On Sat, 14 Aug 2004 22:15:06 +0200
Machoni <machoni@o2.pl> wrote:

> >>racja
> >>
> >>adresy nieroutowalne (niepubliczne) 10.0.0.0 - 10.255.255.255,
> >>172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255, uzywa
> >sie>w zaleznosci od wielkosci podsieci.
> >>
> >>Ale pytanie, czy ten sposob sprawdzania dziala zawsze, przypuscimy
> >ze>mam na desktopie adres 192.168.1.12 (nieroutowalny), czyli
> >zdawaloby>sie ze jestem za natem,
> >>
> >> iptables -t nat -A POSTROUTING -o eth0 -j SNAT
> >> --to-source=adres routera
> >>
> >>ale na routerze jest zrobiony Prerouting:
> >>
> >>z jakiegos adresu routowalnego przydzielonego mi przez uslugodawce
> >na>192.168.1.12 i odwrotnie,
> >>
> >>iptables -t nat -A PREROUTING -d [adres przydz. przez udslugodwc] -j
> >>DNAT --to-destination 10.0.1.4 # niewiem czy do konca poprawne
> >>
> >>chyba wtedy moja maszyna bedzie widoczna z zewnatrz i za netem nie
> >>bede
> >>
> >>jak to jest dokladnie..? i czy wogole tak jest
> >>
> >>
> >>
> >dokładnie jest tak jak myślisz :)
> >
>
> A wlasnie ze nie tak...
>
> 1. Twoja maszyna bedzie widoczna z internetu.
> 2. Bedziesz za NATem (bo to chyba miales na mysli a nie _za netem_ ;)
> )
>
> NAT - Network Address Translation. A wiec jest to nie tylko maskowanie
> wybranych grup adresow innymi adresami (adresem) ale takze maskowanie
> jednego (pojedynczego) adresu innym (pojedynczym) adresem (translacja
> 1 do 1). Pozatym pamietaj ze PREROUTING/POSTROUTING wykonywany jest na
> zewnetrznej stronie routera (dobra, nie czepiac sie... opisowo pisze).
> A wiec po drodze jestes (o ile istnieja) przepuszczany przez inne
> regoly firewalla (iptables).
>
> Pozdroffka
>
>

OK...

Przyznam się że nie o to mi dokładnie chodziło (w końcu nie jestem
specjalistą w tej dziedzinie). Miałem na myśli maskaradę czyli
najczęściej stosowany sposób translacji adresów (1 do wielu) w sieciach
domowych, osiedlowych itp.

Przy PREROUTING/POSTROUTING (czyli NAT - translacja 1 do 1) można się z
zewnątrz "podłączyć" do adresu nierutowalnego (poprawcie mnie jeśli się
mylę). Przy PREROUTING/POSTROUTING adres nierutowalny mapowany (to
określenie jest chyba trafne) jest tożsamy z adresem zewnętrznym na
ruterze - coś jakby alias.

Wracając do zwyczajnej maskarady komp. z seci wew. może czuć się
bezpiecznie bez stosowania firewall'i (poprawcie mnie jeśli się
mylę).

Przy Neostradzie mając zewnętrzny modem "speedtouch 500 series"
translację 1 do 1 włącza się w zakładce "NAPT default server" w pisując
adres wybranego kompa. z seci wew. Standardowo opcja ta jest wylaczona i
dlatego pytałem czy Pani Monika ma modem USB (standardowo translacja 1
do 1) czy zew. na eth (translacja 1 do wielu).

Interesuje mnie czy można się jakoś podłączyć od strony Internetu do
komputera z adresem nierutowalnym przy translacji 1 do wielu (zwykła
maskarada).
Received on Sun Aug 15 00:30:57 2004