Natolás letiltása

Linux-haladó

Natolás letiltása

  • 2451 megtekintés

( andrej_ v | 2005. 07. 11., h – 20:03 )

[quote:3a1656f531="smucilu"]Ehez kapcsolódon nekem is lenne egy kérdésem, szintén dunaweb a szolgáltató és azt írták hogy minden server program tiltott így sshd sem futhat, ezt ki tudom védeni hogy elrakom a 22portrol vagy ez kevés lesz??

Nem hiszem hogy tiltjak a portokat, de el a 2222-es portra és heló. Egyébként sem árt ha nem standard porton figyel.

( Dr_Mac | 2005. 07. 11., h – 20:18 )

[quote:5630564cf8="smucilu"]Ehez kapcsolódon nekem is lenne egy kérdésem, szintén dunaweb a szolgáltató és azt írták hogy minden server program tiltott így sshd sem futhat, ezt ki tudom védeni hogy elrakom a 22portrol vagy ez kevés lesz??

Nekem Dunaweb kábeltv-s netem volt, ahol szintén tiltották a szerverüzemeltetést (minden porton).
Ennek ellenére a régi tűzfalgépemre simán be tudtam lépni ssh-val ívülről is és a bittorrent is szépen ment oda-vissza kapcsolódással.

( zoozo | 2005. 07. 05., k – 08:18 )

Lehetséges tökéletesen letiltani a nattal kapcsolat alhálózatok használatát?
Van egy szolgáltató, akinél elő is fizetnék a netre, hacsak nem mondta volna azt a felmérést végző fickó, hogy náluk aztán az 1 engedélyezett gép valóban csak egy gép. Mert oly zseniális rendszergazdájuk van, hogy rajta semmilyen módszerrel nem lehet kifogni.
Nekem csak szükségem lenne arra, hogy több gépet kapcsoljak arra a vonalra. X terminálokkal bár megoldható a probléma legyen bármilyen csikicsuki, de nekem rendes Nat alháló kellene.
Van valamilyen megoldás?, pl. nat port változtatása? régen az volt az antinat védelem, hogy a szolgáltató tiltotta a default nat portot.
Vagy tényleg lenne tökéletes nat letiltó módszer?

( petya | 2005. 07. 05., k – 08:23 )

Nezd meg a csomagok TTLjet, es probald meg felvenni a routeredben.

( orpheus | 2005. 07. 05., k – 09:02 )

Melyik szolgáltatóról van szó? Csak nem a T-Online??? Azok abba is belekötnek, ha túl hangosan fingasz.
Egyébként akiket csak ismerek, mindenhkinél van DSL-router vagy Linux/NAT, és min. 2 gépet használnak. Mindegyikük axelero előfizető, és semmi gond nincs, nem pofáznak vissza.
Nyugodtan NATolj. Ha mégis problemáznak, menj át egy másik korrekt solgáltatóhoz, pl. Drávanet (www.dravanet.hu). Korrekt és tisztességes csapat.

( nc | 2005. 07. 05., k – 09:04 )

Használj OpenBSD-t. Itt volt róla szó:
http://portal.fsn.hu/modules.php?name=News&file=article&sid=2731

Már régen képes elrejteni a natolt alhálózatot.

( drastik | 2005. 07. 05., k – 09:11 )

[quote:c6cf1529ed="zoozo"]Lehetséges tökéletesen letiltani a nattal kapcsolat alhálózatok használatát?
Van egy szolgáltató, akinél elő is fizetnék a netre, hacsak nem mondta volna azt a felmérést végző fickó, hogy náluk aztán az 1 engedélyezett gép valóban csak egy gép. Mert oly zseniális rendszergazdájuk van, hogy rajta semmilyen módszerrel nem lehet kifogni.
Nekem csak szükségem lenne arra, hogy több gépet kapcsoljak arra a vonalra. X terminálokkal bár megoldható a probléma legyen bármilyen csikicsuki, de nekem rendes Nat alháló kellene.
Van valamilyen megoldás?, pl. nat port változtatása? régen az volt az antinat védelem, hogy a szolgáltató tiltotta a default nat portot.
Vagy tényleg lenne tökéletes nat letiltó módszer?

:)))))))

hat ha ilyen ugyes a rendszergazda
biztos valami linuxguru

( nc | 2005. 07. 05., k – 09:14 )

[quote:3848f3aa06="drastik"]
:)))))))

hat ha ilyen ugyes a rendszergazda
biztos valami linuxguru

Szerintem letiltani nem, de megfigyelni tudja. Hát, ha erre van ideje...
Tökéletesen nem értem, miért baj, ha (nem céges) alhálózat veszi igénybe ugyanazt a sávszélességet?
Nekünk otthon 3 gépünk van. Csak nem gondolja a T. szolgáltató, hogy majd egymást fogjuk ütni az internetért és a másik kettőt kinevezem "only local net" gépnek? Nevetséges.

( pete | 2005. 07. 05., k – 09:16 )

Hm. Sajna hiányos a tudásom, nem rémlik hogy lenne "default nat port".

Viszont azt tudom, hogy akik ilyet állítanak, azok kis ****-k akik életükben most először ülnek nagyobb hálózat admin székében.

1000+1 módja van, hogy mégis legyen natod. Miről ismerhetik fel, hogy NAT-olsz?

- a tcp csomagok TTL-je: iptablesben írd át 256-ra minden kimenő csomagét

- forgalom mennyisége: DC-zz, torrentezz az első hónapban a gépről mint állat, 24/7, és ha szólnak, mondd hogy jöjjenek ki megnézni. Mégjobb, ha előre lebeszéled velük, hogy neked "igen nagy" forgalmad van, okés-e :)

- az IP csomagok szekvenciaszámának jellegzetessége: használd az ezt randomizáló patchet, vagy vagy bsd-t

- futtass socks és squid proxykat a megosztó dobozon -> így minden http, ftp és a socks-ot támogató progi kapcsolata a dobozról magáról indul (ez mehet nattal párhuzamosan is)

( nc | 2005. 07. 05., k – 09:20 )

[quote:4cb4cf434e="pete"]Hm. Sajna hiányos a tudásom, nem rémlik hogy lenne "default nat port".

:lol: Na igen. A nat nem egy daemon, hanem egy routolási eljárás. Vagy minek nevezzelek... :wink:

( saati | 2005. 07. 05., k – 09:35 )

[quote:055b50f2d9="norcrys"][quote:055b50f2d9="pete"]Hm. Sajna hiányos a tudásom, nem rémlik hogy lenne "default nat port".

:lol: Na igen. A nat nem egy daemon, hanem egy routolási eljárás. Vagy minek nevezzelek... :wink:

Tenyleg nem daemon de tenyleg van default portrange. Azokat hazudja a natolo routeren tcp es udp portoknak az igazi gepek portjai helyett, vagy megis mit gondoltatok hogy mukodik?
Egyebkent meg a DCzz es Torrentezz sokat semmit sem er, TCP bizonyos tulajdonsagai alapjan meg lehet allapitani hany gep csinalja a forgalmat, ez ellen valo a fennt emilitett obsd (vagy net- illettve freebsd, ezekhez is portoltak mar) pf "scrub" opcioja.

Szerk.:
hmm ujra vegigolvastam mit irtatok, a masodik bekezdesbeli informacio elhangzott mar, csak kisse figyelmetlen voltam.

( nc | 2005. 07. 05., k – 09:59 )

[quote:3d475715e2="saati"]
Tenyleg nem daemon de tenyleg van default portrange. Azokat hazudja a natolo routeren tcp es udp portoknak az igazi gepek portjai helyett, vagy megis mit gondoltatok hogy mukodik?.

Rendben, de mi is ez a "default port range"? Nem a szabad porttartományt osztja ki - 1024...65535? Ezen még nem filóztam...

( FoREE | 2005. 07. 05., k – 10:49 )

Na neeee!

A nat nem portokkal operal. Attol fuggoen, hogy SNAT vagy DNAT a forras vagy a cel IP cimet irja at. A natolast vegzo router pedig megjegyzi, hogy mire irta at, es amikor jon a valasz csomag, akkor a forditottjat vegzi el. Annyi kell hozza, hogy a csomag forward engedelyezve legyen (linuxnal mind kernel, mind "iptables" szinten).

Az "igazi gepek portjai" igy nem jatszanak, mert nem is az igazi gepeknek kuldik a valaszt, hanem a natolast vegzonek, es majd o kuldi el (a forras/cel IP-t modositva) azt az "igazi gepeknek".

http://www.netfilter.org/documentation/HOWTO//NAT-HOWTO-2.html

( nc | 2005. 07. 05., k – 10:55 )

Az IP címet írja át, ez a NAT lényege, de a port kiosztásról tudja, hová kell majd visszafordítani. Mert a visszajött csomagban a natolást végző szerver ip-címe lesz, de hogy hová kell küldeni, az már a kiosztott portszám függvénye.

( FoREE | 2005. 07. 05., k – 11:01 )

a portkiszotásrol?

Ha en a 22 porton kapcsolodok egy DNATolast vegzo gephez, akkor a natolo router atirja a cel ipt valamire es forwardolja azt annak a gepnek. Ennyi. Ha en a 22-es portra kuldtem, akkor arra a portra forwardolja. Linux eseten meg a tuzfalszabalyok feldolgozasa elott megtortenik ez, tehat nem is kell, hogy nyitva legyen a 22-es port a tuzfalon.

Persze atirhatja a cel portot is (--dport 81 -j REDIRECT --to-ports 80), de most nem errol van szo.

Nem ertem hol kerulne ide a portkiosztas....

( FoREE | 2005. 07. 05., k – 11:13 )

vagy nem igy van? hm... tudsz esetleg valami leirast mutatni errol?

koszi

( nc | 2005. 07. 05., k – 11:14 )

A kapcsolatban két port vesz részt. De ne itt beszéljük meg.

( drastik | 2005. 07. 05., k – 12:44 )

johat olyanokrol mar ne is beszeljunk hogy az egesz forgalmat belerakod egy udp-s VPN be es mondjuk az 53as portonkergeted ki a serveredig es majd ott kinatolodik
mert azt megnezem hogy a szolgaltato ebbol mit lat
(neadjisten ssl-el)

( zoozo | 2005. 07. 05., k – 13:56 )

[quote:855ab8a636="drastik"]johat olyanokrol mar ne is beszeljunk hogy az egesz forgalmat belerakod egy udp-s VPN be es mondjuk az 53as portonkergeted ki a serveredig es majd ott kinatolodik
mert azt megnezem hogy a szolgaltato ebbol mit lat
(neadjisten ssl-el)

Erre már én is gondoltam, ez a végső biztos megoldás. Csak annyi baj van vele, hogy meg kell kérnem valamelyik ispnél dolgozó barátomat, hogy passzoljon már egy kis sávszélességet a VPNhez, bár így akár rendes ip címeket is kaphatok a többi géphez. Ha nem muszáj és van olyan megoldás amivel nem kell egy külső server forgalmát terhelnem akkor inkább az, és nem kell szívességet kérnem.

( zoozo | 2005. 07. 05., k – 14:35 )

[quote:4265490c64="orpheus"]Melyik szolgáltatóról van szó? Csak nem a T-Online??? Azok abba is belekötnek, ha túl hangosan fingasz.
Egyébként akiket csak ismerek, mindenhkinél van DSL-router vagy Linux/NAT, és min. 2 gépet használnak. Mindegyikük axelero előfizető, és semmi gond nincs, nem pofáznak vissza.
Nyugodtan NATolj. Ha mégis problemáznak, menj át egy másik korrekt solgáltatóhoz, pl. Drávanet (www.dravanet.hu). Korrekt és tisztességes csapat.

A dunaweb wireless szolgáltatása, vácon és környékén szolgáltatnak. Valószínűleg ők is használnak natot, ez a wirelessesek szokása. Bár mivel azt mondták rendes kívűlről is látható ip címet adnak, VPNel esetleg valami pppoverethernet módon osztogathatják ki a valódi ip címeket.
Másik alternatíva a t-kábel lehetne, de náluk sajnos nemrég bevezették a upc féle havi forgalmi limiteket, ráadásul jóval alasconyabb quotákkal. Pl a 6500as csomag csak 1Gb havonta ami a ami időkben elég kevés.
Lehetne még adsl, ebből viszont sajnos az invitelnek köszönhetően csak 2 van, ők és az enternet. Illetve a mobil szolgáltatók ha végre kijön vmelyik a 3Gvel. Eddig a legkedvezőbbnek a dunaweb tünik, persze csak ha ez a többgépes probléma megoldható.

( smucilu | 2005. 07. 11., h – 14:53 )

Ehez kapcsolódon nekem is lenne egy kérdésem, szintén dunaweb a szolgáltató és azt írták hogy minden server program tiltott így sshd sem futhat, ezt ki tudom védeni hogy elrakom a 22portrol vagy ez kevés lesz??