Чем череват реальный айпишник?
попроси админа чтобы он сделал порт-форвард 
да, спросить-то я могу, но хотелось бы все-таки реальный айпишник, если из-за него не предвидится особого гемора..
трафик входящий денежки стоит: если из инета на тебя ломиться: вирусы крякеры просто добрые люди, то эти денежки с твоего счета утекают.
а это единственная возможная проблема?
если да, то ничего страшного, трафик насколько мне известно бесплатный.
если да, то ничего страшного, трафик насколько мне известно бесплатный.
Основные проблемы с безопасностью возникнут. Как пример - ставишь у себя SMTP-сервер -> косячишь с настройками -> через твой комп пойдут спам-рассылки -> нехилый исходящий трафик и проблемы с провайдером.
Если говорить о возможности самого взлома, то реально NAT защитит не сильно лучше, чем фаерволл на компьютере. Дело в том, что если NAT не пропускает какие-либо пакеты, то с таким же успехом можно настроить и серверный фаерволл так, чтобы он прибивал эти пакеты, а если настраивать NAT на пересылку определённых портов (например для почты то наличие NAT не спасёт от атак на эти порты. Даже с атаками, приводящими к увеличению входящего трафика часто схожая ситуация - если, допустим, на сервере установлен web-сервер, и кто-то устраивает DDoS с какими-нибудь длинными url или чем-нибудь подобным, то если NAT настроен пропускать эти пакеты, то трафик будет ровно таким же. Единственно, что не будет учитываться трафик, который идёт на левые порты, и который будет отсечён NAT'ом - но насколько это в действительности актуально - не знаю, думаю, что не очень актуально в реальности.
Качественно поменяется ситуация, когда сервер вдруг сломают (а этого исключать нельзя). В этом случае ломается и серверный фаерволл, и после этого с компьютера можно рассылать что угодно и по любым портам, что фаерволл на NAT провайдера скорее всего не позволит (хотя смотря как настроить). Да и для взломщиков сервер, имеющий реальный ip, куда более привлекателен, чем сервер за NAT.
Есть промежуточный вариант - завести собственный NAT :-) Продаются самостоятельные внешние устройства, причём самые простые и при этом вполне функциональные варианты стоят совсем немного, какой-нибудь D-Link DI-604 стоит около 30 долларов (насколько он хороший - судить не рискну, возможно стоит более дорогие варианты взять - я пользовался другими и для немного других целей). Вот, он (и любой другой нормальный из дешёвых) умеет и распределять пакеты по ip с зависимости от портов, блокировать определённые порты и т.п. - стандартный набор, короче. Возможно это хуже, чем NAT и фаерволл провайдера, но зато не нужно пинать провайдера, чтобы закрыть или открыть определённый порт - полная свобода.
Качественно поменяется ситуация, когда сервер вдруг сломают (а этого исключать нельзя). В этом случае ломается и серверный фаерволл, и после этого с компьютера можно рассылать что угодно и по любым портам, что фаерволл на NAT провайдера скорее всего не позволит (хотя смотря как настроить). Да и для взломщиков сервер, имеющий реальный ip, куда более привлекателен, чем сервер за NAT.
Есть промежуточный вариант - завести собственный NAT :-) Продаются самостоятельные внешние устройства, причём самые простые и при этом вполне функциональные варианты стоят совсем немного, какой-нибудь D-Link DI-604 стоит около 30 долларов (насколько он хороший - судить не рискну, возможно стоит более дорогие варианты взять - я пользовался другими и для немного других целей). Вот, он (и любой другой нормальный из дешёвых) умеет и распределять пакеты по ip с зависимости от портов, блокировать определённые порты и т.п. - стандартный набор, короче. Возможно это хуже, чем NAT и фаерволл провайдера, но зато не нужно пинать провайдера, чтобы закрыть или открыть определённый порт - полная свобода.
Хороший админ на серваке (скажем на ФриБСДе)должен например ограничить графика по портам, ограничить по количестве одновременных коннектов с каждого ип-адреса, установить систему защиты (snort и другие блокировать все неизпользуемые порты, следить за патчи серверных программ и т.д.
Гибкость в реализации ipfw/iptables/pf/... это то что нет во всех железных устройствах. (тем более в дешевых штуках как Dlink)
Гибкость в реализации ipfw/iptables/pf/... это то что нет во всех железных устройствах. (тем более в дешевых штуках как Dlink)
NAT лучше потому что отсутствуют как факт входящие соединения, а это 80% всех атак.
1) Если отключить все входящие соединения, то большинство атак отпадёт (может быть и больше, чем 80%). А если отключить вообще от сети, то атак станет ещё меньше :-) Я к тому, что нужно сравнивать что-либо при равной функциональности - если нужно открыть полноценный сервис, то по определению нужно открыть порт под этот сервис, а значит и атаковать через этот порт можно. И тоже самое в случае с NAT - если пересылать пакеты с этих портов на сервер, то значит компьютер открыт для атаки.
2) Если рассматривать простые внешние устройства (из тех, что стоят меньше 100 долларов) - то они, конечно, несопоставимы по возможностям с фаерволлом на нормальном bsd сервере. Но они дёшевы, дают небольшую дополнительную защиту и довольно хорошо снизят ущерб в случае взлома, равно как и ценность поломанного компьютера для взломщика. Те, которые я видел (я только с простыми устройствами сталкивался умеют на уровне блокировать/пропускать трафик по порту с каких-то ip (одиночные, диапазон/сеть) на какие-то ip (-//- примерно на этом их возможности и заканчиваются. К сожалению, ни логов они не ведут, и статистики по портам/ip собрать не могут, ни тем более, ограничения трафика по портам/ip они не умеют делать.
С другой стороны - чтобы гибко настроить всё это на NAT провайдера, нужно или самостоятельно настраивать (что врят ли дадут или тесно с админами контачить. Ты можешь представить ситуацию (это я к когда провайдеру, которого в реальности нужно долго пинать на предмет пересылки порта, можно сказать "поставьте мне, чтобы порт NN в случае, если трафик превысит Z для всех ip за исключением подсети KKKK/LL блокировался"? Я даже это смогу настроить (хотя много чего и не смогу но боюсь что админы провайдера будут очень недовольны такими предложениями, особенно если они будут регулярно приходить - они это могут легко настроить, но не захотят, скорее всего.
3) В реальности вполне успешно и достаточно долго в Москве живут виндовые серверы, имеющие реальный статический ip, и при этом у провайдера нет никаких фильтров для этого сервера. Поэтому если не запускать на сервере все сервисы подряд, жёстче настраивать фаерволл, а желательно ещё добавить и страховочный внешний фаерволл (хотя бы из тех, что стоят дешевле 100 долларов) - то на практике этого вполне достаточно, просто так не сломается, а действительно всерьёз ломать никому не нужно - проще сломать домашние dsl компьютеры, куда хуже защищённые, и имеющие вполне реальные ip (пусть и динамические) - по крайней мере для рассылки спама и подобного они не менее полезны, чем поломанные серверы.
2) Если рассматривать простые внешние устройства (из тех, что стоят меньше 100 долларов) - то они, конечно, несопоставимы по возможностям с фаерволлом на нормальном bsd сервере. Но они дёшевы, дают небольшую дополнительную защиту и довольно хорошо снизят ущерб в случае взлома, равно как и ценность поломанного компьютера для взломщика. Те, которые я видел (я только с простыми устройствами сталкивался умеют на уровне блокировать/пропускать трафик по порту с каких-то ip (одиночные, диапазон/сеть) на какие-то ip (-//- примерно на этом их возможности и заканчиваются. К сожалению, ни логов они не ведут, и статистики по портам/ip собрать не могут, ни тем более, ограничения трафика по портам/ip они не умеют делать.
С другой стороны - чтобы гибко настроить всё это на NAT провайдера, нужно или самостоятельно настраивать (что врят ли дадут или тесно с админами контачить. Ты можешь представить ситуацию (это я к когда провайдеру, которого в реальности нужно долго пинать на предмет пересылки порта, можно сказать "поставьте мне, чтобы порт NN в случае, если трафик превысит Z для всех ip за исключением подсети KKKK/LL блокировался"? Я даже это смогу настроить (хотя много чего и не смогу но боюсь что админы провайдера будут очень недовольны такими предложениями, особенно если они будут регулярно приходить - они это могут легко настроить, но не захотят, скорее всего.
3) В реальности вполне успешно и достаточно долго в Москве живут виндовые серверы, имеющие реальный статический ip, и при этом у провайдера нет никаких фильтров для этого сервера. Поэтому если не запускать на сервере все сервисы подряд, жёстче настраивать фаерволл, а желательно ещё добавить и страховочный внешний фаерволл (хотя бы из тех, что стоят дешевле 100 долларов) - то на практике этого вполне достаточно, просто так не сломается, а действительно всерьёз ломать никому не нужно - проще сломать домашние dsl компьютеры, куда хуже защищённые, и имеющие вполне реальные ip (пусть и динамические) - по крайней мере для рассылки спама и подобного они не менее полезны, чем поломанные серверы.
я все понял, всем большое спасибо за подробные ответы (особенно 'y!)
Например, этим:
Например, этим:Касперский (как сам мен, так и программы его конторы) очень любит играть на нервах. Ну попытался вирус какой-то атаковать - любой фаерволл просто прибил бы этот пакет, сделал запись в лог и оставил бы пользователя в покое. Во время массовых эпидемий мой домашний компьютер подвергался атакам несколько раз в минуту, но это глупые вирусы незащищённые компьютеры атакуют. Бывало, когда у меня дома на DSL компьютер целенаправленно атаковали больше, чем на 100 тысяч пакетов в сутки, причём с ip совершенно различных подсетей, но по whois название конторы практически везде одно и тоже было - и ничего, живой вроде (кто-то натравил сеть на ослиные порты, хотя ничего подобного я у себя никогда не держал, смысл совершенно не понятен)... Атак бояться - в инет не ходить. А ещё я знаю реальные примеры виндовых серверов, которые вполне сносно работали и работают (правда проблемы в какие-то моменты бывали (но не серьёзные частично из-за меня - но в таких ситуациях, что странно было, почему они появились так поздно) - и это на реальных статических ip и тарифах с далеко не бесплатным трафиком. А ещё помню, как относительно недавно в универе оставили компьютер с Win98 и открытым фаерволлом на реальном статическом ip (что-то отлаживали, и открыли весь tcp/udp в обе стороны) - ничего за неделю или больше (правда его не так, чтобы очень часто включали) даже ничем не заразили, что даже немного странно. А так - живут же люди...
image skipped
Ещё раз, кратко - в реальности NAT или реальный ip на возможность проведения атаки практически никак не влияет. Атакуют сервисы, работающие на компьютере, и если настроена пересылка пакетов с какого-то порта, то атаковать ничуть не сложнее. Если сервис дырявый - сломают. Если фаерволл на компьютере блокирует порт - то это ничуть не хуже NAT. О ситуациях, когда NAT полезен я уже писал...
Так что не нужно пугать людей. При разумном использовании компьютера (не запускать на нём всё подряд, не открывать все сервисы, настраивать фаерволл) пользоваться реальным ip можно смело (ситуации, когда взлом приведёт к катастрофе вселенского масштаба мы не рассматриваем). Для взломщика настроенный компьютер (с продуманными настройками фаерволла) куда менее привлекателен, чем миллионы американских (или наших стримовских и им подобных) компьютеров, подключённых по DSL с исходящим каналом не менее 512k, имеющих реальные ip, и для владельцев которых слова "ip", "tcp", "port" и прочие сродни белому шуму. Ломают там, где проще, ну или где очень нужно.
Ага.
Только вот например при коннекте с дайлапа МТУ атакуют примерно раз в 10-30 секунд.
Только вот например при коннекте с дайлапа МТУ атакуют примерно раз в 10-30 секунд.
Оставить комментарий
migel
есть потребность открыть на компьютере (виндовом) один сервис для доступа извне, комп подключается к инету через NAT.Скажите, какие могут быть проблемы если выделить для него реальный айпишник?
(если на нем стоит относительно новый каспер и файрвол).
Или может проще (и менее геморнее в дальнейшем) попинать админов чтобы NAT настроили на этот сервис?