Re: NAT vs proxy

To: "debian-italian@lists.debian.org" <debian-italian@lists.debian.org>
Subject: Re: NAT vs proxy
From: Legolas <legolas.info@gmx.net>
Date: Tue, 6 Jul 2004 16:19:05 +0200
Message-id: <[🔎] OF5EE40C94.04062D7A-ONC1256EC9.004D93A9-C1256EC9.004EA702@gmx.net>
In-reply-to: <[🔎] 1088774167.2477.17.camel@debian>

> Un'ultima domanda: ammettiamo che un client Windows voglia utilizzare un
> servizio tipo ICQ che richiede che la porta 123 sia aperta; devo aprirla
> sul server per caso? O il NAT provvede da solo a prendere dal client il
> pacchetto dalla porta 123, lo invia, quindi rimanda il pacchetto di
> ritorno a tale porta?
> Se fosse vera quest'ultima ipotesi sul server basterebbe lasciar aperte
> veramente poche porte (quella della posta, news..). Non sarebbe male,
> come sicurezza.

quella che tu descrivi e' una pratica abbastanza usuale, in cui si 
lasciano chiuse tutte le richieste d'accessi che vengono dall'esterno e si 
fanno passare unicamente quelle che sono risposte a richiesta fatte 
dall'interno...
cosi' sembra contorto...
ora semplifico...

caso 1
-da un indirizzo ip qualunque di internet arriva una richiesta alla mia 
macchina... mettiamo che sia un worm, per esempio blaster, e mettiamo che 
la richiesta sia sulla porta 335 (mi pare sia quella che richiede blaster)
-il mio fw controlla che nessuno ha fatto richiesta per quei dati, quindi 
li blocca e non li fa passare... i tuoi client win sono salvi da 
contaminazione sicura...

caso 2
-chiedo ad un server web una pagina... (apro una richiesta)... che il mio 
fw fa passare dato che proviene dall'interno della rete...
-il server web mi risponde, e il fw capisce che i dati provenienti dal 
server web sono una risposta ad una mia domanda, e non una nuova 
richiesta, come per il worm, quindi li fa passare...

spero di essere stato chiaro...
questo ti assicura di poter fare molte cose dall'interno della tua rete, 
pero' ti da anche una discreta protezione dagli attacchi provenienti 
dall'esterno... pero' se hai bisogno di usare un programma di file 
sharing, o un server web, o altro che *deve accettare nuove richieste 
dall'esterno*, allora non ci sono santi, devi aprire le porte che usano 
quei programmi...



.enjoy.
legolas

CMlug member: http://www.cmlug.org
____________________________________________________________
"Io sono un clown, e faccio collezione di attimi..."
(Heinrich Boll - Opinioni di un clown)

Reply to:

References:
- Re: NAT vs proxy
  - From: Giordano <jordan83@inwind.it>

Prev by Date: [Sid] Suono di notitifica con Evolution 1.4
Next by Date: Re: inn2 + suck
Previous by thread: Re: NAT vs proxy
Next by thread: Re: NAT vs proxy
Index(es):
- Date
- Thread