Natolás letiltása

Fórumok

Natolás letiltása

Hozzászólások

[quote:3a1656f531="smucilu"]Ehez kapcsolódon nekem is lenne egy kérdésem, szintén dunaweb a szolgáltató és azt írták hogy minden server program tiltott így sshd sem futhat, ezt ki tudom védeni hogy elrakom a 22portrol vagy ez kevés lesz??

Nem hiszem hogy tiltjak a portokat, de el a 2222-es portra és heló. Egyébként sem árt ha nem standard porton figyel.

[quote:5630564cf8="smucilu"]Ehez kapcsolódon nekem is lenne egy kérdésem, szintén dunaweb a szolgáltató és azt írták hogy minden server program tiltott így sshd sem futhat, ezt ki tudom védeni hogy elrakom a 22portrol vagy ez kevés lesz??

Nekem Dunaweb kábeltv-s netem volt, ahol szintén tiltották a szerverüzemeltetést (minden porton).
Ennek ellenére a régi tűzfalgépemre simán be tudtam lépni ssh-val ívülről is és a bittorrent is szépen ment oda-vissza kapcsolódással.

Lehetséges tökéletesen letiltani a nattal kapcsolat alhálózatok használatát?
Van egy szolgáltató, akinél elő is fizetnék a netre, hacsak nem mondta volna azt a felmérést végző fickó, hogy náluk aztán az 1 engedélyezett gép valóban csak egy gép. Mert oly zseniális rendszergazdájuk van, hogy rajta semmilyen módszerrel nem lehet kifogni.
Nekem csak szükségem lenne arra, hogy több gépet kapcsoljak arra a vonalra. X terminálokkal bár megoldható a probléma legyen bármilyen csikicsuki, de nekem rendes Nat alháló kellene.
Van valamilyen megoldás?, pl. nat port változtatása? régen az volt az antinat védelem, hogy a szolgáltató tiltotta a default nat portot.
Vagy tényleg lenne tökéletes nat letiltó módszer?

Nezd meg a csomagok TTLjet, es probald meg felvenni a routeredben.

Melyik szolgáltatóról van szó? Csak nem a T-Online??? Azok abba is belekötnek, ha túl hangosan fingasz.
Egyébként akiket csak ismerek, mindenhkinél van DSL-router vagy Linux/NAT, és min. 2 gépet használnak. Mindegyikük axelero előfizető, és semmi gond nincs, nem pofáznak vissza.
Nyugodtan NATolj. Ha mégis problemáznak, menj át egy másik korrekt solgáltatóhoz, pl. Drávanet (www.dravanet.hu). Korrekt és tisztességes csapat.

Használj OpenBSD-t. Itt volt róla szó:
http://portal.fsn.hu/modules.php?name=News&file=article&sid=2731

Már régen képes elrejteni a natolt alhálózatot.

[quote:c6cf1529ed="zoozo"]Lehetséges tökéletesen letiltani a nattal kapcsolat alhálózatok használatát?
Van egy szolgáltató, akinél elő is fizetnék a netre, hacsak nem mondta volna azt a felmérést végző fickó, hogy náluk aztán az 1 engedélyezett gép valóban csak egy gép. Mert oly zseniális rendszergazdájuk van, hogy rajta semmilyen módszerrel nem lehet kifogni.
Nekem csak szükségem lenne arra, hogy több gépet kapcsoljak arra a vonalra. X terminálokkal bár megoldható a probléma legyen bármilyen csikicsuki, de nekem rendes Nat alháló kellene.
Van valamilyen megoldás?, pl. nat port változtatása? régen az volt az antinat védelem, hogy a szolgáltató tiltotta a default nat portot.
Vagy tényleg lenne tökéletes nat letiltó módszer?

:)))))))

hat ha ilyen ugyes a rendszergazda
biztos valami linuxguru

[quote:3848f3aa06="drastik"]
:)))))))

hat ha ilyen ugyes a rendszergazda
biztos valami linuxguru

Szerintem letiltani nem, de megfigyelni tudja. Hát, ha erre van ideje...
Tökéletesen nem értem, miért baj, ha (nem céges) alhálózat veszi igénybe ugyanazt a sávszélességet?
Nekünk otthon 3 gépünk van. Csak nem gondolja a T. szolgáltató, hogy majd egymást fogjuk ütni az internetért és a másik kettőt kinevezem "only local net" gépnek? Nevetséges.

Hm. Sajna hiányos a tudásom, nem rémlik hogy lenne "default nat port".

Viszont azt tudom, hogy akik ilyet állítanak, azok kis ****-k akik életükben most először ülnek nagyobb hálózat admin székében.

1000+1 módja van, hogy mégis legyen natod. Miről ismerhetik fel, hogy NAT-olsz?

- a tcp csomagok TTL-je: iptablesben írd át 256-ra minden kimenő csomagét

- forgalom mennyisége: DC-zz, torrentezz az első hónapban a gépről mint állat, 24/7, és ha szólnak, mondd hogy jöjjenek ki megnézni. Mégjobb, ha előre lebeszéled velük, hogy neked "igen nagy" forgalmad van, okés-e :)

- az IP csomagok szekvenciaszámának jellegzetessége: használd az ezt randomizáló patchet, vagy vagy bsd-t

- futtass socks és squid proxykat a megosztó dobozon -> így minden http, ftp és a socks-ot támogató progi kapcsolata a dobozról magáról indul (ez mehet nattal párhuzamosan is)

[quote:4cb4cf434e="pete"]Hm. Sajna hiányos a tudásom, nem rémlik hogy lenne "default nat port".

:lol: Na igen. A nat nem egy daemon, hanem egy routolási eljárás. Vagy minek nevezzelek... :wink:

[quote:055b50f2d9="norcrys"][quote:055b50f2d9="pete"]Hm. Sajna hiányos a tudásom, nem rémlik hogy lenne "default nat port".

:lol: Na igen. A nat nem egy daemon, hanem egy routolási eljárás. Vagy minek nevezzelek... :wink:

Tenyleg nem daemon de tenyleg van default portrange. Azokat hazudja a natolo routeren tcp es udp portoknak az igazi gepek portjai helyett, vagy megis mit gondoltatok hogy mukodik?
Egyebkent meg a DCzz es Torrentezz sokat semmit sem er, TCP bizonyos tulajdonsagai alapjan meg lehet allapitani hany gep csinalja a forgalmat, ez ellen valo a fennt emilitett obsd (vagy net- illettve freebsd, ezekhez is portoltak mar) pf "scrub" opcioja.

Szerk.:
hmm ujra vegigolvastam mit irtatok, a masodik bekezdesbeli informacio elhangzott mar, csak kisse figyelmetlen voltam.

[quote:3d475715e2="saati"]
Tenyleg nem daemon de tenyleg van default portrange. Azokat hazudja a natolo routeren tcp es udp portoknak az igazi gepek portjai helyett, vagy megis mit gondoltatok hogy mukodik?.

Rendben, de mi is ez a "default port range"? Nem a szabad porttartományt osztja ki - 1024...65535? Ezen még nem filóztam...

Na neeee!

A nat nem portokkal operal. Attol fuggoen, hogy SNAT vagy DNAT a forras vagy a cel IP cimet irja at. A natolast vegzo router pedig megjegyzi, hogy mire irta at, es amikor jon a valasz csomag, akkor a forditottjat vegzi el. Annyi kell hozza, hogy a csomag forward engedelyezve legyen (linuxnal mind kernel, mind "iptables" szinten).

Az "igazi gepek portjai" igy nem jatszanak, mert nem is az igazi gepeknek kuldik a valaszt, hanem a natolast vegzonek, es majd o kuldi el (a forras/cel IP-t modositva) azt az "igazi gepeknek".

http://www.netfilter.org/documentation/HOWTO//NAT-HOWTO-2.html

Az IP címet írja át, ez a NAT lényege, de a port kiosztásról tudja, hová kell majd visszafordítani. Mert a visszajött csomagban a natolást végző szerver ip-címe lesz, de hogy hová kell küldeni, az már a kiosztott portszám függvénye.

a portkiszotásrol?

Ha en a 22 porton kapcsolodok egy DNATolast vegzo gephez, akkor a natolo router atirja a cel ipt valamire es forwardolja azt annak a gepnek. Ennyi. Ha en a 22-es portra kuldtem, akkor arra a portra forwardolja. Linux eseten meg a tuzfalszabalyok feldolgozasa elott megtortenik ez, tehat nem is kell, hogy nyitva legyen a 22-es port a tuzfalon.

Persze atirhatja a cel portot is (--dport 81 -j REDIRECT --to-ports 80), de most nem errol van szo.

Nem ertem hol kerulne ide a portkiosztas....

vagy nem igy van? hm... tudsz esetleg valami leirast mutatni errol?

koszi

A kapcsolatban két port vesz részt. De ne itt beszéljük meg.

johat olyanokrol mar ne is beszeljunk hogy az egesz forgalmat belerakod egy udp-s VPN be es mondjuk az 53as portonkergeted ki a serveredig es majd ott kinatolodik
mert azt megnezem hogy a szolgaltato ebbol mit lat
(neadjisten ssl-el)

[quote:855ab8a636="drastik"]johat olyanokrol mar ne is beszeljunk hogy az egesz forgalmat belerakod egy udp-s VPN be es mondjuk az 53as portonkergeted ki a serveredig es majd ott kinatolodik
mert azt megnezem hogy a szolgaltato ebbol mit lat
(neadjisten ssl-el)

Erre már én is gondoltam, ez a végső biztos megoldás. Csak annyi baj van vele, hogy meg kell kérnem valamelyik ispnél dolgozó barátomat, hogy passzoljon már egy kis sávszélességet a VPNhez, bár így akár rendes ip címeket is kaphatok a többi géphez. Ha nem muszáj és van olyan megoldás amivel nem kell egy külső server forgalmát terhelnem akkor inkább az, és nem kell szívességet kérnem.

[quote:4265490c64="orpheus"]Melyik szolgáltatóról van szó? Csak nem a T-Online??? Azok abba is belekötnek, ha túl hangosan fingasz.
Egyébként akiket csak ismerek, mindenhkinél van DSL-router vagy Linux/NAT, és min. 2 gépet használnak. Mindegyikük axelero előfizető, és semmi gond nincs, nem pofáznak vissza.
Nyugodtan NATolj. Ha mégis problemáznak, menj át egy másik korrekt solgáltatóhoz, pl. Drávanet (www.dravanet.hu). Korrekt és tisztességes csapat.

A dunaweb wireless szolgáltatása, vácon és környékén szolgáltatnak. Valószínűleg ők is használnak natot, ez a wirelessesek szokása. Bár mivel azt mondták rendes kívűlről is látható ip címet adnak, VPNel esetleg valami pppoverethernet módon osztogathatják ki a valódi ip címeket.
Másik alternatíva a t-kábel lehetne, de náluk sajnos nemrég bevezették a upc féle havi forgalmi limiteket, ráadásul jóval alasconyabb quotákkal. Pl a 6500as csomag csak 1Gb havonta ami a ami időkben elég kevés.
Lehetne még adsl, ebből viszont sajnos az invitelnek köszönhetően csak 2 van, ők és az enternet. Illetve a mobil szolgáltatók ha végre kijön vmelyik a 3Gvel. Eddig a legkedvezőbbnek a dunaweb tünik, persze csak ha ez a többgépes probléma megoldható.

Ehez kapcsolódon nekem is lenne egy kérdésem, szintén dunaweb a szolgáltató és azt írták hogy minden server program tiltott így sshd sem futhat, ezt ki tudom védeni hogy elrakom a 22portrol vagy ez kevés lesz??