W dniu 2018-12-18 o 03:14, Marcin Debowski pisze:
> W niektórych przypadkach się na to
> nic nie poradzi poza odizolowaniem wrażliwych danych od sieci
> zewnętrznej (i dalszych obostrzeniach).

Dwa lata temu odłączyłem się z roboczym komputerem od sieci aby nie
ryzykować, że ktoś mi zaszyfruje dane (zakładam, że programy takie mogą
być na tyle mądre, że zaszyfrują też wtedy dysk sieciowy z backupem) i
będzie chciał okupu.

Ale nie potrafię uniknąć przekładania między komputerem roboczym a
sieciowym pen-drive'ów :)
P.G.

do góry

Dnia Mon, 17 Dec 2018 18:26:32 +0100, Mirek napisał(a):
> On 17.12.2018 09:34, J.F. wrote:
>> Swoja droga - nie ma jakiejs sztuczki, zeby nawiazac polaczenie
>> bezposrednie miedzy dwoma kompami za dwoma firewallami, bez ciaglego
>> przekazywania pakietow przez trzeci serwer ?
>>
> Tu nie o firewall chyba ci chodzi, tylko o NAT.

DNAT/masquarade/proxy - dobrej nazwy chyba na to nie ma :-)

> Nawiązać się nie da. Jak już nawiążesz, to "trzeci" jest już
> niepotrzebny... chyba, że komuś zmieni się IP albo coś się zrestartuje.
> Na upartego możesz uzgodnić IP i porty telefonicznie...

Ale jak?
Taki typowy DNAT nie wpusci przeciez pakietow, jesli wczesniej nie
wyszlo żądanie nawiazania polaczenia.

J.

do góry

On 18.12.2018 21:06, J.F. wrote:

> Ale jak?
> Taki typowy DNAT nie wpusci przeciez pakietow, jesli wczesniej nie
> wyszlo żądanie nawiazania polaczenia.
>
>
No więc wysyła się to żądanie z obydwu stron. Trzeba tylko znać IP i
porty (do tego służy protokół stun).


--
Mirek.

do góry

On 2018-12-18, J.F. <j...@p...onet.pl> wrote:
> Dnia Mon, 17 Dec 2018 18:26:32 +0100, Mirek napisał(a):
>> On 17.12.2018 09:34, J.F. wrote:
>> Nawiązać się nie da. Jak już nawiążesz, to "trzeci" jest już
>> niepotrzebny... chyba, że komuś zmieni się IP albo coś się zrestartuje.
>> Na upartego możesz uzgodnić IP i porty telefonicznie...
>
> Ale jak?
> Taki typowy DNAT nie wpusci przeciez pakietow, jesli wczesniej nie
> wyszlo żądanie nawiazania polaczenia.

Nie znam szczegółów, ale wystarczy że coś gdzies poslesz (spróbujesz
posłać na zewnątrz) a masz już na zewnątrz otwarty port, którym będzie
mozliwa komunikacja w drugą stronę (dostanie odpowiedzi) - host A.
Nalezy teraz tylko poinformowac innego uczestnika wymiany (host B) co to
za port. Do tego słuzy trzeci uczestnik (C) (bo B tez jest za NATem).
A jak go nie ma to jedyny sposób to przeskanowanie lub walenie na oslep
po całym zakresie portów A (połaczyć się, zobaczyć czy otwarty, jak
otwarty to czy to co na nim słucha jest to czego chcemy), co niektóre
programy robią, a co jest niezbyt eleganckie.

--
Marcin

do góry

On 2018-12-18, Piotr Gałka <p...@c...pl> wrote:
> W dniu 2018-12-18 o 03:14, Marcin Debowski pisze:
>> W niektórych przypadkach się na to
>> nic nie poradzi poza odizolowaniem wrażliwych danych od sieci
>> zewnętrznej (i dalszych obostrzeniach).
>
> Dwa lata temu odłączyłem się z roboczym komputerem od sieci aby nie
> ryzykować, że ktoś mi zaszyfruje dane (zakładam, że programy takie mogą
> być na tyle mądre, że zaszyfrują też wtedy dysk sieciowy z backupem) i
> będzie chciał okupu.

W zalezności od tego jakie mogłyby być straty i ilości danych robiłbym
tez okresowe backupy (np. raz na tydzień), które są fizycznie odłaczone
od stacji roboczej.

> Ale nie potrafię uniknąć przekładania między komputerem roboczym a
> sieciowym pen-drive'ów :)

Wszystko pod Windows?

--
Marcin

do góry

On Tue, 18 Dec 2018 23:06:53 +0100, Mirek wrote:
> On 18.12.2018 21:06, J.F. wrote:
>
>> Ale jak?
>> Taki typowy DNAT nie wpusci przeciez pakietow, jesli wczesniej nie
>> wyszlo żądanie nawiazania polaczenia.
>>
>>
> No więc wysyła się to żądanie z obydwu stron. Trzeba tylko znać IP i
> porty (do tego służy protokół stun).

Dodatkowym haczykiem jest tu fakt, że każdemu po drodze może zmieniać się
także port źródłowy, więc nie tak prosto jest trafić jednocześnie i po
omacku na kombinację zgodnych port src1+port dst1+port src2+port dst2.

Mateusz

do góry

Dnia Wed, 19 Dec 2018 00:30:03 GMT, Marcin Debowski napisał(a):
> On 2018-12-18, J.F. <j...@p...onet.pl> wrote:
>>> Nawiązać się nie da. Jak już nawiążesz, to "trzeci" jest już
>>> niepotrzebny... chyba, że komuś zmieni się IP albo coś się zrestartuje.
>>> Na upartego możesz uzgodnić IP i porty telefonicznie...
>>
>> Ale jak?
>> Taki typowy DNAT nie wpusci przeciez pakietow, jesli wczesniej nie
>> wyszlo żądanie nawiazania polaczenia.
>
> Nie znam szczegółów, ale wystarczy że coś gdzies poslesz (spróbujesz
> posłać na zewnątrz) a masz już na zewnątrz otwarty port, którym będzie
> mozliwa komunikacja w drugą stronę (dostanie odpowiedzi) - host A.
> Nalezy teraz tylko poinformowac innego uczestnika wymiany (host B) co to
> za port. Do tego słuzy trzeci uczestnik (C) (bo B tez jest za NATem).

Cos takiego mi wlasnie chodzi po glowie, ale jak zaczalem myslec
... komputer A wysyla pakiet z adres1:port1 do adres2:port2.
Jego DNAT zmienia adres i port zrodlowy na adres3:port3, ale docelowy
zostawia.
I sobie zapamietuje ze przychodzace z adres2:port2 na adres3:port3
kierowac do komputera A, po zmianie celu na adres1:port1.
I odlegly komputer B mogly przeslac dane, gdyby taki pakiet wyslal.

Ale dalej widze schody.
-adres3 powiedzmy ze latwo zgadnac, ale port3 jaki jest ?
tego komp A nie wie.

-jesli komp B wlaczony do internetu bezposrednio, to niby moze
wyslac pakiet z falszywym adresem zrodlowym, ale czy jego dostawca
tego nie obetnie ?
Poza tym to by byla lacznosc w jedna strone, i zupelnie
niepotrzebna, bo wszak mozna prosto do kompa B wyslac pakiety.

-ale mnie interesuje, gdy komp B stoi za podobnym DNAT.
wtedy raczej nie zmusi swojego NAT, zeby zmienil adres na taki jak
sobie zyczy.

Skype faktycznie mnostwo pakietow wysylal, i ciekaw jestem - szukal
szczescia w ustawieniach NAT, czy po prostu wylapywal "serwery" w
sieci.
Bo taka bezserwerowa siec ... ciekawa.

> A jak go nie ma to jedyny sposób to przeskanowanie lub walenie na oslep
> po całym zakresie portów A (połaczyć się, zobaczyć czy otwarty, jak
> otwarty to czy to co na nim słucha jest to czego chcemy), co niektóre
> programy robią, a co jest niezbyt eleganckie.

Dla Skype byc moze, dla innych watpliwe.
No i NAT takiego skanowania nie przepusci.

J.

do góry

Dnia Sat, 15 Dec 2018 13:29:19 +0100, Piotr Gałka napisał(a):
> A dziś widzę:
>
> https://wiadomosci.wp.pl/huawei-na-cenzurowanym-u-so
jusznikow-co-zrobi-polska-6326777739167873a
>
> Skoro Huawei to firma założona przez chińskich szpiegów (nie miałem
> pojęcia) i ręcznie sterowana przez chiński rząd to cieszę się, że go nie
> kupiłem. Właściwie z artykułu wynika, że wszystkie chińskie firmy mogą
> mieć coś z tego.

http://wyborcza.pl/7,156282,24291336,pierwszy-europe
jski-kraj-rezygnuje-z-huawei-na-razie-w-urzedach.htm
l

Czesi wycofuja ... ale ciekawe czy im sie uda - bo to trzeba jakos
uzasadnic w przetargu ...

J.

do góry

On 19.12.2018 09:29, Mateusz Viste wrote:

> Dodatkowym haczykiem jest tu fakt, że każdemu po drodze może zmieniać się
> także port źródłowy,
No z definicji zmienia się przy każdym NAT, ale... nie dam sobie ogolić
głowy ale obstawiam, że typowy, domowy ruter nie zmienia portu
źródłowego jeśli nie ma kolizji z innym połączeniem, a z racji tego, że
porty wybierane są losowo - zdarza się to niezmiernie rzadko (portów
dużo, a urządzeń w sieci lokalnej mało).

--
Mirek.

do góry

On 19.12.2018 09:53, J.F. wrote:

> Bo taka bezserwerowa siec ... ciekawa.
>

Są plusy ujemne i dodatnie. IPv6 umożliwia nadanie każdemu urządzeniu
sieciowemu na Ziemi unikalny, zewnętrzny adres... tylko że właściwie nie
ma takiej potrzeby: jak ktoś potrzebuje to wykupuje stały ip v4 bez
problemu. Przy zamawianiu serwera dedykowanego dostałem do niego 5
stałych adresów... korzystam z jednego.

--
Mirek.

do góry