Port Forwarding

Máš štěstí:Tvůj ISP nastavil v routeru interní IP konfiguraci.Je to relativně bezpečné => Tvůj router se nepodaří hacknout z WAN.Jedině z LAN, pokud ovšem bude napaden nějaký OS v LAN příslušným exploitem.

Milan

No ale tím pádem pokud testuju otevřenost portů třeba na http://www.yougetsignal.com/tools/open-ports/ tak mi u všech portů píše že jsou zavřené a tím pádem třeba v utorrentu nemůžu dosahovat maximálního potenciálu pro upload ne?

To musíš vypnout (nakonfigurovat) firewall na počítači, vypnout (nakonfigurovat) firewall na routeru (pokud tam je), nastavit port forwarding v routeru, spustit nějakou tu aplikaci (torrent), která je schopná odpovídat a teprve pak můžeš testovat. A nebo testovat přímo tím torrentovým klientem.

No mám Netis WF2411 a nemůžu tam najít žádné nastavení firewallu ani vypnout ani zapnout.Windows firewall jsem zkošuel vypínat a uTorrent byl zaplý a stále seedoval a zkoušel jsem checknout port na kterym zrovna jede a byl viděn jako ClosedTak už nevím kde je chyba, mimcohodem ISP se chlubí veřejnou IP u všech tarifů takže bych ji měl mít, dokonce jsem kdysi provedl forwarding úspěšně a to jsem neměnil ISP

Firewallů v PC může být více, jeden je přímo ve Windows, druhý může být součástí nějakého antivirového řešení.

Setkávám se s tím nesmyslem dnes a denně: NAT není zabezpečení. Myslet si opak je hodně nebezpečné :)

Vysvětli prosím, proč si to myslíš. (Jediné, před čím tě neochrání, jsou útoky přímo na router.)

Já spíš nevím proč si myslíš že NAT nějaké zabezpečení poskytuje. Na to slouží firewall. Ano, vnitřní adresy to skryje, ale to je tak všechno. Obejít ho není takový problém a pokud je počítač rozumně zabezpečený, je přínos prakticky nulový. Ten falešný pocit bezpečí opravdu nevýhody NAT nevyváží. Naopak, spousta lidí si myslí že NAT stačí a na konfiguraci firewallu pak kašlou úplně.

Dejte mi odkaz na SOHO síťové zařízení k tomuto účelu používané (obvykle WiFi AP + router + switch), kde není aktivován firewall!

Jak bys ho obešel?

Tak schválně, popíšu vám krásný útok na maškarádu :)192.168.0.1/24 <-> 192.168.0.254/24 MASQUARADE 1.1.1.1/24 <-> 1.1.1.2/24Zařízení s rozhraním 1.1.1.2/24 pošle packet s dstip:192.168.0.1 a nexthop:1.1.1.1/24 . Router s maškarádou packet přijme, a rovnou ho přeroutuje na 192.168.0.1 s tím, že packet nijak nemění. Zpátky 192.168.0.1 odpovídá opět přes router, který může, ale nemusí změnit srcip, ale to je stejně jedno, protože dstip zůstane stejná a útočník tak data dostane tak jako tak.A teď pořádně praštěte hlavou do stolu a už NIKDY nikomu v sítích neraďte.

Ještě dodám, že podobnou vlastnost (spousta lidí to považuje za bezpečnostní prvek, ačkoli není, a v RFC je to jasně napsáno), mají VLAN.VLAN nebo maškaráda nejsou bezpečnostní element. V RFC se u VLAN jasně píše, že bezpečnost mohou, ale nemusí zvýšit, a bude to až druhotný efekt. U maškarády není ani to.U obou je ale jasně napsáno, že to není bezpečnostní element, nikdy tak nebyly plánovány a v žádném případě k tomu nejsou určeny.Jenže pak přijde Vladimir s pocitem, že tomu rozumí, a začne radit, co si myslí. Ti lidé, co to vymýšlejí, nejsou idioti, a ví, co dělají. Za domácí úkol najít útok na VLAN (hint: koukněte, co switch podle normy udělá s rámcem se dvěma VLAN tagy (ne QinQ) ).

Sice jsem dal +1, ale pridavam, ze tohle bude fungovat jen na uplne "hloupych" nebo spatne nastavenych routerech, protoze spravne by melo byt posledni pravidlo "forward DROP" a ten prvni packet neprojde, protoze neni soucasti zadneho existujiciho spojeni.

Forward DROP není pravidlo NATu nebo maškarády, ale bavíme se o stavovém firewallu (SPI).A stavový firewall je něco úplně jiného než překlad adres. Nemá to se samotným NATem nic společného. Akorát obojí bývá běžnou funkcí zařízení "router", stejně jako switch, wifi, DLNA a další služby.

Ale jo, souhlasim. Jenom jsem maskaradu bez stavoveho FW jeste nevidel...

K tomu bych měl jeden dotaz. A jaký router takový útok umožní? Měl jsem za to že dnes i ten sebelacinější shit obsahuje nějaký firewall, který na WAN interface zahodí každý packet, který jako DstIP neobsahuje WAN IP toho routeru.

Ale vždyť o to jde. Tohle zajistí firewall, ne NAT. Bezpečnostní prvek je firewall, ne NAT. To že nejsou zařízení vidět zvenku není bezpečnostní problém, problém je když komunikace na ty na které nemá projde firewallem.

Spousta routerů. Asi všechny profesionální, kde si to SPI musíte zapnout manuálně; ale tam se maškaráda až tolik nepoužívá. Rozhodně je snadné dostat do tohohle stavu třeba Mikrotik. Ubiqity s takovou možností ani nepočítá.Levné domácí routery prozkoumané nemám, ale vy fakt věříte tomu, že se nějaký číňánek o vaši bezpečnost postará, a vy jen počkáte?"Měl jsem za to že dnes i ten sebelacinější shit obsahuje nějaký firewall, který na WAN interface zahodí každý packet, který jako DstIP neobsahuje WAN IP toho routeru." - to nedává moc smysl, protože pak by se to nedalo použít jako router.

Obešla, děkuji. Člověk by řekl že to bude z „přezdívky“ patrné. Jinak to už je myslím výše demonstrované dostatečně. Navíc je každý takový falešný pocit bezpečí nebezpečný sám o sobě. „Nejsem vidět z internetu, jsem v bezpečí“. Nesmysl :)

Je to relativně bezpečné => Tvůj router se nepodaří hacknout z WAN.Jak jste na to přišel?!Neplete si náhodou maškarádu s SPI? Protože skrz NAT samozřejmě pakety proudí oboustranně.Vaše rada je nejen mylná, ale navíc nebezpečná!

Může a nemusí. Pokud má poskytovatel nějaký ceník, kde má veřejnou IP-adresu za poplatek a ty tu položku na faktuře nemáš, bude to normální neveřejná IP-adresa.Pokud nic nenajdeš ve smlouvě, v podmínkách poskytovatele ani na faktuře, zvedni telefon a zeptej se providera, jestli to je NAT 1:1.No a jak by se to konfigurovalo: úplně stejně, jako by byla veřejná IP-adresa přímo na WAN routeru.

Jestli máš veřejnou IP od poskytovatele, pak máš opravdu NAT 1:1 a vše se ti forwarduje na tvou WAN adresu. Pak stačí na routeru forwardovat porty na potřebnou vnitřní IP stejně, jako kdyby ta WAN adresa byla opravdu veřejná.Pokud ovšem nemáš veřejnou IP od poskytovatele, je to obyčejný NAT a máš nejspíš smůlu (setkala jsem se s tím že malý ISP svolil k forwardování jednoho portu ke klientovi i bez "veřejné IP", ale to je spíš výjimka)

A jak poznáš, že je to 1:1? :) Z těch údajů to nelze poznat. A velmi bych se divil, kdyby to tak bylo. Spíš bych řekl, že prostě veřejnou IP nemáš.

Takže jediná metoda jak to zjistit je prostě jim zavolat hádám?

tracert/traceroute nic?

Ne, samozřejmě si to můžete zjistit sám :) prakticky je fuk, jakou technologií to ISP realizoval, v praxi vás zajímá, jestli všechny pakety poslané na danou veřejnou IP dorazí k vám na router.A to zjistíte snadno. Koukněte na mojeip.cz, tam by se měla objevit vaše případná veřejka.Začněte ji pingat z jiného připojení, třeba z mobilu nebo od kamaráda. Pokud bude odpovídat, je to OK, pokud ne, volejte ISP...Jakmile ověříte, že odpovídá, je možné pokročit k druhé části, a odpojit váš router. Jakmile IP odpovídat přestane (a bude odpovídat podle toho, jestli bude router online), vyhrál jste bludišťáka a máte veřejnou IP.Pokud ne, veřejnou IP nemáte, a kontaktujte ISP.

K tomuto mám jedno doplnění. U části:"Začněte ji pingat z jiného připojení, třeba z mobilu nebo od kamaráda. Pokud bude odpovídat, je to OK, pokud ne, volejte ISP..."když nebude router odpovídat na pingání tak je ještě dobré podívat se do nastavení routeru, zda tam na WAN není zakázaná odpověď na ping. Některé routery to tak mají ve výchozím nastavení. A až pak volat na ISP.