From: Ozgur Akan (akan@aiqa.com)
Date: Thu 12 May 2005 - 16:34:14 EEST
Network Address Port Translation, or NAPT is a method by
which many network addresses and their TCP/UDP (Transmission Control
Protocol/User Datagram Protocol) ports are translated into a single
network address and its TCP/UDP ports.
http://rfc.net/rfc3022.html gerekli bilgileri alabilirsiniz.
Özgür Akan
IHSAN TURKMEN wrote:
>
> Arkadaşlar..
> Nacizane tecrübe ve bilgilerimden bu konuda bir kavram kargaşası ya da
> yanlış bilgilendirme sahibi olduğunuzu düşünüyorum. NAT ve PAT , dan
> başka terim duymadım. NAT adress, PAT da port translation anlamında
> kullanılıyor. Ama NAPT diye bir terimle karşılaşmamış olmama rağmen
> (NAT/PAT ok) NAPT de hem ADDRESS hem de PORT translationun aynı anda
> yapılması olsa gerek.
>
> Port scanining olayına gelince, port scaning NAT ya da PAT ile
> engellenemez. Bu teknik olarak mümkün değildir, sadece bir IDS ile bu
> geçekleştirilebilir, ya da iptables da burst/burst-rate gibi bir
> limitasyonla engellenebilir (ki pek tavsiye etmem). Şöyleki bir kaynak
> ip adresinden bir noktaya belirli bir t süresi dahilinde gelen SYN
> paketlerini sayan ve anormal sayıda aynı adrese connection kurmaya
> çalışan , ya da birden fazla porta t SYN paketi gönderen ip adresleri
> otomatik olarak bloke edilir. Bu teknik bir engellemekten daha ziyade
> artificial-intelligiance ile gerçekleştirilebilien bir savunma
> yöntemidir.
>
> PAT ve NAT kullanıcıya transparent halde çalışır, yani clinet karşı
> tarafta NAT/PAT yapıldığını anlıyamaz. Ve paketlerin process edilişi
> de sadece routing öncesi ya da sonrası ip headerlarının
> firewall/router tarafından on-the-fly değiştirilmnesiyle
> gerçekleştirilir. Port taramaya engel bir durum yapısal durum söz
> konusu değildir.
>
> Saygılar sunarım..
>
>
> İhsan Türkmen
> Hedef Alliance Holding A.Ş.
> Bilgi Sistemleri Direktörlüğü
>
> Namık Kemal Cad. Göztepe Mah.
> Karanfil Sok. No: 62
> 34550 Bağcılar / İstanbul/TR
> Tel : +90 (212) 445 50 95
> Fax: +90 (212) 445 97 54
>
>
>
> *"Tarik Akçin" <t_akcin@hotmail.com>*
> Sent by: linux-guvenlik-bounces@liste.linux.org.tr
>
> 12.05.2005 15:23
> Please respond to
> linux-guvenlik@liste.linux.org.tr
>
>
>
> To
> linux-guvenlik@liste.linux.org.tr
> cc
>
> Subject
> RE: [Linux-guvenlik] NAT ve Port tarama
>
>
>
>
>
>
>
>
>
> Merhaba
>
> Bu konuyu acitiginiz icin tesekkur ederim.
>
> Bunu uzun zamandir bende dusunuyor ve inceliyorum. Bende ayni sonuca
> varabildim. nat yerine napt oldugunda dahada zorlasiyormu?
>
> nat ile napt arasindaki farkida tam olarak anlayabilmis degilim. Bu
> konudada
> bir cevap bulabilirsem bundan cok memnun olacagim. napt port taranslate
> yapiyor. nat ne yapiyor onu tam anlayamadim.
>
>
> Ornegin bir adsl modemde nat yada napt yapiliyorsa, bridge mod olarak
> kullanilmiyorsa bir lan icinde oldugundan lan daki ip ler icin (pc ye
> atanan
> ipler) tarama yapilamamasi lazim. Fakat modem uzerinde dns virtual server
> ftp gibi servisler acilmis ise taramada bunlar gorulebiliyorlar. Yani
> portlar modem uzerinde oluyor ve taramada goruluyor. NAPT de bu isi
> yapiyor.
> pc nin portlari ile modemdeki portlar arasinda taranslate gorevi ...
> ornegin
> 123.32.123.321:2080 ile porta ulasabiliyoruz.
>
> diyelimki alt ip yi (lan ip si) biliyoruz.
>
> 123.321.123.321:123.321.123.321
>
> biciminde yada buna benzer bir usul ile erismek
>
> yada
>
> 123.321.123.321:123.321.123.321:80
>
> gibi ....
>
> pc deki porta erismek
>
> Mumkun olabilirmi acaba
>
> adsl modemerin firewall ozelligi olanlarda, paketler uzerinde, zararli
> yazilim kontrolu yapma ozelligi varmi ....
>
>
>
>
>
>
> >From: Serbulent UNSAL <serbulentunsal@meds.ktu.edu.tr>
> >Reply-To: linux-guvenlik@liste.linux.org.tr
> >To: linux-guvenlik@liste.linux.org.tr
> >Subject: [Linux-guvenlik] NAT ve Port tarama
> >Date: Fri, 13 May 2005 08:38:17 +0300
> >
> >Merhaba
> >
> >Aklıma takılan bir konu var. Eğer firewallda nat yapılıyorsa dmz
> >dışındaki tüm ağ port taramalarına karşı güvendemidir ? Bir süredir port
> >tarama metodlarını inceliyorum şu ana kadar nat ı geçebilecek bir metod
> >göremedim. Firewalking metodlarını anlatan dokümanlarda genelde
> >"ulaşmaya çalıştığınız makina nat arkasında ise metod kullanılamaz" türü
> >ibareler mevcut. Sizlerin fikirleri nedir ?
> >
> >_______________________________________________
> >Linux-guvenlik mailing list
> >Linux-guvenlik@liste.linux.org.tr
> >http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>
>
> _______________________________________________
> Linux-guvenlik mailing list
> Linux-guvenlik@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Linux-guvenlik mailing list
>Linux-guvenlik@liste.linux.org.tr
>http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>
>
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik