Windows Forum > Internet > Routery - udostępnianie Internetu w sieci lokalnej sprzętowe > Adres prywatny od operatora - przeźroczysty filtrujący bridge zamiast podwójnego NAT
Windows Forum > Internet > Routery - udostępnianie Internetu w sieci lokalnej sprzętowe > Adres prywatny od operatora - przeźroczysty filtrujący bridge zamiast podwójnego NAT

Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Tryby wyświetlania wątku

Adres prywatny od operatora - przeźroczysty filtrujący bridge zamiast podwójnego NAT
Avatatar
wfm Online
Super Moderator
******
Liczba postów: 118
Liczba wątków: 13
Dołączył: 05.2018
Reputacja: 10
#1
23.01.2024 12:00 (Ten post był ostatnio modyfikowany: 23.01.2024 12:01 przez wfm.)
Wydzielam temat do nowego wątku. Jeśli od operatora przychodzi adres prywatny, to istnieje opcja zastosowania przeźroczystego mostu filtrującego (Transparent Security Bridge) zamiast podójnego NAT. Stary wątek Element ukryty. Rejestracja zajmie tylko minutę!.

Założenie jest takie, że tworzymy firewall w warstwie drugiej pomiędzy portami WAN i LAN. Ze strony LAN do WAN przepuszczamy wszystko, a ze strony WAN do LANów przepuszczamy tylko pakiety z flagami ESTABLISHED i RELATED.
Ponieważ z założenia nie mamy publicznego IP, nie potrzebujemy NAT-ować sami drugi raz ruchu.

Można taką konfigurację bardzo prosto zrobić na Linuksie - OpenWRT i pewnie na każdym innym firewallu...


Planujemy zrobić sobie PoC-a z tym, żeby zobaczyć czy można nie wymieniać routerów przy upgrejdach łącz w ten sposób.


(22.01.2024 10:28 )Targo napisał(a): No właśnie nie trzeba drugi raz natować. Teraz są uplinki gigabitowe, żeby przenatować gigabit to dużo procesora/prądu trzeba. Lamerska konfiguracja urągająca ekologii.
Transparent filtering bridge Element ukryty. Rejestracja zajmie tylko minutę!. To tylko przykład.



Ile w praktyce szybszy jest taki bridge w porównaniu z NAT na Openwrt.  Oczywiście zakładamy, że pierwszy NAT robi operator na ogromnym firewallu do CGNAT.

Może da się nie kupować nowych routerów przy łączach rzędu 100- 300 megabit...
Szukaj
Odpowiedz
Avatatar
Kingg Offline
Dużo udziela się
***
Liczba postów: 159
Liczba wątków: 24
Dołączył: 05.2018
Reputacja: 21
#2
24.01.2024 18:59 (Ten post był ostatnio modyfikowany: 24.01.2024 19:00 przez Kingg.)
Często od strony "zewnętrznej" czyli na innych adresach z tej samej klasy prywatnej OPERATOR CGNAT nie ma blokady ruchu. Osobiście po obejrzeniu takiego włamu nigdy bym nie zaufał operatorowi, że on mi przenatuje i zabezpieczy ruch.


Cytat:"Założenie jest takie, że tworzymy firewall w warstwie drugiej pomiędzy portami WAN i LAN. Ze strony LAN do WAN przepuszczamy wszystko, a ze strony WAN do LANów przepuszczamy tylko pakiety z flagami ESTABLISHED i RELATED.
Ponieważ z założenia nie mamy publicznego IP, nie potrzebujemy NAT-ować sami drugi raz ruchu. "


Takie zabezpieczenie wygląda na wystarczające + ewentualnie jeszcze kontrola (blokowanie) ruchu między DMZ i innymi wewnętrzymi VLANami na podstawie src/dst address...
Szukaj
Odpowiedz
  


Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Podwójny NAT Niebezpieczeństwo konfiguracji CGNAT oszczędny dostawca i lamerski admin Targo 6 396 24.01.2024 19:03
Ostatni post: Kingg

Skocz do:


Użytkownicy przeglądający ten wątek:
1 gości