Re: NAT ?

To: debian-user-german@lists.debian.org
Subject: Re: NAT ?
From: tbgn <m.salv.tbgn@gmx.ch>
Date: Tue, 12 Nov 2013 17:00:55 +0100
Message-id: <[🔎] 528250B7.8000508@gmx.ch>
In-reply-to: <[🔎] CAGMPS55d3xNNK6TSUFt0J+b8Hx+9w2uoonjoQcm8tsJYKHrZDg@mail.gmail.com>
References: <[🔎] 527EA087.2000007@gmx.de> <[🔎] 527EA685.3000105@gmx.net> <[🔎] CAGMPS54L32Fz66Bi-XGSwvX62Azu8At7ULfzfeLhc3azZ2on1Q@mail.gmail.com> <[🔎] 527EB2F3.9000705@gmx.net> <[🔎] CAGMPS5405nsSWKzrprdTrAohenqwXKwqqU5Xo3L9riT+4jY8Xg@mail.gmail.com> <[🔎] 1384082161.4157.18.camel@klaptop1.neitzel.local> <[🔎] 52814604.2000609@heinzigartig.de> <[🔎] 1384221077.4955.11.camel@alpha> <[🔎] CAGMPS55d3xNNK6TSUFt0J+b8Hx+9w2uoonjoQcm8tsJYKHrZDg@mail.gmail.com>

Bjoern Meier schrieb, Am 12.11.2013 08:26:
> hi,
> 
> Am 12. November 2013 02:51 schrieb Sascha Reißner
> <reiszner@novaplan.at>:
>> @Konrad: NAT schützt dich nur solange, solange kein Eintrag in
>> der NAT steht. ...

Hä ??? NAT Schützt ?

> 
> Apropos Schwachsinn. Offensichtlich wird nach wie vor nicht
> verstanden was NAT ist. Es ist lediglich eine Adressumsetzung.
> 
> Die Liste scheint davon auszugehen, dass man im privaten Netz
> jeden Mist machen kann, solange er von außen nicht erreichbar ist. 
> Blödsinn.
> 
...

Richtig! Ist ja die Abkürzung für Network Address Translation. Von
dieser Funktion gibt es deren drei:

1. Source-NAT
2. Destination-NAT
3. 1:1 NAT

Der Sinn liegt darin, die eingeschränkte Zahl von effektiven
IP-Adressen zu erweitern. So wird das private Netz als ganzes auf eine
einzige externe Netz-IP umgeschrieben.

Wer heute über einen Provider ans Internet angebunden ist hat ja zu
Hause zumeist einen Router der via PPPoE (Point-to-Point Protocol over
Ethernet) und IP-Masquerading zum Provider gelangt, wo er eine
dynamische IP erhält. Was Ihr da noch weiter NAT'en wollt, weiss der
Geier.

Anders sieht die Sache aus, wenn z.B. via Router ein Internes Netz und
ein übergeordnetes Netz, welches Internetanbindung hat verbunden sind.
Dann kann NAT wirklich Sinn machen. Aber dazu nutze ich zumeist 1:1-NAT.
Es ist mir einfach zu Risiko anfällig, das ganze Netz zu portieren.
insbesondere, wenn DHCP in einem der beiden Netze aktiv ist.

Das aber bedingt, dass ich jede berechtigte Adresse explizit erfasse.
Alle nicht eingetragenen Adressen sind so von Aussen nicht erreichbar.
Dabei wird aber für das geschützte Netz auch festgelegt, dass von
Aussen nach Innen prinzipiell keine Anfragen beantwortet werden.

Aber auch diese Sicherheit ist dahin, wenn der berechtigte User eine
kompromittierte Seite anfordert. Da er sie rufen kann, kommt sie
natürlich als Antwort durch! Der Router hilft da gar nichts!

Also Trojaner und Viren gehen da glatt durch...

> 
> Gruß, Björn
> 

Gruss Marino

Reply to:

Follow-Ups:
- Re: NAT ?
  - From: Tim Boneko <tim@boneko.de>
- Re: NAT ?
  - From: Konrad Neitzel <konrad@neitzel.de>

References:
- Virenscanner
  - From: Volker Weißmann <volker.weissmann@gmx.de>
- Re: Virenscanner
  - From: Christoph Schmees <cjws@gmx.net>
- Re: Virenscanner
  - From: Bjoern Meier <bjoern.meier@gmail.com>
- Re: Virenscanner
  - From: Christoph Schmees <cjws@gmx.net>
- Re: Virenscanner
  - From: Bjoern Meier <bjoern.meier@gmail.com>
- Re: Virenscanner
  - From: Konrad Neitzel <konrad@neitzel.de>
- Re: Virenscanner
  - From: Magnus Wagner <magnus@heinzigartig.de>
- Re: Virenscanner
  - From: Sascha Reißner <reiszner@novaplan.at>
- Re: Virenscanner
  - From: Bjoern Meier <bjoern.meier@gmail.com>

Prev by Date: Re: rdesktop: window manager
Next by Date: HTML-Müll, war: Re: rdesktop: window manager
Previous by thread: Re: Virenscanner
Next by thread: Re: NAT ?
Index(es):
- Date
- Thread