robbo2k wrote:

> Jakub Wartak napisał(a):
>
>> Dwa: NAT ma pelno wad, i jakos nie wyobrazam sobie zeby jakikolwiek
>> wiekszy operator dawal prywatne IP, bo istnieja setki protokolow ktore z
>> NATem zbyt dobrze(czytac: wcale) nie wspolpracuja. NAT jest fajny dla
>> firm/organizacji.
>
> Przyklady ? Wiem wiem emule :) Przejscie do NATa jest banalne
> obnizyc cene neo o 25% o ile user stanie za NATem w tym ograniczenia
> portow w imie bezpieczenstwa. Nie pojda na to ?

Nie chodzi o to - beda luzery jeczec ze musi kupic dodatkowa usluge zeby
sobie 'pograc'.

Drugi hint: jak ktos robi abuse np. na jakims serwerze gier. Bana dostaje
cale IP uzywany do NATa i nie dziala powiedzmy kilkuset osobom przez 1
osobe => skargi do dzialu reklamacji itd...

>
>>
>> Biorac teraz pod uwage cos takiego ze ma miejsce wlamanie z natowanego
>> komputera i projektant aplikacji sobie tylko zaloguje
>> $_SERVER['REMOTE_ADDR'] bez portu to takie cale logowanie mozna wyslac
>> do /dev/null.
>>
>> Przyklad ?? Apache:
>> 81.219.XXX.XX - - [21/Aug/2006:00:18:32 +0200] [...]
>> i gdzie tutaj src_port ?
>
> A na grzyba ci port skoro w moich logach wiem ze to 10.13.16.15 chcial
> pomacac 82.219.xxx.xx

Zle. Wyobraz sobie ze masz portal typu wp.pl i kilkuset userow natowanych
pod 1 adres IP. Jeden z twoich userkow wlamuje sie tam/pisze o niewawisci
rasowej/etc. Trwa to ~5 min. Portal nie loguje src_port, tylko URLe, ty zas
nie logujesz URLi bo to zbyt obciazaloby routery. Wyjsc z twojej sieci do
tego IPka jest tak na poziomie: ~3 na sekunde ( TCP SYN na dst_port 80 ).
Nawet majac czas synchronizowany z logow u ciebie i na portalu przez NTP na
nie wiele one sie zdadza, bo nie jestes w stanie wskazac jednoznacznie
adresu za NATem ( jedynie grupe adresow ).

--
Jakub Wartak
http://vnull.pcnet.com.pl/