[Comm] Связь с компьютером за NAT

Valentin Nechayev =?iso-8859-1?q?netch_=CE=C1_netch=2Ekiev=2Eua?=
Пт Окт 18 13:05:27 MSD 2002


 Fri, Oct 18, 2002 at 10:44:16, sssku wrote about "Re: [Comm] Связь с компьютером за NAT": 

> Алексей, я, ведь, тоже озорник. Я тоже использовал для доступа к
> своей рабочей станции RAS под NT, а ещё удобнее через WinView
> (WinFrame). В последнем случае работаешь из дома на
> удалённой рабочей станции и можешь запускать любые программы,
> установленные на ней. Трафик маленький. Жутко удобно!
> Но _сейчас_ я говорю, что так делать нельзя. И нельзя в этом

Вот простой пример, когда это действительно нужно и можно: через static NAT
пробрасываются входящие на порт 25 на натовый хост - на порт 25 на некоем
тазике внутри сети, который работает mail-сервером. Или то же для порта 80.
Я такие конфигурации вижу на каждом шагу. И почему-то никто не начинает
кричать, что это безумная дыра в защите.

Исходный вопрос был очень близок к этому. А Вам... с моей точки зрения,
Ваши ответы совершенно неадекватны.

> Почему это дыра, я уже объяснил Максиму. Нет контроля за Вашей
> домашней машиной. Трансляция адресов прописана, всё сделано
> аккуратно и профессионально. Но кто в данный момент сидит за
> клавиатурой Вашей домашней машины, никогда не известно точно. Вот
> во внутренней сети за ДМЗ круг лиц всегда определён (известно,
> кто проходил через рамку, кто входил в помещение, открыв его
> своей чиповой картой и т.д.)

Давайте запретим вообще любой доступ по паролю. Это ведь security by
obscurity, не так ли? Каждый может узнать чужой пароль, зажав отдельные
органы в тиски. Только вот в чем фигня - есть масса мест, в которых
такой уровень безопасности _достаточен_, более навороченные меры
_не окупаются_. Я подчеркнул.


/netch



Подробная информация о списке рассылки community