Fordelene med ruter?

[agvg]

jeg mener jeg har tatt certifisering om dette på cisco, jeg forstår ikke etter privat erfaring hva som er dårlig med natting.

Fordi internett opprinnelig og mange tjenester forventer at alle maskiner har egen skikkelig IP hvor man kan snakke direkte med maskinene, NAT klusser til denne filosofien noe seriøst.

Har sett flere Cisco-folk som har store problemer med og fatte disse tingene, jeg synes dette ligger helt opp i dagen, bare ta DCC for IRC eller ørten andre ting som ikke funker gjenom NAT uten at man må fikse på oppsettet og routeren.

NAT er ikke usynlig for hverken bruker eller tjenester som ønskes benyttet.

[simalarion]

(forige post, takk for linkene, skall lese over de) Endret 1. mai 2004 av simalarion

[diablito]

jeg mener jeg har tatt certifisering om dette på cisco, jeg forstår ikke etter privat erfaring hva som er dårlig med natting.

Fordi internett opprinnelig og mange tjenester forventer at alle maskiner har egen skikkelig IP hvor man kan snakke direkte med maskinene, NAT klusser til denne filosofien noe seriøst.

Har sett flere Cisco-folk som har store problemer med og fatte disse tingene, jeg synes dette ligger helt opp i dagen, bare ta DCC for IRC eller ørten andre ting som ikke funker gjenom NAT uten at man må fikse på oppsettet og routeren.

NAT er ikke usynlig for hverken bruker eller tjenester som ønskes benyttet.

NAT er vel en av de enkelttingene som sikrer et lan best mulig alene. Så sikkerhetsmessig så er nat veldig bra! Men nat alene er ikke en god nok sikkerhetsfunksjon, men er VELDIG mye bedre enn ingenting...

 

Og for de aller, aller fleste, så er nat bare en fordel, er veldig lite som ikke vil fungere bak en nat router. Er vel strengt tatt veldig få som trenger å ha en public ip på sin pc... Hvorfor skulle du egentlig trenge det? Gjøre det enklere for andre å ta over kontrollen over sin egen pc?

[simalarion]

Har alleredet skrevet dette selv, var av samme oppfatning, har selv satt opp et par med bruk av isa server, fungerer knall det (natting, firewall, cache funksjon). Men jeg prøver å finne ut av problemstillingen som de har kommet med. Skall lese mellom linkene i morgen eller noe for å se om jeg forstår deres poeng fult ut.

 

Ingen har foresten nevnt dmz sone som noe som også øker sikkerhet, men vi er jo for lengst way of topic

Endret 1. mai 2004 av simalarion

[PureTamil]

Og for de aller, aller fleste, så er nat bare en fordel, er veldig lite som ikke vil fungere bak en nat router. Er vel strengt tatt veldig få som trenger å ha en public ip på sin pc... Hvorfor skulle du egentlig trenge det? Gjøre det enklere for andre å ta over kontrollen over sin egen pc?

Anbefaler også deg å ta en titt på de to RFC-ene jeg refererte til tidligere. Det er seriøse problemer med å bruke NAT som ad-hoc-løsning på IPv4-adressemangelen.

[agvg]

Er vel strengt tatt veldig få som trenger å ha en public ip på sin pc... Hvorfor skulle du egentlig trenge det? Gjøre det enklere for andre å ta over kontrollen over sin egen pc?

Dette er ikke en disskusjon på hva ditt og datt trenger, det er selve prinsippet til internet. NAT bryter med dette prinsippet uansett hvor mye som kan fikles til via NAT.

[Spragleknas]

Har d-link DI-514 ... har den "innebygd" brannmur?'

Tror jeg må åpne neon torrent porter.....

[TheBoz]

Måtte NAT-routere dø en smertefull død i overskuelig fremtid, de ødelegger Internett. Leve IPv6.

*klappe*

 

Er så totalt enig, NAT ødelegger for ganske mye på internett. Har du bare en bridge fra f.eks en levrandør på telenor sitt ADSL nett så koble på en hub/switch og du får utdelt offesielle ip adresser om det ikke er for mange maskiner. Bare tenk på alle tjenestene som får problem av NAT, noe av det som er mest spurt om på diverse forum er problemer med åpning av porter osv osv.

 

NAT er IKKE en sikkerhetsmekanisme, mange stoler på at når de er bak en NAT router så er de trygge men det er IKKE sant. Det er ingen problemer å lage falske pakker som går like lett gjenom en NAT router som en vanlig router. Selv om du er bak NAT så må du ikke slurve med sikkerheten på lokalnettet ditt. Det stopper automatisk ormer og virus, men ikke seriøse hackere som VIL inn.

[pantrax]

NAT er en fin ting, kanskje ikke brukervennlig nok - men en pluss for de som trenger disse løsningene.

 

Nå skal det jo faktisk sies at det fantes en annen løsning tidligere som het NAT, men måtte vike plass for den nye NAT (skifte navn) pga. populariteten denne nye har fått. Om det virkelig bare var for å gjøre slik at flere kunne komme seg på internett i hjemmet så ville det vært nok med en proxy box.

 

Styrken til NAT finner du først og fremst i nettverks administrasjon, et supert verktøy for de som driver på med dette.

Endret 1. mai 2004 av pantrax

[TheBoz]

NAT er en fin ting, kanskje ikke brukervennlig nok - men en pluss for de som trenger disse løsningene.

 

Nå skal det jo faktisk sies at det fantes en annen løsning tidligere som het NAT, men måtte vike plass for den nye NAT (skifte navn) pga. populariteten denne nye har fått. Om det virkelig bare var for å gjøre slik at flere kunne komme seg på internett i hjemmet så ville det vært nok med en proxy box.

 

Styrken til NAT finner du først og fremst i nettverks administrasjon, et supert verktøy for de som driver på med dette.

Det er ikke snakk om brukervenlighet. Det er b.la snakk om at folk som skal utvikle programmer som skal fungere bak en NAT brannmur må bygge det opp på en helt ny og tungvint måte.

 

Det med at det er et fint til nettverksadministrasjon må du også forklare bedre, skjønner ikke at NAT er noe stor fordel her. Folk som uttaler seg sånn tror jeg aldri har arbeidet med et nett som har kun offentlige ip adresser.

[pantrax]

moro.

 

Ikke vær så bestemt bestandig, som oftest lærer man seg noe nytt da.

 

Noe som NAT gjør:

 

1. Du kan dele ett stort nettverk inn i flere deler. Datamaskiner kan bli lagt til, fjernet eller adressene forandret uten at det eksterne nettverket blir berørt. Med inbound mapping kan man også flytte services til en annen pc uten at de eksterne må forandres på noen måte. Er det snakk om en bedrift eller lignende som er helt avhengig av at alt kjører 24/7 så er dette veien å gå.

 

2. Flere NAT gateways har metoder for å begrense tilgangen av internett bruket, eventuelt lukke brukere ute, samtidig har man mulighetene for å logge. Dette kan riktignok bli gjort av annen programvare (squid t.ex).

 

NAT's fordel over proxy er rett og slett at proxy arbeider på applikasjonsnivået og blir for treigt når store mengder maskiner er inne i bildet.

 

Under dette evnet kan man også presse inn konseptet om TCP Load-Balancing, selv om ikke det blir helt rett og burde være en egen post.

 

3. Færre interne servere er synlige ifra utsiden, noe kalt faux sikkerhets prinsipp

 

4. En del NAT gateways opererer på IP nivået og støtter internetworking som gjør at man kan dele opp nettverket i flere subnet ved hjelp av ikke mer enn ett backbone system. Alt dette resulterer i enda lettere administrasjon og at man kan få enda flere maskiner presset inn i nettverket.

 

5. Økt sikkerhet og kontroll over nettverket.

 

Og flere selvsagt.

 

Alt det er snakk om er hvordan du har satt opp nettverket, man kan være kverrulant og holde på med gamle løsninger. En tur i usa ville nok vist hvor ekstremt bruken av NAT virkelig er, og hva den virkelig tillater.

 

Har en litt for tykk bok om NAT her ved siden av meg, og det er rett og slett uendelige muligheter, sålenge man ikke bare går for den første og beste ruteren med webui. I tyngre cli og lignende "grensesnitt" merker man hvor fleksibelt alt kan være.

 

Offentlige IP adresser sier du? Offentlige som i Rådhus, Sykehus og all den vissvassen? Hvordan deres rettningslinjer er pr dags dato er deres problem. Men jeg har vært med en venn av meg som var administrator på et større sykehus og der var flere ledd NAT'et. Var selv og satte opp en NAT installasjon hos et mindre legekontor ute i landet der de aller færreste noen gang har sett en maskin.

 

Eller mener du offentlig som i public? Som sagt, alt står på rettningslinjene. Samme går her som jeg sa om offentlige institusjoner. Vi hadde flere public ip adresser og alt ble mye lettere når vi fikk gått igjennom retningslinjene og bestemt oss for at vi skulle gjennomføre NAT (I en større bedrift ja). Selv om NAT innføres trenges ikke alt å gå igjennom bare en adresse.

Endret 1. mai 2004 av pantrax

[PC^2020]

Kort sagt: Router er en boks man som oftest bruker for å dele internett med flere brukere, dersom man får 1 IP fra isp. De fleste routere har nå til dags fra 1-8 porter ut (switch), noen har integrert modem (Netopia). Routere har som sagt også en innebygd firewall, som blant annet sperrer de fleste porter, og man må manuellt åpne opp de portene man trenger. Dette gir også en god sikkerhet.

Endret 1. mai 2004 av pc^2004

[Spragleknas]

Det er det jeg lurer på; hvordan setter man opp en FW i ruter (har D-link DI-514). Hvilke porter bør være åpne og hvilke bør lukkes etc.

 

finnes det en guide?

[PC^2020]

Første sted: Kikk i manualen, der står det som oftest det med nat, firewall el. Hvilke porter du bør ha åpne er opp til deg.. Det kan være greit å ha oppe porter man bruker itl å sende filer med. Ellers er det ikke så mange som trenger å være åpne. Noen porter som brukes mye:

 

MSN 6891 (?)

FTP 21 (active/server)

80 Web (active/server)

1000 Port du kan bruke til ett eller annet som krever åpen port (noe som alltid dukker opp)

 

Dersom noen programmer (spill) skaper problemer pga at portene er stengt. Så står det som regel hvilken port du skal åpne.

[dakri]

hvis ikke switchen finner klienten på sitt segment sender den pakken på default gateway som er ruteren

Dette er feil. Det er klienten selv finner ut (ved hjelp av subnettmasken) om pakkene skal routes eller sendes direkte til host på lokalnettet. Switchen arbeider vanligvis på lag 2 (med rammer, ikke pakker) og vet ikke hva en IP adresse er.

[Spragleknas]

MSN 6891 (?)

FTP 21 (active/server)

80 Web (active/server)

1000 Port du kan bruke til ett eller annet som krever åpen port (noe som alltid dukker opp)

Dersom bare disse portene er åpne, kan man da la være å bruke FW software?

 

Håper spm. ikke ertotalt fjernt.

Er helt dust på akkurat dette ....

[dakri]

Det er ingen problemer å lage falske pakker som går like lett gjenom en NAT router som en vanlig router.

Jaha? Hvordan skal du få det til? Om pakkene er falske eller ikke så vil de ikke slippe gjennom så lenge du ikke initsierer kommunikasjonen fra innsiden. Altså en pakke må ut gjennom NATinga mot den IP adressen/porten for å åpne for trafikk inn igjen. Tar det som en selvfølge at alle NAT-routere har filter som sperrer pakker med private adresser som kommer inn på Wan/ekstern port. De fleste ISP'er filtrerer sannsynligvis også bort pakker med disse adressene.

[simalarion]

Dette er feil. Det er klienten selv finner ut (ved hjelp av subnettmasken) om pakkene skal routes eller sendes direkte til host på lokalnettet. Switchen arbeider vanligvis på lag 2 (med rammer, ikke pakker) og vet ikke hva en IP adresse er.

 

For å forklare enkelt hva en ruter er forklarte jeg det slik. At det er ipens subnett mask som brukes for å identifiesere segmentet er jeg klar over, prinsippet blir det samme, jeg skulle forklarer forkjellen på switch og ruter.

 

(orker forøvrig ikke noe dypere diskusjon utover dette, jeg vet du har rett, jeg prøvedet å forenkle svaret)

[Spragleknas]

Noen som gidder å svare på spm. mitt over?

[PC^2020]

man trenger hverken firewall på pcen eller i routern.. Jeg har aldri brukt det.. Har sitti ret tpå nett med modem uten FW. Har aldri trengt FW.