Názor k článku Omezování IPv6 tunelovacích technologií od Petr M - To ale není protimluv. 1) Pokud se chci dostat...
-
Petr M (neregistrovaný)
To ale není protimluv.
1) Pokud se chci dostat na konkrétní zařízení třeba doma s připojením od WiFi ISP z mobilu, tak mám smůlu. Mobil má neveřejnou IPv4 za NATem (A), která ho schová za veřejnou IP adresu operátora (B), pak je kus transparentní, pak CGNAT u ISP (C), který z toho udělá adresu v místní síti (D), následuje NAT doma, který přechroustá adresu pro zařízení (E). Na jakou konkrétní adresu se chceš z mobilu odkázat? (C) tě kopne na CGNAT, ale ten to zahodí, protože naví, kam s tím dál. (D) by tě teoreticky dostala na domácí router, který si protuneluješ, ale zase nemáš jak paket dostat na konkrétní CGNAT... Takže musíš zaplatit IPv4 od ISP (C až na router) a domácí router nakonfigurovat tak, aby tě poslal z konkrétního portu na konkrétní port konkrétního zařízení. Pro BFU určitě netriviální postup a zbytečně komplikovaný, s dohadováním s ISPíkem. Zprávu na mobil ze zabezpečnovačky protáhneš maximálně jako SMSku, protože mobil nemá viditelnou IP adresu.
2) Tam je kikilión možností, jak škodit. Něco rozbít je obvykle snažší, než to opravit nebo vybudovat:
- NATuje obvykle nějaký router, který spojuje sítě. Úkol routeru je vzít příchozí paket a podle IP adresy ho hodit do příslušné sítě. Router s NATem zná IP adresy vnitřní sítě, takže pokud to nezohledníš v pravidlech firewallu (dropni 192.168.0.0 s maskou 255.255.0.0), normálně ho z WAN prostřelíš. Stačí mít přístup k médiu na straně WAN a síť je tvoje. Otázka je, jak moc práce dá nabořit se WiFinářovi do sítě, to je tak 10 minut. A pokud je v síti jeden zavirovaný router, nemá problém po WAN posílat lokální pakety, který se v klidu předají do vnitřní sítě.
- A když už jsme na WAN, ono je pěkně vidět, že na portu 12345 probíhá nějaká TCP komunikace. Vím adresu NATu, vím porty, vím zdroj. K tomu, abych doručil paket navíc na stroj za NATem, víc nepotřebuju.
- Navíc je ve světě IPv4 rozšířená pověra, že hrozba chodí zvenčí a zastaví to NAT. Pak se dotyčný diví, když si zaviruje jeden stroj ransomwarem a po LAN se to rozšíří i na jiný stroje v rámci sítě.
- a plno dalších možností...
ČLÁNKY DO MAILU