LINUX.ORG.RU

История изменений

Исправление KivApple, (текущая версия) :

По такой логике точно также могут и оставить дефолтный пароль на железке после её замены. Если одна железка отвечает за безопасность всей сети, то нельзя халатно относиться к её настройке. А NAT тут будет лишь затыканием дырок в дуршлаге - есть огромное количество вещей, которые можно «забыть настроить», чем свести на нет всю безопасность.

Я вообще сомневаюсь, что iptables-правила могут «не стартовать». Это надо быть мега-криворуким, а значит по-любому ты налажал и в других местах.

P. S.: Читал статью, что при определённых условиях вполне можно получить доступ к хостам за NAT, несмотря на то, что у них IP из приватного диапазона. «NAT не файервол» значит именно «NAT не средство защиты», а не что-то иное.

Исправление KivApple, :

По такой логике точно также могут и оставить дефолтный пароль на железке после её замены. Если одна железка отвечает за безопасность всей сети, то нельзя халатно относиться к её настройке. А NAT тут будет лишь затыканием дырок в дуршлаге - есть огромное количество вещей, которые можно «забыть настроить», чем свести на нет всю безопасность.

Я вообще сомневаюсь, что iptables-правила могут «не стартовать». Это надо быть мега-криворуким, а значит по-любому ты налажал и в других местах.

P. S.: Читал статью, что при определённых условиях вполне можно получить доступ к хостам за NAT, несмотря на то, что у них IP из приватного диапазона.

Исправление KivApple, :

По такой логике точно также могут и оставить дефолтный пароль на железке после её замены. Если одна железка отвечает за безопасность всей сети, то нельзя халатно относиться к её настройке. А NAT тут будет лишь затыканием дырок в дуршлаге - есть огромное количество вещей, которые может «забыть настроить», чем свести на нет всю безопасность.

Я вообще сомневаюсь, что iptables-правила могут «не стартовать». Это надо быть мега-криворуким, а значит по-любому ты налажал и в других местах.

P. S.: Читал статью, что при определённых условиях вполне можно получить доступ к хостам за NAT, несмотря на то, что у них IP из приватного диапазона.

Исходная версия KivApple, :

По такой логике точно также могут и оставить дефолтный пароль на железке после её замены. Если одна железка отвечает за безопасность всей сети, то нельзя халатно относиться к её настройке. А NAT тут будет лишь затыканием дырок в дуршлаге - есть огромное количество вещей, которые может «забыть настроить», чем свести на нет всю безопасность.

Я вообще сомневаюсь, что iptables-правила могут «не стартовать». Это надо быть мега-криворуким, а значит по-любому ты налажал и в других местах.