Kyl*_*ndt 5 networking security firewall hacking nat
网络地址转换 ( NAT ) 似乎充当其背后主机的防火墙,因为它们不可用。虽然我永远不会依赖它作为我的防火墙,但它作为防火墙的失败是什么?
我问这个是出于我所谓的“学术”原因。我知道 NAT 不会保护人们免于进入防火墙设备本身,而且安全层越多越好。我更感兴趣的是如果 NAT 被用于此目的,NAT 本身可能如何被利用。
更新,例如:
一个公网IP:10.10.10.10
一个局域网:192.168.1.1/24
如果来自 LAN 的所有传出流量都有传出 NAT 到 10.10.10.10,并且唯一的其他 NAT 映射是 10.10.10.10 端口 80 映射到 192.168.1.100。如何访问 192.168.1.50 上的端口 22?
使用 NAT,内部网络中的 IP 地址无法从外部网络路由;与防火墙的比较并不完全正确,因为防火墙过滤了通常应该能够通过它的网络流量;NAT 重塑了通常不应该以这种方式流动的流量,允许它在某些特定规则下流动。
防火墙保护一扇原本会打开的门。
NAT 打开了一扇没有门的门。
使用防火墙,您可以允许从外部网络到内部受保护网络的所有流量;使用 NAT 你不能,即使你愿意。
它们是两种完全不同的东西,即使它们经常被混淆;就安全性而言,NAT 后面的私有 IP 网络实际上比防火墙后面的公共 IP 网络更安全。
这正是我所说的;在您的情况下, 192.168.1.50 无法从外部寻址,因此绝对无法访问它,除非您明确地将某些外部 IP/端口转发给它。
| 归档时间: |
|
| 查看次数: |
996 次 |
| 最近记录: |