[Comm] Re: [JT] Связь с компьютером за NAT

Пт Окт 18 13:05:47 MSD 2002

On Fri, Oct 18, 2002 at 12:05:27PM +0300, Valentin Nechayev wrote:
> Вот простой пример, когда это действительно нужно и можно: через static NAT
> пробрасываются входящие на порт 25 на натовый хост - на порт 25 на некоем
> тазике внутри сети, который работает mail-сервером. Или то же для порта 80.
> Я такие конфигурации вижу на каждом шагу. И почему-то никто не начинает
> кричать, что это безумная дыра в защите.

Согласен полностью. 

На мой взгляд, просто не надо забывать что проброс портов посредствам (DNAT) 
представляет просто доступ к внутренему серверу без выделения ему внешнего ip.
Не более того. Это не плохо ни хорошо это просто СПОСОБ (один из многих ) 
организовать доступ. Сам по себе он не обеспечивает защиты. 

К сожалению существует мнение: "Вот мы пробросим, (80|25|53)-ый порт и тем 
самым защитим www сервер от атак". Это не так.

--
Igor Homyakov
<homyakov at altlinux dot ru>
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=190141