From: Ilker Temir (ilker@ilkertemir.com)
Date: Thu 12 May 2005 - 17:18:58 EEST
Bu konuda yaygın bir kavram karmaşası var. NAT (Network Address
Translation) ve PAT (Port Address Translation) yöntemleri birbirlerinden
kısmen farklı kavramlar. Yaygın olarak kullanılan NAT terimi aslında
genellikle PAT yerine -doğru olmadan- kullanılıyor.
Özetle, NAT adreslerin bire-bir çevirimi için kullanılır. Bu, iç ağdaki
bir ağı dış ağdaki bir IP'ye adreslemek şeklinde gerçekleşir. Birden
fazla IP birden fazla IP'ye de adreslenebilir. Ama her durumda NAT için
adresleme bire bir yapılır. Yani içeride 50 bilgisayarınız varsa, gerçek
NAT bu 50 adresin, dış ağda 50 gerçek IP'ye çevrilmesi anlamına gelir.
PAT ise (Cisco terminolojisinde NAT overloading olarak da geçer) iç ağda
bulunan adreslerin dış ağda daha az sayıda adrese çevrilmesidir. Örneğin
iç ağdaki 50 bilgisayarı dış ağda bir ya da birkaç adrese çevirmek gibi.
Bu durum genellikle -doğru olmadan- NAT olarak adlandırılır ki bu
aslında PAT'tır.
Sizin sorunuza gelince, gerçek NAT yapılan durumlarda çevrilen (dış)
adrese yaptığınız tüm bağlantılar doğrudan iç adrese çevrilirler.
Çevrilen adrese yapılan bir portscan de NAT yapan cihaz tarafından
tamamen iç adrese yansıtılır, yani böyle bir durumda içerideki
sistemlere teorik olarak portscan yapılabilir (herhangi bir filtreleme
yapılmadığı varsayılarak).
PAT kullanılan durumda ise yapılan bağlantlar doğrudan iç ağa
çevrilmeden, çevrimi yapan cihaz tarafınan karşılanır ve yalnızca ilgili
portlar çevrime tabi tutulur. Yani PAT durumunda dış adrese yapacağınız
bir portscan aslında PAT yapan cihaza yönelir. Teorik olarak PAT yapan
cihazın çevrim için seçtiği kaynak portları bu durumda ilginç istisnalar
oluşturabilir ancak bu durumdan duruma değişir ve pratikte istisnai bir
durumun ötesine geçmesi beklenmez.
İlker
Serbulent UNSAL wrote:
> Merhaba
>
> Aklıma takılan bir konu var. Eğer firewallda nat yapılıyorsa dmz
> dışındaki tüm ağ port taramalarına karşı güvendemidir ? Bir süredir port
> tarama metodlarını inceliyorum şu ana kadar nat ı geçebilecek bir metod
> göremedim. Firewalking metodlarını anlatan dokümanlarda genelde
> "ulaşmaya çalıştığınız makina nat arkasında ise metod kullanılamaz" türü
> ibareler mevcut. Sizlerin fikirleri nedir ?
>
> _______________________________________________
> Linux-guvenlik mailing list
> Linux-guvenlik@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik