Door Anoniem: Poorten openzetten verzwakt volgens mij de bescherming van de server!
Absoluut. Maar een onbereikbare server kun je net zo goed uitzetten, da's nog veiliger.
Door Anoniem: Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)
Of Anoniem 29-09-2018, 17:15 de TS is, weet ik niet zeker, maar dat is de bijdrage waar ik op reageerde.
Door Anoniem: En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.
De verwarring ontstaat mogelijk omdat je niet precies weet wat een "NAT router" doet.
In de basis is NAT (Network Address Translation) het, on-the-fly, wijzigen van IP-adressen in netwerkpakketjes (voor die basisfunctionaliteit heb je geen router nodig). Wat in de volksmond een NAT router heet is een veel complexer apparaat. Het doel daarvan is namelijk om
een REEKS interne IP-adressen te "verstoppen" achter 1 publiek IP-adres.
Een bijwerking van deze techniek (ook bekend als masquerading, zie
https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html) is dat vanaf internet alleen pakketjes naar het publieke IP-adres van de router gestuurd kunnen worden. Vervolgens moet die router "weten" naar
welk intern IP-adres die pakketjes moeten worden gestuurd. Daarvoor heeft zo'n router een NAT-tabel:
Internet
|
| WAN zijde met publiek IP-adres, bijv. 80.80.80.80
[NAT router met NAT tabel]
| LAN zijde - subnet bijv. 192.168.0.0/24
|
+- Device 1: 192.168.0.11
+- Device 2: 192.168.0.12
+- Device 3: 192.168.0.13
etc.
Na aanzetten van de NAT router is de NAT tabel leeg. Als er vanaf internet een pakketje naar 80.80.80.80 wordt gestuurd, heeft de router geen idee naar wel intern device dat pakketje doorgestuurd zou moeten worden (dat zou in de NAT tabel moeten staan, maar die is leeg). Als de router
zelf op een bepaald poortnummer luistert, en het pakketje voor die poort bestemd is, wordt het pakketje aangenomen; anders zal het worden gedropt.
Zodra een intern device een pakketje naar een internet IP-adres stuurt, zal de router een regel
voor de terugweg (voor antwoordpakketjes dus) in de NAT-tabel opnemen. Als device 2 verbinding maakt met https://www.security.nl/ (met IP-adres 82.94.191.109), komt de volgende regel in de tabel:
192.168.0.12:12345 <=> 80.80.80.80:12345 <=> 82.94.191.109:443
Daarbij kan de afzenderpoort 12345 in principe elke willekeurige waarde tussen 0 en 65536 hebben. Antwoordpakketjes van www.security.nl gaan via de omgekeerde route naar device 2.
Als meer dan 1 intern device verbinding maakt met www.security.nl en daarbij toevallig dezelfde afzenderpoorten worden gebruikt, zou de NAT router beide verbindingen niet meer uit elkaar kunnen houden. Daarom is in de praktijk altijd sprake van PNAT - er vindt ook port translation plaats:
192.168.0.12:12345 <=> 80.80.80.80:50000 <=> 82.94.191.109:443
192.168.0.13:12345 <=> 80.80.80.80:50001 <=> 82.94.191.109:443
Zo kan de (P)NAT router antwoordpakketjes naar het juiste device sturen.
Maar wat nu als het interne device 3 een webserver is die vanaf internet bereikbaar moet zijn? Daarvoor kun je een
statische regel in de NAT tabel maken, als volgt:
192.168.0.13:80 <=> 80.80.80.80:80 <=> *:*
Bovenstaande regel zorgt ervoor dat pakketjes vanaf een willekeurig publiek IP-adres met een willekeurig afzenderpoortnummer gestuurd naar 80.80.80.80 met poortnummer 80 worden doorgezet naar de interne webserver. Op die manier kun je dus poorten openzetten in deze "NAT router", die effecief gewoon een firewall is - zonder zo'n "opengezette poort" kunnen interne devices niet vanaf internet worden bereikt, terwijl van
binnenuit geïnitieerde verbindingen wel antwoord kunnen krijgen.
Kortom, wat in de volksmond een "NAT router" wordt genoemd is simpelweg een voorgeconfigureerde firewall die
GEEN netwerkpakketjes van buiten naar binnen toestaat, tenzij het om
antwoordpakketjes gaat - op van binnenuit geïnitieerde verbindingen. Met statische NAT-tabel regels kun je, indien nodig, poorten open zetten (vanaf WAN/internetzijde) voor 1 of meer specifieke interne IP-adressen. Met "dubbele NAT" kan dat op twee plaatsen, en kun je dus verder segmenteren (zie mijn vorige bijdrage).
Overigens raad dit soort low-budget oplossingen af voor professionele ongevingen, behoudens de voorbeelden die ik in mijn vorige hijdrage gaf. Maar voor thuis is dit m.i. prima: lekker goedkoop en eenvoudig te configureren.