# [OT] NAT e IPv6

## Kernel78

 *devilheart wrote:*   

> non li risolve. semplicemente ci saranno così tanti indirizzi a disposizione per ogni persone che non serviranno più gli indirizzi privati

 

io continuerò a preferire la mia bella rete nattata così continuo ad avere un unico punto di accesso su cui concentrare le mie policy di sicurezza invece che doverle replicare per N macchine ...

/EDIT:splittata da questa discussione

----------

## devilheart

 *Kernel78 wrote:*   

> 
> 
> io continuerò a preferire la mia bella rete nattata così continuo ad avere un unico punto di accesso su cui concentrare le mie policy di sicurezza invece che doverle replicare per N macchine ...

 senza nat è uguale. hai comunque un unico router attraverso il quale passa tutto

----------

## Kernel78

 *devilheart wrote:*   

>  *Kernel78 wrote:*   
> 
> io continuerò a preferire la mia bella rete nattata così continuo ad avere un unico punto di accesso su cui concentrare le mie policy di sicurezza invece che doverle replicare per N macchine ... senza nat è uguale. hai comunque un unico router attraverso il quale passa tutto

 

scusa ma senza il nat il router come fa a capire verso quale dei pc della rete locare instradare una risposta ?

----------

## devilheart

beh, gli algoritmi di routing servono proprio a questo. è la presenza del nat a complicare notevolmente le cose. senza nat i pc dietro al router sono direttamente accessibili alla rete esterna tramite il loro indirizzo pubblico e non serve più fare forwarding. tutti i pacchetti in transito comunque devono passare attraverso il router, il quale ovviamente può fare filtering

----------

## Kernel78

 *devilheart wrote:*   

> beh, gli algoritmi di routing servono proprio a questo. è la presenza del nat a complicare notevolmente le cose. senza nat i pc dietro al router sono direttamente accessibili alla rete esterna tramite il loro indirizzo pubblico e non serve più fare forwarding. tutti i pacchetti in transito comunque devono passare attraverso il router, il quale ovviamente può fare filtering

 

mi sa che non ci capiamo ... adesso io ho un unico indirizzo ip pubblico e N privati quindi il NAT è obbligatorio ma anche se avessi la possibilità di mettere su internet ogni dispositivo che adesso è nella rete interna io non lo farei e continuerei a tenermi un unico ip pubblico e a nattare le connessioni ...

----------

## devilheart

ho capito la tua situazione e l'assenza del nat non influisce in alcun modo sulla sicurezza, inoltre liberi il router dal gravoso compito di tenere le tabelle nat

----------

## Kernel78

 *devilheart wrote:*   

> ho capito la tua situazione e l'assenza del nat non influisce in alcun modo sulla sicurezza, inoltre liberi il router dal gravoso compito di tenere le tabelle nat

 

ma se pure tu hai scritto  *Quote:*   

> senza nat i pc dietro al router sono direttamente accessibili alla rete esterna tramite il loro indirizzo pubblico

  ... ok che puoi sempre filtrare ma sei più esposto e anche solo una svista può fare danni mentre se sei nattato devi esplicitamente aprirti all'esterno ...

----------

## devilheart

 *Kernel78 wrote:*   

> ok che puoi sempre filtrare ma sei più esposto e anche solo una svista può fare danni mentre se sei nattato devi esplicitamente aprirti all'esterno ...

 di basta mettere un filtro sullo stato della connessione e simuli il nat da questo punto di vista, in modo anche più sicuro

----------

## Kernel78

 *devilheart wrote:*   

>  *Kernel78 wrote:*   ok che puoi sempre filtrare ma sei più esposto e anche solo una svista può fare danni mentre se sei nattato devi esplicitamente aprirti all'esterno ... di basta mettere un filtro sullo stato della connessione e simuli il nat da questo punto di vista, in modo anche più sicuro

 

adesso non vorrei dare l'impressione di impuntarmi perchè non conosco benissimo l'argomento e quindi non vorrei fare figure di cacca ...

il NAT è l'unico modo per far uscire più macchine con un unico ip pubblico e una volta che il NAT è attivo tu devi esplicitamente forwardare ogni porta a cui possa interessarti dare accesso da internet alla tua rete e da fuori non si può sapere quale sia l'ip delle macchine interne ...

avendo invece tutti i dispositivi visibili dall'esterno devi esplicitamente bloccare tutte le connessioni in input (salvo le established) per ottenere lo stesso effetto ...

A questo punto a parità di stato il NAT di da di default quello che altrimenti dovresti implementare (anche se è una cavolata) ma guarda tu quante reti wifi aperte ci sono perchè gli idioti non sanno nulla di sicurezza ...

Inoltre non riesco a vedere l'utilità di avere un ip per ogni dispositivo, liberi il router da un carico di lavoro da quantificare e basta ... a meno che tu non voglia mettere tutti i dispositivi con la stessa porta in ascolto contemporaneamente ... se blocchi le connessioni in ingresso o se non hai servizi aperti su internet non te ne fai nulla di avere un ip per dispositivo ...

----------

## devilheart

 *Kernel78 wrote:*   

> il NAT è l'unico modo per far uscire più macchine con un unico ip pubblico e una volta che il NAT è attivo tu devi esplicitamente forwardare ogni porta a cui possa interessarti dare accesso da internet alla tua rete e da fuori non si può sapere quale sia l'ip delle macchine interne ...

 si, giusto

 *Quote:*   

> avendo invece tutti i dispositivi visibili dall'esterno devi esplicitamente bloccare tutte le connessioni in input (salvo le established) per ottenere lo stesso effetto ...
> 
> 

 quasi giusto. in realà ti basta bloccare tutto quello che viene da fuori ed è nello stato NEW, si fa con 2 righe in iptables

 *Quote:*   

> A questo punto a parità di stato il NAT di da di default quello che altrimenti dovresti implementare (anche se è una cavolata) ma guarda tu quante reti wifi aperte ci sono perchè gli idioti non sanno nulla di sicurezza ...

 però il NAT non è un sistema di sicurezza, non è mai stato concepito come tale ed è anche una soluzione poco elegante ed è costoso da gestire

 *Quote:*   

> Inoltre non riesco a vedere l'utilità di avere un ip per ogni dispositivo, liberi il router da un carico di lavoro da quantificare e basta ... a meno che tu non voglia mettere tutti i dispositivi con la stessa porta in ascolto contemporaneamente ... se blocchi le connessioni in ingresso o se non hai servizi aperti su internet non te ne fai nulla di avere un ip per dispositivo ...

 il senso è appunto quello di offrire più servizi sulla stessa porta

senza contare che liberi il router dal gravoso compito di gestire il masquerading (che pesa sul ping e su tutto il p2p)

----------

## Kernel78

 *devilheart wrote:*   

>  *Quote:*   avendo invece tutti i dispositivi visibili dall'esterno devi esplicitamente bloccare tutte le connessioni in input (salvo le established) per ottenere lo stesso effetto ...
> 
>  quasi giusto. in realà ti basta bloccare tutto quello che viene da fuori ed è nello stato NEW, si fa con 2 righe in iptables
> 
> 

 

è proprio quello a cui mi riferivo ...

 *Quote:*   

> 
> 
>  *Quote:*   Inoltre non riesco a vedere l'utilità di avere un ip per ogni dispositivo, liberi il router da un carico di lavoro da quantificare e basta ... a meno che tu non voglia mettere tutti i dispositivi con la stessa porta in ascolto contemporaneamente ... se blocchi le connessioni in ingresso o se non hai servizi aperti su internet non te ne fai nulla di avere un ip per dispositivo ... il senso è appunto quello di offrire più servizi sulla stessa porta
> 
> 

 

si, tutti noi abbiamo il disperato bisogno di mettere su internet il microonde, la tv, il videoregistratore e il frigorifero e tutti con ssh attivo  :Laughing: 

Io attivo ssh su una macchina (o openvpn) e da li raggiungo il resto della rete, meno punti di rotture maggiore sicurezza ...

 *Quote:*   

> 
> 
> senza contare che liberi il router dal gravoso compito di gestire il masquerading (che pesa sul ping e su tutto il p2p)

 

quello che pesa sul p2p IMHO è ben altro ... una volta che la banda è congestionata te ne fai poco di far uscire tutti i dispositivi con un ip univoco ...

----------

## devilheart

 *Quote:*   

> 
> 
> si, tutti noi abbiamo il disperato bisogno di mettere su internet il microonde, la tv, il videoregistratore e il frigorifero e tutti con ssh attivo 
> 
> Io attivo ssh su una macchina (o openvpn) e da li raggiungo il resto della rete, meno punti di rotture maggiore sicurezza ...
> ...

 elettrodomestici no, ma un paio di pc si. tutti con la possibilità di accedere a risorse condivise dall esterno

è anche una questione di efficienza, il masquerading costa, e non poco

 *Quote:*   

> 
> 
> quello che pesa sul p2p IMHO è ben altro ... una volta che la banda è congestionata te ne fai poco di far uscire tutti i dispositivi con un ip univoco ...

 

quello che pesa sul p2p è la tabella nat del router che si satura e fa cadere tutta la connessione

----------

## Kernel78

 *devilheart wrote:*   

> elettrodomestici no, ma un paio di pc si. tutti con la possibilità di accedere a risorse condivise dall esterno
> 
> è anche una questione di efficienza, il masquerading costa, e non poco
> 
> 

 

io a quel punto preferisco una vpn, è anche una questione di punti di rottura, più ne esistono maggiori sono i rischi alla sicurezza ... anche se non sapendo quantificare il costo del masquerading non posso fare un'analisi approfondita ...

 *Quote:*   

> 
> 
> quello che pesa sul p2p è la tabella nat del router che si satura e fa cadere tutta la connessione

 

OT nell'OT con l'adsl 4mb hai circa 30kb/s in uscita e 400kb/s in entrata, va da se che per scaricare a 300kb/s servono 10 utenti che condividono al massimo delle proprie risorse ...va da se che la velocità di download può essere elevata solo dal momento in cui esistono più seed che leech visto che la banda messa a disposizione del torrent (l'upstream globale) è nettamente inferiore al massimo downstream globale ... ovvero non esiste ne in cielo ne in terra che tutti scarichino al massimo, la velocità massima media del download è sempre quella media minima dell'upload che fa da collo di bottiglia ...

----------

## devilheart

 *Kernel78 wrote:*   

> io a quel punto preferisco una vpn, è anche una questione di punti di rottura, più ne esistono maggiori sono i rischi alla sicurezza ... 

 non è una soluzione attuabile in ambienti dove non è possibile configurare una vpn (basta pensare al pc dell'amico o ad un pc pubblico dell'università)

comunque senza nat c'è comunque un solo punto di rottura, il router

 *Quote:*   

> anche se non sapendo quantificare il costo del masquerading non posso fare un'analisi approfondita ...

 al di la del fattore efficienza, nat ha tutta una serie di problemi che lo rendono poco adatto, sia dal punto di vista delle reti in generale, sia da quello della sicurezza

 *Quote:*   

> OT nell'OT con l'adsl 4mb hai circa 30kb/s in uscita e 400kb/s in entrata, va da se che per scaricare a 300kb/s servono 10 utenti che condividono al massimo delle proprie risorse ...va da se che la velocità di download può essere elevata solo dal momento in cui esistono più seed che leech visto che la banda messa a disposizione del torrent (l'upstream globale) è nettamente inferiore al massimo downstream globale ... ovvero non esiste ne in cielo ne in terra che tutti scarichino al massimo, la velocità massima media del download è sempre quella media minima dell'upload che fa da collo di bottiglia ...

 

la banda è irrilevante. nat può gestire al massimo 65536 connessioni nattate. oltre questo limite il router si impalla (e sui router domestici succede anche prima)

----------

## Kernel78

 *devilheart wrote:*   

>  *Kernel78 wrote:*   io a quel punto preferisco una vpn, è anche una questione di punti di rottura, più ne esistono maggiori sono i rischi alla sicurezza ...  non è una soluzione attuabile in ambienti dove non è possibile configurare una vpn (basta pensare al pc dell'amico o ad un pc pubblico dell'università)
> 
> 

 

dall'università come anche da altre reti di cui non sei l'amministratore forse c'è un motivo per cui non ti fanno mettere servizi in ascolto sulla tua macchina ... e non è che avendo la disposizione di un ip pubblico per dispositivo le questioni di sicurezza decadano ... se tu potessi mettere in ascolto un servizio l'amministratore non potrebbe più garantire la sicurezza ... cosa ti fermerebbe dal mettere in ascolto un telnet con la password di root ?

Per quanto riguarda la macchina (ma per la nostra discussione è meglio parlare di reti) del tuo amico non capisco il concetto, se non ti fa installare una vp forse non ti fa nemmeno mettere in piedi un server verso internet ? o no ? non conosco le esigenze dei tuoi amici ...

 *Quote:*   

> 
> 
> comunque senza nat c'è comunque un solo punto di rottura, il router
> 
> 

 

 *Quote:*   

> 
> 
>  *Quote:*   anche se non sapendo quantificare il costo del masquerading non posso fare un'analisi approfondita ... al di la del fattore efficienza, nat ha tutta una serie di problemi che lo rendono poco adatto, sia dal punto di vista delle reti in generale, sia da quello della sicurezza
> 
> 

 

come ho già detto non sono un esperto, potresti fornirmi dei riferimenti per approfondire ?

 *Quote:*   

> 
> 
> la banda è irrilevante. nat può gestire al massimo 65536 connessioni nattate. oltre questo limite il router si impalla (e sui router domestici succede anche prima)

 

400 kb/s distribuiti su 65536 connessioni significa che ogni connessione trasmette solo 6 byte al secondo ... se veramente il protocollo ha bisogno di aprire tutte quelle connessioni mi sa che il protocollo è fatto da skifo ...

----------

## devilheart

 *Kernel78 wrote:*   

> dall'università come anche da altre reti di cui non sei l'amministratore forse c'è un motivo per cui non ti fanno mettere servizi in ascolto sulla tua macchina ... e non è che avendo la disposizione di un ip pubblico per dispositivo le questioni di sicurezza decadano ... se tu potessi mettere in ascolto un servizio l'amministratore non potrebbe più garantire la sicurezza ... cosa ti fermerebbe dal mettere in ascolto un telnet con la password di root ?
> 
> Per quanto riguarda la macchina (ma per la nostra discussione è meglio parlare di reti) del tuo amico non capisco il concetto, se non ti fa installare una vp forse non ti fa nemmeno mettere in piedi un server verso internet ? o no ? non conosco le esigenze dei tuoi amici ...
> 
> 

 non hai capito. intendevo, accedere da pc pubblici (non miei o comunque dove non posso installare una vpn) ai server della mia rete domestica

 *Quote:*   

> come ho già detto non sono un esperto, potresti fornirmi dei riferimenti per approfondire ?

 diciamo che i problemi principali del nat sono questi

1)viola la stratificazione. per far funzionare nat è necessario fare assunzioni su ciò che uno strato inserisce nella parte dati. questo è proprio ciò che si vuole evitare usando una pila di protocolli

2)trasforma una rete a commutazione di pacchetto in una rete a commutazione di circuito con tutti i problemi del caso. se cade un router nat cadono tutte le connessioni, con buona pace di ip che cerca di trovare strade alternative in caso di problemi. ora se questo non è grave a casa dove basta riavviare il router e premere su ricarica, ciò non è accettabile su scale più grandi (basta pensare a fastweb)

3)nat funziona grazie al campo porta sorgente dei protocolli tcp e udp. questo impedisce l'uso di altri protocolli di trasporto con nat

4)nat non funziona con protocolli applicativi che inseriscono indirizzi al di fuori dell'intestazione ip. FTP è uno di questi e farlo funzionare con nat è stato complesso

5)poiche i campi porta sorgente di tcp e udp sono da 16bit, su ogni indirizzo ip possono essere nattate al massimo 61440 connessioni (le altre porte non possono essere usate a questo scopo). pensare che sono abbastanza è un grave errore, lo stesso che hanno commesso coloro che hanno deciso che 32bit di indirizzi ip sono sufficienti

6)nat non è uno strumento di sicurezza, è solo un tampone nell'attesa che ipv6 sostituisca ipv4. cercare di usare nat il più possibile non è accettabile

7)solo per la rete privata di classe A grazie a nat ci sono 16 milioni di indirizzi ip che non possono essere usati

 *Quote:*   

> 
> 
> 400 kb/s distribuiti su 65536 connessioni significa che ogni connessione trasmette solo 6 byte al secondo ... se veramente il protocollo ha bisogno di aprire tutte quelle connessioni mi sa che il protocollo è fatto da skifo ...

 

basta pensare ad emule o bittorrent che aprono tantissime connessioni per la loro stessa natura di p2p (una per ogni fonte, senza contare quelle per la ricerca e simili). aggiungi il fatto che col tempo ci saranno sempre più persone che usano programmi simili dietro ad un unico ip e che i router domesitici per forza di cose supportano un numero di connessioni nattate inferiore a quello teorico prima di crashare ed hai ottenuto la ricetta per il disastroLast edited by devilheart on Tue Aug 12, 2008 6:11 pm; edited 1 time in total

----------

## X-Act!

 *Kernel78 wrote:*   

> il NAT è l'unico modo per far uscire più macchine con un unico ip pubblico e una volta che il NAT è attivo tu devi esplicitamente forwardare ogni porta a cui possa interessarti dare accesso da internet alla tua rete e da fuori non si può sapere quale sia l'ip delle macchine interne ...
> 
> avendo invece tutti i dispositivi visibili dall'esterno devi esplicitamente bloccare tutte le connessioni in input (salvo le established) per ottenere lo stesso effetto ...
> 
> A questo punto a parità di stato il NAT di da di default quello che altrimenti dovresti implementare (anche se è una cavolata) ma guarda tu quante reti wifi aperte ci sono perchè gli idioti non sanno nulla di sicurezza ...

 

Questo non è il comportamento di default di un protocollo (che forse non ha neanche troppo senso), è il comportamento di default dei comuni router casalinghi!

Mi aspetto che quando ci sarà ipv6 i router casalinghi avranno le due righe di iptable impostate di default in modo da dare un pizzico di sicurezza all'utente che non sa di che stiamo parlando.

 *Kernel78 wrote:*   

> Io attivo ssh su una macchina (o openvpn) e da li raggiungo il resto della rete, meno punti di rotture maggiore sicurezza

 

O non ho ben capito cosa intendi, oppure mi sembra una contraddizione: con "punti di rottura" intendi i cosidetti "single point of failure"? Se si, introducendo un server vpn ne hai uno in più e non uno in meno: se cade il tuo server vpn non raggiungi più nessuna macchina della rete...

----------

