Povšiml jsem si, že při nakonfigurování mikrotiku jako běžný router LAN (192.168.0.1)->WAN (10.0.0.1) + maškaráda nefunguje NAT zcela dle zažitých představ a už vůbec ne podle toho, CO JE UVEDENO V MANUÁLU (3.7). Při provozu z LAN do WAN je vše OK, ale klient (10.0.0.2) připojený na WAN se dopingá na všechny stroje v LAN (např. 192.168.0.2) a klidně si i otevře na těchto PC služby.
Skoro se mi to nechce ani věřit, ale je to tak. Zrovna tak několik firem, které jsou umístěny na LAN z důvodu zabezpečení v oddělených adaptérech ETH1-3 se vidí navzájem a klidně si můžou studovat data konkurence (pokud jdu z jedné sítě do druhé přes NAT a samozřejmě nemají dostatečně zabezpečené své PC) !!!
V každém případě jde o bezpečnostní hazard, který se asi musí řešit odděleně, v manuálu výrobce však o tomto není ani zmínka, spíše naopak, je zde ujištění, ŽE TENTO NAT JE JEDNOSMĚRNÝ.
Očekával bych však IMPLICITNĚ blokaci a pak teprve povolování požadovaných funkcí.
Může tohle někdo potvrdit nebo vyvrátit a event. dát srozumitelné a praxí ověřené řešení, když už se tím manuál nehodlá nějak solidně zabývat?
Vycházím z velmi jednoduché úvahy : buď má 99 proc. uživatelů Mikrotik OS vážnou díru v routeru nebo existují tisíce lidí, kteří ví, jak to pořešit.
Velmi prosím o jedno - vyjadřujte se prosím jen tehdy, pokud máte konkrétní znalosti, které OPRAVDU vedou k řešení problému a chcete se o ně ČITELNĚ podělit.
Děkuji.
mpcz
02/05/2008
