервере для глобальной сети, также в iptables имеются некоторые схемы защиты от разного рода атак, в общем, лучше побольше почитать и сделать свой собственный вывод - нужен firewall или нет.

[Nazyvaemykh]

дают понять что некоторые пока что смогли осилить только NAT, файрволл у них на уроке информатики ещё не проходили.

а как фаерволл и возможность доступа извне соотносятся? зачем выставлять наружу банковский сервер, которые высчитывает транзакции и операции, если в этом нет никакой необходимости?
да и ПО вроде как неидеальное. пусть даже найденные уязвимости закрывают достаточно быстро, однако есть некий промежуток времени, когда обновления еще не установлены, а уязвимостью можно воспользоваться. причем уязвимость может быть обнаружена в том же фаерволе. и зачем подвергать себя излишней опасности?

Да, это значит, что такой сервер не должен быть частью Internet? Только как это соотносится с NAT мне пока не очень понятно.

[rm_]

дают понять что некоторые пока что смогли осилить только NAT, файрволл у них на уроке информатики ещё не проходили.

а как фаерволл и возможность доступа извне соотносятся? зачем выставлять наружу банковский сервер, которые высчитывает транзакции и операции, если в этом нет никакой необходимости?

Это я у вас должен спросить, как соотносятся наличие у машины публичного адреса и возможность доступа к ней извне.

[serzh-z]

Лол. Автор уже давно срулил из темы, а тут идёт война - что ему лучше использовать. =)

[allez]

Шут Сеня в сказке № 22 использовал подобный прием для того, чтобы отвлечь излишнее внимание от своего патрона. :) А вот от чего (или кого) хотел отвлечь (или наоборот - привлечь) внимание автор темы, не совсем ясно. :)

[drBatty]

Автор уже давно срулил из темы, а тут идёт войны - что ему лучше использовать.

я надеюсь ТС читает, и гуглит непонятные слова :)

[allez]

Он занят более важным делом - выясняет судьбу значков в меню Виртуалбокса. :)
Значки в меню VirtualBox есть?

[SLEDopit]

Да, это значит, что такой сервер не должен быть частью Internet? Только как это соотносится с NAT мне пока не очень понятно.

Это я у вас должен спросить, как соотносятся наличие у машины публичного адреса и возможность доступа к ней извне.

Я конечно же не самый компетентный человек в данной области, но я обычно считал, что если машина находится в сети, то:
1. либо она за НАТом и доступ к ней рулится неким сторонним девайсом. (т.е. извне виден только рулящий девайс, о самой машине (и вообще количестве машин) можно даже не подозревать.
2. машина имеет публичный адрес и доступ к ней рулится самой машиной. только в этом случае уровень безопасности снижается, т.к. может быть обнаружена уязвимость в ПО на машине (а его несомненно больше, чем на любом маршрутизаторе) и получен доступ непосредственно к машине, а не маршрутизатору.
Я в чем-то не прав или что-то забыл?

[rm_]

Я конечно же не самый компетентный человек в данной области, но я обычно считал, что если машина находится в сети, то:
1. либо она за НАТом и доступ к ней рулится неким сторонним девайсом. (т.е. извне виден только рулящий девайс, о самой машине (и вообще количестве машин) можно даже не подозревать.
2. машина имеет публичный адрес и доступ к ней рулится самой машиной. только в этом случае уровень безопасности снижается, т.к. может быть обнаружена уязвимость в ПО на машине (а его несомненно больше, чем на любом маршрутизаторе) и получен доступ непосредственно к машине, а не маршрутизатору.
Я в чем-то не прав или что-то забыл?

Очень рад, что вы признаёте возможность собственной ошибки, к сожалению в данном случае она и произошла.
Тот самый "рулящий девайс" в схеме с публичным адресом никуда не пропадает, точнее из поля зрения он (и его адрес) изчезает, но на пути прохождения пакетов-то он остаётся. Соответственно может фильтровать, какие из пакетов, откуда и куда пропускать, а какие нет. И вот простейший фрагмент правил iptables для этого девайса, означающий "в интернет из локалки выпускать всех, из интернета в локалку не впускать никого":

Код: Выделить всё

ip6tables -A FORWARD -i <локалочный сетевой интерфейс> -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -j REJECT

Взято с http://version6.ru/ip6tables, для IPv4 всё аналогично (за тем лишь исключением, что требоваться такое будет пореже, т.к. внутренние адреса являются одновременно и публичными в гораздо более редких случаях).

[SLEDopit]

rm_, спасибо за ссылку. пойду восполнять пробелы.
зы. это так называемая dmz?