OT IPv6 - prakticke zkusenosti

Petr Simek psimek na jcu.cz
Pondělí Říjen 9 14:47:10 CEST 2017


On Mon, 9 Oct 2017, Josef Štengl wrote:

> síťařinu nedělám ale, to že je NAT není FIREWALL je tvrzeno hodně často a 
> vytrvale a dá se najít i proč (dokonce i v čestině).
> Maškaráda je druh NATu. NAT existoval dříve než masquerade - jestli si to 
> ještě správně pamatuji dělá source i destination překlady. Učil jsem se to 
> před, hmm ... 17 lety a už v té době nebyl NAT považován za firewall. 
> Pochybuji, že se to od té doby změnilo, to by musela přijít jiná technologie

Tyhle hadky zda je NAT firewall nebo ne jsou dost usmevne - na vetsine
systemu je NAT funkce/nadstavba firewallu, obvykle se to konfiguruje
stejnym programem,  tedy co umi NAT umi i firewall (obracene to neplati).


> Mimochodem, to chcete říci, že když je více počítačů za NATem na různých 
> síťových rozhraních, tak jsou chráněni i mezi sebou prostým NATem? To je 
> hloupost, že ano, to by se musel dělat NAT pro každě síťově rozhraní.

Stejne tak musite nastavit extra firewall pro kazde rozhrani pokud ma
chranit PC mezi sebou. Ale priznam se ze v praxi jsem jeste nevidel
ze by si nekdo pripojil svoje lokalni pocitace na X interfacu routeru
a routoval (filtroval) mezi nimi. To je dost iluzorni priklad.

> Firewall na routeru umožňuje ochranu i mezi zařízeními na jiném síťovém 
> rozhraní routeru (ne jen příchozí z WLAN). NAT ne.

NAT taky kdyz jej spustite na kazdem/jinem rozhrani routeru :)

> Firewall umožnuje analýzu paketů. NAT ne. A tak dále.

No tu analyzu bych tedy chtel videt. Asi mate na mysli nejake 
komplikovanejsi L3/L4 pravidlo ale analyzou bych to tedy nenazyval.
Zarizenim ktere delaji analyzu sitoveho provozu se tusim rika IPS
(intrusion protection system) a je to docela komplikovany system.
Ale na druhou stranu znam lidi co rikaji SPAM filtru taky firewall.


*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*


Další informace o konferenci Hw-list