NAT это не фаервол, говорили они. Говорили?

NAT технически производит файрволл.

Но если есть в локалке роутер и некое ip4 устройство, порты к которому не проброшены специально, то какие ваши хакерские штучки вы собираетесь применять, чтобы снаружи захачить беззащитное бесфаервольное устройство?

Искать дыры в шлюзе наиболее практично, наверное, но это не точно.

Это как-то мелко. Давайте сразу обсудим, линукс - это ядро или ОС?

Как на счёт компромисса - ядрос?

звучит как название отечественного дистрибутива

https://ru.wikipedia.org/wiki/NAT

https://ru.wikipedia.org/wiki/Межсетевой_экран

А вообще за такой тупизм в техразделах нужно банить.

Предположим WAN 100.69.32.35/19, LAN 192.168.0.0/24
Нехороший человек из WAN прописывает роут к вашему LAN через ваш WAN IP - profit. А нехороших людей больше 8к может быть.

Правильно говорить брандмауэр.

Я же пояснил сразу, что в сетях ни бум-бум ни кукареку.
Теоретически я не оспариваю, да, можно, что угодно.
Как это выполняется практически?

ip route add 192.168.0.0/24 via 100.69.32.35

это тоже самое, что ты заходишь на сайт «А», но тебе ничего не мешает загрузить картинку с сайта «В», <img src=«http://другой-сайт»>

так же тебе ничто не мешает добавить маршрут во внутрь локальной сети, куда ты будешь заходишь через внешний шлюз.

НО. разумеется, в любом приличном шлюзе такое должно быть ограничено. иначе да, это дыра.

а так я согласен с тобой на счёт NAT, тоже всем утверждаю, что это делает сеть более безопаснее. только вот этот момент нужно отфильтровать, чтобы к тебе не ходили из «вне».

прописывает роут к вашему LAN через ваш WAN IP

Здорово конечно, но пакет с адресом назначения в локалке не будет маршутизироваться в интернете. Даже от провайдера он не выйдет.

какие ваши хакерские штучки вы собираетесь применять, чтобы снаружи захачить беззащитное бесфаервольное устройство

Сначала хачим роутер, который даёт NAT, потом всё что за роутером. Изи.

NAT выполняет некоторые функции фаервола.

Да и роутер его выкинет, даже если это смоделировать на столе.

Сначала хачим фаервол, потом всё, что за фаерволом. Изи.

в сетях ни бум-бум ни кукареку.

Значит вам не нужно знать ничего о сетях и не нужно беспокоиться )))

Сначала хачим фаервол

Так-то да.

правильно настроенный фаервол не похачишь.

И даже не очень правильно настроенный. А любом случае нужны уязвимости типа ошибок в обработке пакетов.

Бэкконнект никто не отменял

подобные атаки выполняются из того же сегмента провайдера, что и атакуемая система

все зависит от понятий, это тебе кажный пацан на раёне скажет.

фаервол - «противопожарная стена» - защита от сетевых нападений. одна из функций системы обслуживания сетевых соединений в компуктере.
для не сильно отличающего монитор от системного блока обывателя столь грозное слово приравнялось ко всей сетевой системе.
NAT - другая функция онной сетевой системы.

т.е. это две разные функциональности одной и той же системы, говорить что «одна есть часть другого» ну такое…

для обывателя пофих - главное «шоп работало», если бухгалтерия мне звонит «на на мониторе кнопки нажимаю и ничего не пикает» то это может означать все что угодно…

Один из векторов: ты идёшь на сайт рассматривать чужих мамок в интимных подробностях, там тебе вгружают скриптец который шарится по твоей локалке и трогает твоё беззащитное устройство, пока ты трогаешь себя.

Сейчас явные варианты уже подприкрыли, но варианты как добраться до устройства за NAT есть.

Давайте сразу обсудим, линукс - это ядро или ОС?

Этот сайт.

/thread

ОСъ!!
в линухе таки есть интерфейс пользователя - специальный встроенный в линукс драйвер, который формирует консоль управления на ком-порте.
так что с теоритической точки зрения это ОСъ

Да варианты «пробить» NAT есть, выше вон уже написали. Другое дело, как, совершенно правильно, подал мысль Dark_SavanT: а зачем кому-то напрямую «в лоб» долбиться в сеть, если можно пробить конечного пользователя/устройство в сети (банальная соц.инженерия, переписка с выявлением интересных заголовков/сигнатур, сниффинг при возможности … да дохрена в общем всего придумано для составления топологии и выявления используемого железа/ПО по косвенным признакам).

А там уже, если оказался за NAT-ом да знаешь топологию, то на него, в принципе, и пофигу.

Например, NAT slipstreaming и несколько других штук с samy.pl. Сложно? Маловероятно? Да. Теоретически возможно? Всё-таки, тоже да.

звучит как название отечественного дистрибутива

ЯдрОС 1.0 «Чистый Изумруд».

Сначала хачим роутер, который даёт NAT, потом всё что за роутером. Изи.

Откинув бред тех, кто не понимает нихрена в практической части, а умеет только в теоретические понты типа «правильно говорить брандмауэр», «почитай что такое сети и что называют фаерволом» и прочую хрень «зачем тебе это вообще» резюмирую:

Если захачили роутер, то о чём вообще разговор, ежу понятно, что будет дальше.
А если роутер не захачили, то NAT == firewall т.е. NAT даёт ПРАКТИЧЕСКИЙ эффект.

Так?

Я же и написал про провайдерскую сеть.

Давай глубже, systemd – это система управления сервисами или ОС?

все зависит от понятий

Наверное это та самая ситуация, неплохо описанная потомком одного поедателя грибов.

Я наверное сделал слишком много молчаливых допущений, которые для меня были очевидными, в надежде, что всем понятно следующее: понятия и названия не имеют смысла вообще, а имеет смысл только практический результат.
«Части другого» и пацаны на районе могут обсуждать написание слова брандмауэр до посинения, мне интересна практика.

Я обыватель, мне пофигу, главное «шоп работало», поэтому конкретизирую вопрос:

• Есть роутер, на котором порты НЕ проброшены до моего устройства в LAN
• Роутер никем не захачен
• Пароль admin admin к роутеру ещё не подобрали (ох)
• Сообщники в LAN ещё не проникли (эх)
• Есть устройство в LAN, которое ходит наружу по ip4, но к которому не хотелось бы давать злоумышленнику доступ извне
• Правильность употребления терминов не обсуждается, вопрос исключительно практический

В данном случае NAT == firewall ?
Т.е. является-ли NAT тем барьером, который поможет уберечь устройство внутри LAN от посягательств снаружи?

NAT одна из функций фаервола. У фаервола их значительно больше, чем просто трансляция адресов.

Если тебе это неясно, жуй бамбук и закусывай шпинатом пока не вырастёшь, троллить ты ещё не умеешь)

ты идёшь на сайт рассматривать чужих мамок в интимных подробностях

Я их обычно рассматриваю из специально запущенной виртуалки, да ещё и в инкогнито режиме, да ещё и ublock стоит (ой, да ещё как), и после этого стираю образ виртуалки каждый раз и разворачиваю новый для следующей попытки.

Но это не входило же в условия задачи, или как?
В следующий раз я буду описывать граничные условия максимально подробно, чтобы не мамки не мешали NATу как таковому.

варианты как добраться до устройства за NAT есть

Каковы они, если отбросить (ох, нихачу, но надо) мамок и захачивание роутеров?

Тут постоянно все тыкают носом нубов типа меня, что NAT это не фаервол.

Ну хорошо, не фаервол.
Но

1. nat меняет проходящий пакет и не может гарантировать отсутствие трафика ПРИ ВСЕХ обстоятельствах.
2. файровол не меняет пакет, но может гарантировать полную блокировку трафика.

Даже от провайдера он не выйдет.

А в сетях провайдера? :)))

NAT выполняет некоторые функции фаервола.

Не выполняет, а эквивавалентен.

т.е. с ПРАКТИЧЕСКОЙ точки зрения, если отбросить словоблудие и рассуждения о терминологии:
То, что существует то, что называется NAT - это уже защищает устройства в локальной ip4 сети от посягательств извне так же, а то и лучше, как если бы сто умников закрывали это, выставленное наружу, устройство десятью фаерволами.
Так?

Т.к. я ничего не понимаю ни в сетях, ни в фаерволах

Поставь в виртуалку win2000 или на худой конец win7 и изучи всю справку винды от общей справки до справки к отдельным окошкам, кнопкам и галочкам, там всё очень хорошо объеснено.

Нет не так, потому что нат эквивалентен части функций фаервола, но фаерволом не является.

Лучше изучи программу iptables и возможно nfilter (или как там её правильно)

Нет, не так. Простой пример, у вас есть роутер не прикрытый никакими fw, кто-то в локалке прова подбирает ваш admin:admin - profit

Тогда как?

Вот вопрос NAT это не фаервол, говорили они. Говорили? (комментарий)

Важен ответ на последнее предложение. Практический, не теоретический.

кто-то в локалке прова подбирает ваш admin:admin - profit

Вроде все с виду умные, а несут какую-то несусветную хрень, даже на фоне меня, полного лохопеда по сетям.
Ну зачем гипотетических админ паролев сюда сувать, мамок и хакинг роутера.

Nat слишком обобщенное понятие, но если рассматривать в терминах классических правил то нет, nat тут никак не поможет.

Я не гипотетический привёл, в локалке моего прова такой болтается.

У фервола есть точно такая же админка с точно таким же веб-интерфейсом, к которому точно так же можно подобрать пароль.

Похоже, что такое NAT (точнее одна его фунция) ты примерно понимаешь. Теперь почитай что такое фаервол и ответишь сам на свой вопрос.

В общем случае ответ на твой вопрос НЕТ. В частных на тебя будут смотреть как на дурака, что сейчас здесь и происходит.

Если его не настроить.

ну ровно то же можно сказать про роутер с натом. Да и то я сомневаюсь, что у многих роутеров веб-интерфейс доступен извне, а у фаерволов - ну я по крайней мере такой точно видел, fortinet какой-то. Обычно веб-интерфейс роутера доступен из вайфая, раньше вообще только из внутреннего эзернета, что уже отсекает большинство атакующих из интернета.

Я извиняюсь, да. Мне надо было сразу написать, что про дебилов в топике мне не интересно. Мне интересно про несуществующий мир, где хоть у кого-то пароль не admin admin

Но теперь то всё встало на свои места, я же сразу написал, что требуется ответ от профессионалов. И вот на тебе, они тут и собрались порассуждать про admin admin и про то, что для того, чтобы пробраться в чужую сеть надо сначала захачить роутер или подсунуть мамок генеральному директору по развитию науки.

Недостаёт здесь только программистов-олимпиадников, но и они уже на подходе, подозреваю.

Есть методы прохождения сквозь нат. Погугли немного, найдешь описания векторов атак. Обычно одно из звеньев в этих векторах - браузеры