Main Menu

NAT

Založil Waladir, Červenec 16, 2004, 07:55:01 ODPOLEDNE

« předchozí - další »

Waladir

Před časem jsem na webu KlFree diskutoval o zákazu NAT. Dokonce jsem četl materiál od K5 a MilanaK, kde se mluvilo mj. o důvodech, proč je NAT zakázán. Nějak jsem nepochopil, proč se nemůže jednat o dobrovolnou věc :-)

Jde o to, že už samotný NAT nabízí jistou formu ochrany. Nedávno se v síti objevil problém s nějakým červem. Ten kdo by byl za NATem, toho by se to netýkalo.

Další výhodou je široká nabídka HW routerů. Ne každému se líbí, že mu pod stolem hučí nějaká 486ka, na které má nainstalovaný nějaký linuxový router. Pro mě je sice dražší, ale elegantnější připojit si mezi wifi a komp krabičku, která vše potřebné bude dělat. Nejsem si vůbec jistý, že levnější HW routery umožňují pouze routování (bez NATu) a z whitepaperů se to velmi špatně zjišťuje. Nerad bych si koupil router a zjistil, že ho kvůli překladu nebudu smět použít.

Pokud jsem takový znalec TCP/IP, že si rozchodím dobrovolně NAT, tak budu i umět nastavit portforwarding, jestliže si třeba budu chtít telefonovat po internetu, jak bylo v těch důvodech zmiňováno.

Napadá mě pouze jeden pádný důvod, proč NAT ne. Tím je zamezení černého připojování. Když se NAT nebude používat, mám větší přehled o tom kdo odkud komunikuje. Ovšem průkaznost je vlastně nulová. Např. já bych potřeboval minimálně 2 adresy. Určitě bych chtěl mít připojená 2 PC a hodila by se i další adresa pro notebook, příp. PC, které budu chtít po instalaci updatnout. Těžko ale někdo rozliší to, jestli místo toho jednoho PC není připojený např. soused, s kterým se půlím o měsíční poplatek.

Proč nenechat způsob a topologii připojení na uživatelích?

Waladir

K5

Já jsem zákaz NATu nevymyslel, pouze jsem ho jako nevyhnutelný akceptoval.

Nevýhodou je, že 99% prodáváných routerů v cenách < 10.000 Kč jsou NAT ONLY.

Výhodou je, že je plná kontrola nad celou sítí.

Porušování tohoto zákazu (NAT na černo) je zjistitelné, obejití se bez NATu není až tak moc komplikované, pouze hotových řešení je na výběr zoufale málo.

Členská schůze se blíží. Na ní lze odhasovat cokoli, tedy i změnu Provozního řádu. Stačí projevit patřičnou iniciativu  :wink:

Waladir

Otázka je, jestli je opravdu nevyhnutelný. Vím, že lze NAT zjistit a rozhodně bych nic takového načerno nechtěl dělat. Vím i o řešeních, jak se obejít bez NATu. Jen nechápu smysl toho, proč to zakazovat.

Co se týče kontroly na síti, nemyslím si, že by byla nutná až na úrovni koncových bodů. Podstatné je, jestli jede AP a ne, jestli Franta Novák má právě zapnuté PC nebo ne. Pokud se jedná o provoz, má každý člen přidělenou adresu a je zodpovědný za to, co se na síti děje.

Opravdu nevidím žádné omezení v kontrole sítě. To co je podstatné lze zjistit podle IP adresy a to ostatní podstatné pro síť není. Jinými slovy si nemyslím, že by tu plnou kontrolu nad celou sítí NAT nějak omezoval. Zvlášť, když má někdo personal firewall, který třeba bude zahazovat ICMP pakety.

Nevím kdy je členská schůze a hlavně nevím, jestli do té doby budu členem. Takže alespoň projevuju iniciativu tímto způsobem  :wink:

Waladir

K5

Citace: "Waladir"Zvlášť, když má někdo personal firewall, který třeba bude zahazovat ICMP pakety.

To Provozní řád taky zakazuje  :wink:

Waladir

Ach ten provozní řád  :)

Zkuste ale popřemýšlet, jestli jsou všechna ta omezení nutná. Provoz můžete monitorovat na routerech a dohled by měl končit na APčkách a ne na koncových stanicích. Pokud si někdo bude filtrovat ICMP pakety a kvůli tomu nepůjde ověřit odezva a ztrátovost na spoji mezi jeho PC a APčkem, je to jeho problém. Navíc si myslím, že většina routerů ICMP pakety nezahazuje, protože by to odporovalo RFC.

Podle mě je to omezení NATu zkrátka zbytečně omezující a objektivní důvody moc nevidím. Rozhodně z mého pohledu převažují klady  :)

Waladir

belgarat

Taky mam jeden neoficialni nazor:

Clanek MilanaK je pomerne zavadejici. "Technicke problemy", ktere zminuje se tykaji ZEJMENA implementace (programovani) firewall/nat software a pouze v mensi mire jeho administrace.

Vetsi cast puvodniho clanku o sledovani propojeni nema z uzivatelskeho hlediska zadny smysl, jediny platny argument celeho je, ze neznaly uzivatel si nainstaluje NAT a pak place, ze mu nefunguje to, ci ono.

a) neznaly uzivatel neinstaluje NAT, protoze ma jenom jednu pracovni stanici
b) neznaly uzivatel neinstaluje NAT, protoze ma par stanic, switch a spoustu IP adres
c) uzivatel by mel byt poucen ze instalaci NATu prebira plnou zodpovednost za to, ze pocitace za nim dokazi dobre komunikovat s okolim. Sdruzeni mu nemuze moc pomoci, jsou to jeho pocitace.
d) bude-li uzivatel brecet, ze "mi nejde internet" a zjisti se, ze je to spatne nastavenym NATem, bude "servan". Stejne jako pri rizeni auta neomlouva, ze ridic nema zkousky a ridicak...

O realnem vyuzivani hlasovych sluzeb na siti klFree neexistuji relevantni data. Fakt, ze MilanK a Japan hodlali poskytovat komercni IP telefonii pro rozhodovani o siti snad hraje pouze minoritni roli. Tedy ani tento argument neni platny - je pouze zastupny.

Prakticky jediny rozumny pozadavek z duvodu spravy site je, aby uzivatelovo zarizeni pripojene do site klFree spravne odpovidalo na ICMP protokol, a (utopie) podporovalo r/o SNMP pro vnejsi sitove rozhrani. ICMP je dulezite pro kontrolu "ze to jede" :)