[elektro] IP cím

[gyapo]

SZIGETI, you wrote:
SS> Két eset lehetséges. Vagy el kell érni egy portot (szolgáltatást kívülről)
SS> vagy nem. Ha NAT-od van, akkor az adott portot ki kell fordítani, tehát ha
SS> NAT publikus címére érkező kérdés a belső gépen fog landolni. Ha valaki a
SS> külső címet támadja, akkor számára úgy tűnik, mintha  a belsőt érné el.
SS> Ha nincs NAT-od, hanem publikus címed, akkor pontosan ugyanez fog kívülről
SS> látszani.

Ez így van. Van routerem, tehát NAT címe van a gépemnek. Ha el akarom 
érni kívülről ip-címmel, pl. vnc, akkor mintha nem is lenne router, a 
publikus címen az adott port elérhető. Tűzfal nem játszik, mert 
használni akarom a vnc-t. De ezzel egyúttal megnyílt egy támadási 
felület, ami a szolgáltató NAT-jával nincs, igaz, hogy a vnc se megy.
Tehát csökkentek a lehetőségek és ezzel együtt nőtt a biztonság. 
Szerintem, ha a user nem tud megnyitni egy támadási felületet, az a 
biztonság növekedése.

SS> Ha nincs arra szükség, hogy az adott szolgáltatást kívülről elérjék, akkor
SS> pedig egyszerűen a tüzfalon nem kell átengedni az adott /IP-t, portot.
SS> Vagyis kívülről nem lesz elérhető.

De szükségem van rá, mert használni akarom a vnc-t. A maximális 
biztonság a netkábel kihúzása, de ez nem opció.

SS> Ha a szolgálatónál fut a NAT, az egyedül a szolgáltatónak jó, neked pedig
SS> rossz, legalább két okból. Ha kintről el akarsz érni valamit, nem fog
SS> menni. Igaz, ez a felhasználók nagy részénél nem gond. Másrészt pedig van
SS> olyan dolog, ami nem megy NAT-on keresztül és a szolgáltató a kedvedért nem
SS> fogja átállítani a rendszert, pedig lehet, hogy csak valami NAT
SS> paraméterezés a gond. 

Ezt elismerem, rosszabb a NAT mint a publikus ip, de nem erről 
beszélünk, hanem a biztonságról, ami a rosszabb helyzettel együtt nő.

Mi a helyzet a teamviewerrel? Az megy NAT-olt címen is?

Üdv.: gyapo