From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <netch@segfault.kiev.ua>
Date: Fri, 18 Oct 2002 12:05:27 +0300
From: Valentin Nechayev <netch@netch.kiev.ua>
To: community@altlinux.ru
Subject: Re: [Comm] =?koi8-r?B?89fR2tgg0yDLz83Q2MDU?=
	=?koi8-r?B?xdLPzSDawQ==?= NAT
Message-ID: <20021018090527.GH56203@netch.kiev.ua>
References: <3DAEB90C.7090603@hotbox.ru> <3DAEBBFF.8050501@avanto.mpei.ac.ru> <20021017200136.1eee924f.sssku@online.ru> <1034881277.10893.2.camel@nklinux.pp.ru> <20021017234048.275b011e.sssku@online.ru> <20021018060034.GB2562@hell.immo> <20021018104416.27e226b6.sssku@online.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20021018104416.27e226b6.sssku@online.ru>
X-42: On
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
X-Reply-To: netch@netch.kiev.ua
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20021018090527.GH56203@netch.kiev.ua/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

 Fri, Oct 18, 2002 at 10:44:16, sssku wrote about "Re: [Comm] Связь с компьютером за NAT": 

> Алексей, я, ведь, тоже озорник. Я тоже использовал для доступа к
> своей рабочей станции RAS под NT, а ещё удобнее через WinView
> (WinFrame). В последнем случае работаешь из дома на
> удалённой рабочей станции и можешь запускать любые программы,
> установленные на ней. Трафик маленький. Жутко удобно!
> Но _сейчас_ я говорю, что так делать нельзя. И нельзя в этом

Вот простой пример, когда это действительно нужно и можно: через static NAT
пробрасываются входящие на порт 25 на натовый хост - на порт 25 на некоем
тазике внутри сети, который работает mail-сервером. Или то же для порта 80.
Я такие конфигурации вижу на каждом шагу. И почему-то никто не начинает
кричать, что это безумная дыра в защите.

Исходный вопрос был очень близок к этому. А Вам... с моей точки зрения,
Ваши ответы совершенно неадекватны.

> Почему это дыра, я уже объяснил Максиму. Нет контроля за Вашей
> домашней машиной. Трансляция адресов прописана, всё сделано
> аккуратно и профессионально. Но кто в данный момент сидит за
> клавиатурой Вашей домашней машины, никогда не известно точно. Вот
> во внутренней сети за ДМЗ круг лиц всегда определён (известно,
> кто проходил через рамку, кто входил в помещение, открыв его
> своей чиповой картой и т.д.)

Давайте запретим вообще любой доступ по паролю. Это ведь security by
obscurity, не так ли? Каждый может узнать чужой пароль, зажав отдельные
органы в тиски. Только вот в чем фигня - есть масса мест, в которых
такой уровень безопасности _достаточен_, более навороченные меры
_не окупаются_. Я подчеркнул.


/netch