On 11/12/2025 09:44, ??x??(R)?? wrote:
>>> Raz mi się zdarzyło, wystawić [...] Od tego czasu lubię CGNAT :)
>> CGNAT to nie jest zabepieczenie.
> Samo w sobie jednak jest

Nie. Jest utrudnieniem. Nie zabezpieczeniem.

> kusi, bo nie działa. Wiem co piszę. Jesteś schowany za NAT dostawcy i
> raczej nic Ci "samo" nie wlezie a dziury w routerze mogą sobie być i nic
> się nie dzieje.

Na router nic nie musi obecnie wchodziś od internetu, może wejśc od
LANu, co jest znacznie łatwiejsze.

>> Atak na urządzenia w LAN, jeśli nastąpi, odbędzie się z wnętrza LAN,
>> przez jakąs dziurawą przeglądarkę czy 0-day w Steam, albo zwykły
>> debilizm suwerena.
> Piszesz o czasach kiedy CGNAT nie istniało. Tepsa, Netia i inni dawali
> publiczne IP

Publiczne IP i technologia NAT nie ma nic wspólnego z opisywanym
scenaruszem ataku, kiedy to *TY* neświadomie atakujesz własny router
własną przeglądarką z wnętrza LANu.

Taki atak może istnieć nawet bez dostępu internetu lub internetem za
firewallem, rodzaj NATa go nie interesuje. User odpala "cycki.exe" i po
milisekundzie ma wstrzyknięty złośliwy kod w routerze na którym nie
zmienił hasła.

> Trafienie przeglądarką i infekcja w LAN to prędzej w Lotto coś wygrasz

Znacznie większe, czego przykładem jest GhostDNS.

> Gdyby GSM nie było za CGNAT to
> miałbyś miliony infekcji w smartfonach

Istnieje masa innych, znacznie bardziej niebezpiecznych metod
infekowania smartfona, niż "przez internet". Przez sklep, przez złośliwy
dokument, przez złośliwą stronę, przez uszkodzone firmware w module Wifi
itd itp. "Skanowanie portów przez złego hackera w koszulca uwalanej
pizzą" to już tylko w Hollywood.

>, wystarczy zainstalować jakąś
> gierkę z dziurą i pozamiatane.

I tuaj wchodzi CGNAT, cały na biało, po czym potyka się o próg i ma
wizytęu dentysty.

> Dla mnie to nie jest hobby ale praca bo w
> tym siedzę od lat więc muszę wiedzieć i zabezpieczać.

Nie rób tego CGNAT, SNATem, DNATem i jakimkolwiek innym NATem.

do góry

W dniu 10.12.2025 o 22:59, heby pisze:
> On 10/12/2025 22:48, io wrote:
>>> Nie sądzę aby ktokolwiek twierdził, że to potrzebne, w tej dyskusji.
>> No nie wiem. Nie było też nic o tym, że potrzebna praca na jednym
>> filesystemie.
>
> Nie było, ale dużo już widziałem problemów związanych z chmurami u
> przeciętnego suwerena, dodzisiaj ludzie wpadają na ten problem uzywajac
> google drive. Przewiduję je i tutaj i od razu przedstawiam alternatywę.
> W dodatku ten fs jest tylko małym klockiem całości ficzerów.
>
>> Ja myślę, że to niewątpliwie interesujące choć ja bym myślał, że taki
>> fs musiałby być rozproszony.
>
> Nie musi. Idea lock na pliku pochodzi z początków Unixa i działa
> dostatecznie dobrze w tym co mamy w LAN. A że nfs/smb przez VPN dziala
> dokładnie tak samo jak lokalny fs, to nic więcej być nie musi, aby te
> techniki były używalne tak samo lokalnie co przez VPN.
>

Póki Ci ten VPN działa i na tyle na ile działa. DFS nie wymaga dużej
prędkości łącza by udostępniać pliki lokalnie z globalnym lockowaniem.

do góry

On 11/12/2025 13:11, io wrote:
> Póki Ci ten VPN działa i na tyle na ile działa.

A jak się popsuje, to będzie popsuty.

I mamy teraz pełną jasność wszystkich wariantów.

> DFS nie wymaga dużej
> prędkości łącza by udostępniać pliki lokalnie z globalnym lockowaniem.

Do działania lockowania na SMB to wystarczytła by tepsa z dial-in.

Zaś do udostępniania 1MB pliku w VPN+SMB vs DFS, zgaduję, wymaga 1MB
pasma tak czy siak.

do góry

W dniu 11.12.2025 o 10:05, heby pisze:

>>> CGNAT to nie jest zabepieczenie.
>> Samo w sobie jednak jest
>
> Nie. Jest utrudnieniem. Nie zabezpieczeniem.

Niczego nie zrozumiałeś z tego co wcześnie napisałem.
Jeszcze raz. Dawniej, kiedy królowały modemy, nie było praktycznie
żadnych zabezpieczeń. Adresy były publiczne i działy się różne cuda na
komputerach podłączanych do Internetu.
Później wjechały routery...i zaczęły się jazdy z routerami + urządzenia
wpięte do nich z jakimś przekierowaniem portów. Piszę o tym wcześniej i
nigdzie nie wkręcam białka, co usilnie próbujesz zrobić.

> Na router nic nie musi obecnie wchodziś od internetu, może wejśc od
> LANu, co jest znacznie łatwiejsze.

Samo? Mnie cały czas chodzi o urządzenia bezbiałkowe, wystawione na
publiczny IP, może być z przekierowania.

>> Piszesz o czasach kiedy CGNAT nie istniało. Tepsa, Netia i inni dawali
>> publiczne IP
>
> Publiczne IP i technologia NAT nie ma nic wspólnego z opisywanym
> scenaruszem ataku, kiedy to *TY* neświadomie atakujesz własny router
> własną przeglądarką z wnętrza LANu.

No waśnie, w ogóle o tym nie piszę i nawet nie mam zamiaru łączyć
jakiegoś nieogara z infekcją od strony LAN. Nie mniej, to już dość stara
sprawa a co najważniejsze, to się to właśnie zmieniło. Masz przykład z
T-Mobile, Inea czy Orange. Routery zostały zablokowane od strony LAN a
konfiguracja ograniczona i sprowadzona od strony WAN, przez apkę dostawcy.
Cały czas piszę o tym, że CGNAT stał się (może nie celowo a ubocznie)
zabezpieczeniem przed brakiem możliwości inicjowania połączeń z
zewnątrz: Tak jak w przypadku standardowego NAT, CGNAT domyślnie blokuje
przychodzące, niezamówione połączenia z Internetu do urządzeń w sieci
użytkownika. Tylko pakiety będące odpowiedzią na ruch wychodzący z sieci
użytkownika są przepuszczane.

Podsumowując:
CGNAT nie jest firewallem ani systemem antywirusowym, ale działa jako
warstwa ochronna, która utrudnia hakerom bezpośrednie ataki na
urządzenia końcowe, ponieważ efektywnie ukrywa sieć prywatną za wspólnym
publicznym adresem i dokładnie o tym piszę a nie o tym co wywijają
userzy na kompach.


--
Pixel(R)??
Albo PiS albo Polska

do góry

W dniu 11.12.2025 o 16:15, heby pisze:
> On 11/12/2025 13:11, io wrote:
>> Póki Ci ten VPN działa i na tyle na ile działa.
>
> A jak się popsuje, to będzie popsuty.
>
> I mamy teraz pełną jasność wszystkich wariantów.
>
>> DFS nie wymaga dużej prędkości łącza by udostępniać pliki lokalnie z
>> globalnym lockowaniem.
>
> Do działania lockowania na SMB to wystarczytła by tepsa z dial-in.
>
> Zaś do udostępniania 1MB pliku w VPN+SMB vs DFS, zgaduję, wymaga 1MB
> pasma tak czy siak.
>

Czemu by tak miało być? To nie przesyłanie plików jak z VPN, tylko
aktywności lecą.

do góry

On Thu, 11 Dec 2025 16:56:31 +0100, ʅǝxᴉꓒ®🇵🇱 wrote:
> W dniu 11.12.2025 o 10:05, heby pisze:
>>>> CGNAT to nie jest zabepieczenie.
>>> Samo w sobie jednak jest
>>
>> Nie. Jest utrudnieniem. Nie zabezpieczeniem.
>
> Niczego nie zrozumiałeś z tego co wcześnie napisałem.
> Jeszcze raz. Dawniej, kiedy królowały modemy, nie było praktycznie
> żadnych zabezpieczeń. Adresy były publiczne i działy się różne cuda na
> komputerach podłączanych do Internetu.

No, takie były czasy - modemów było mało, adresy nie stanowiły
problemu.
A zabezpieczenia ... powinny byc w komputerach i ich systemach
operacyjnych.

> Później wjechały routery...i zaczęły się jazdy z routerami + urządzenia
> wpięte do nich z jakimś przekierowaniem portów. Piszę o tym wcześniej i
> nigdzie nie wkręcam białka, co usilnie próbujesz zrobić.

Wcześniej były routery bez DNAT, i bez zabezpieczeń, i publiczne, a
nawet stałe adresy IP.
I czasem nawet współpracowały z "modemem", takim na stałe łącza.
A od biedy mógł być i dial-up.

A potem:
-adresów zaczęło brakować,
-sieci wewnętrzne, nawet domowe, się rozrosły,
-bezpieczeństwo stało się problemem,
-internet sie spopularyzował ... i dostęp był przez modemy dial-up,
-okazało się, ze wielu ludziom jednostronny dostęp do internetu
wystarczy.

I się okazało, że DNAT rozwiązuje wszystkie problemy naraz.
Więc wlazło do routerów.

A że tworzy nowe ... trzeba było nauczyć się z tym żyć :-)

>> Na router nic nie musi obecnie wchodziś od internetu, może wejśc od
>> LANu, co jest znacznie łatwiejsze.
>
> Samo? Mnie cały czas chodzi o urządzenia bezbiałkowe, wystawione na
> publiczny IP, może być z przekierowania.

Mogą być i białkowe, też ryzyko.
Ale fakt, Ĺźe np drukarki:
-słabo zabezpieczone,
-ktoś może łatwo wydrukować coś zdalnie, a własciciel wcale tego nie
chce ...

>>> Piszesz o czasach kiedy CGNAT nie istniało. Tepsa, Netia i inni dawali
>>> publiczne IP
>>
>> Publiczne IP i technologia NAT nie ma nic wspĂłlnego z opisywanym
>> scenaruszem ataku, kiedy to *TY* neświadomie atakujesz własny router
>> własną przeglądarką z wnętrza LANu.
>
> No waśnie, w ogóle o tym nie piszę i nawet nie mam zamiaru łączyć
> jakiegoś nieogara z infekcją od strony LAN.

A jak się uda np zmusic/wykorzystac drukarkę do infekcji?
Albo i router?

> Nie mniej, to już dość stara
> sprawa a co najważniejsze, to się to właśnie zmieniło. Masz przykład z
> T-Mobile, Inea czy Orange. Routery zostały zablokowane od strony LAN a
> konfiguracja ograniczona i sprowadzona od strony WAN, przez apkę dostawcy.

Co by nie mówić, to routero-modemy w sieci ISP, muszą być
skonfigurowane odpowiednio do tej sieci ISP, przynajmniej w częsci
WAN. Zostawienie tego klientom, to proszenie się o kłopoty :-)
A umożliwienie zmian krytycznych parametrów, to proszenie się o bardzo
duze kłopoty :-)
Poza tym może nastąpić np reorganizacja sieci ISP, i potrzeba
przekonfigurowania routerów (znów w częsci WAN).
Co bardzo zachęca, do administracji centralnej.

> Cały czas piszę o tym, że CGNAT stał się (może nie celowo a ubocznie)
> zabezpieczeniem przed brakiem możliwości inicjowania połączeń z
> zewnątrz: Tak jak w przypadku standardowego NAT, CGNAT domyślnie blokuje
> przychodzące, niezamówione połączenia z Internetu do urządzeń w sieci
> użytkownika. Tylko pakiety będące odpowiedzią na ruch wychodzący z sieci
> użytkownika są przepuszczane.

IMHO - podstawowym powodem był brak wolnych adresów IP.
A tu mówimy o ISP, co ma np 30 tys mieszkań do obsłużenia.

A przy okazji - trochę zabezpiecza klientów, bo jednak połączenia
przychodzące odcina.

> Podsumowując:
> CGNAT nie jest firewallem ani systemem antywirusowym, ale działa jako
> warstwa ochronna, która utrudnia hakerom bezpośrednie ataki na
> urządzenia końcowe, ponieważ efektywnie ukrywa sieć prywatną za wspólnym
> publicznym adresem i dokładnie o tym piszę a nie o tym co wywijają
> userzy na kompach.

Przy czym domowy router klientów też to robił.
No ale był przy tym narażony na ataki.

Tak czy inaczej - bezpieczeństwo rośnie, ale zdalny dostęp do kamer
czy innych urządzen - gorszy.

J.

do góry

On 11/12/2025 17:01, io wrote:
>> Zaś do udostępniania 1MB pliku w VPN+SMB vs DFS, zgaduję, wymaga 1MB
>> pasma tak czy siak.
> Czemu by tak miało być? To nie przesyłanie plików jak z VPN, tylko
> aktywności lecą.

Po VPN też nie latają pliki tylko aktywności na tych plikach. Jak
otworzysz plik, zrobisz seek 5GB i odczytasz 1 bajt, to ilośc ruchu po
stronie sieci to będą pewnie z kilobajty na boilerplate SMB. Tak samo
przez VPN bo to ten sam protokół czyta pliki. VPN niczego nie zmienia w
działaniu protokołu SMB. Nawet nie rozumie co przesyła, to są "jakieś
ramki".

Może się nie rozumiemy, ale VPN to taka karta sieciowa podpięta 10kkm
kablem do Twojego switcha w LAN. Z grubsza. Działą (prawie) dokładnie
tak samo jak dziurka w kompie pod stołem, obok tego switcha.

do góry

W dniu 11.12.2025 o 17:40, J.F pisze:
[...]
> A potem:
> -adresów zaczęło brakować,
> -sieci wewnętrzne, nawet domowe, się rozrosły,
> -bezpieczeństwo stało się problemem,
> -internet sie spopularyzował ... i dostęp był przez modemy dial-up,
> -okazało się, ze wielu ludziom jednostronny dostęp do internetu
> wystarczy.

Tak niezupełnie. Zaczęło się od GSM...bo obecnie więcej jest tego
sprzętu niż komputerów na świecie, jakiś stosunek 48 vs 52 dla
smartfonów co oczywiście miało wpływ na IPv4 miało wejść IPv6 ale
wybrano łatwiejszą metodę czyli CGNAT. Już wcześniej było to stosowane u
mniejszych dostawców, ponieważ zakup puli IP miał swoje
ograniczenia...finansowe.

>> No właśnie, w ogóle o tym nie piszę i nawet nie mam zamiaru łączyć
>> jakiegoś nieogara z infekcją od strony LAN.
>
> A jak się uda np zmusic/wykorzystac drukarkę do infekcji?
> Albo i router?

No właśnie, wystaw drukarkę do Internetu publicznego na jakimś fajnym
porcie, to się przekonasz :)
>
>> Nie mniej, to już dość stara
>> sprawa a co najważniejsze, to się to właśnie zmieniło. Masz przykład z
>> T-Mobile, Inea czy Orange. Routery zostały zablokowane od strony LAN a
>> konfiguracja ograniczona i sprowadzona od strony WAN, przez apkę dostawcy.
>
> Co by nie mówić, to routero-modemy w sieci ISP, muszą być
> skonfigurowane odpowiednio do tej sieci ISP, przynajmniej w częsci
> WAN. Zostawienie tego klientom, to proszenie się o kłopoty :-)
> A umożliwienie zmian krytycznych parametrów, to proszenie się o bardzo
> duze kłopoty :-)

Nie tyle kłopoty, co zatrudnianie setek osób na infolinii. Pamiętam
czasy TpSa, jak telefony były czerwone, walki z wiruchami...cokolwiek :)

>> Cały czas piszę o tym, że CGNAT stał się (może nie celowo a ubocznie)
>> zabezpieczeniem przed brakiem możliwości inicjowania połączeń z
>> zewnątrz: Tak jak w przypadku standardowego NAT, CGNAT domyślnie blokuje
>> przychodzące, niezamówione połączenia z Internetu do urządzeń w sieci
>> użytkownika. Tylko pakiety będące odpowiedzią na ruch wychodzący z sieci
>> użytkownika są przepuszczane.
>
> IMHO - podstawowym powodem był brak wolnych adresów IP.
> A tu mówimy o ISP, co ma np 30 tys mieszkań do obsłużenia.

To jednak dość złożony temat i nie chodziło głównie o IP.
> Tak czy inaczej - bezpieczeństwo rośnie, ale zdalny dostęp do kamer
> czy innych urządzen - gorszy.

Wręcz odwrotnie, obecnie lepszy i znacznie bezpieczniejszy. Nie piszę o
starych urządzeniach. Nowe są produkowane w oparciu o P2P/Cloud i to
działa, bo nie są wystawiane na publiczny IP.
https://pl.wikipedia.org/wiki/Botnet_(bezpiecze%C5%8
4stwo_komputerowe)

Radykalny wzrost sprzętu IoT spowodował również możliwość ataku na
sprzęt gotowy do infekcji ale CGNAT jednak nie pozwala na to, blokując
ten dostęp. Białka nadal tutaj niema, znaczy debilizmu usera.
Taka prosta logika, skoro...skoro coraz więcej CGNAT, to już dawno
zauważono, że konfiguracja routera przerasta "kowalskiego" i szukano
rozwiązań aby sprzedać dużą ilość sprzętu, który nie wymaga wiedzy a
podłączenie jest proste. Do tego możliwość obsługi przez GSM, który od
zawsze był za CGNAT spowodowała obranie kierunku na obejście CGNAT.

Są oczywiście sceptycy...którzy jednak nie potrafią wskazać dotkliwych
wad P2P, lub wymyślają, że serwis P2P padnie albo ktoś ma nad tym
kontrolę i przechwytuje dane. Samo P2P też ewoluuje i zdarzają się
sytuacje eliminacji przestarzałego sprzętu...co powoduje zakup nowego.
Można to traktować jako przymus, podobnie jak koniec wsparcia jakiegoś
systemu na rzecz nowego...ale to już inny temat.

--
Pixel(R)??
Albo PiS albo Polska

do góry

W dniu 11.12.2025 o 19:42, heby pisze:
> On 11/12/2025 17:01, io wrote:
>>> Zaś do udostępniania 1MB pliku w VPN+SMB vs DFS, zgaduję, wymaga 1MB
>>> pasma tak czy siak.
>> Czemu by tak miało być? To nie przesyłanie plików jak z VPN, tylko
>> aktywności lecą.
>
> Po VPN też nie latają pliki tylko aktywności na tych plikach. Jak
> otworzysz plik, zrobisz seek 5GB i odczytasz 1 bajt, to ilośc ruchu po
> stronie sieci to będą pewnie z kilobajty na boilerplate SMB. Tak samo
> przez VPN bo to ten sam protokół czyta pliki. VPN niczego nie zmienia w
> działaniu protokołu SMB. Nawet nie rozumie co przesyła, to są "jakieś
> ramki".

Aktywności i 'pasywaności'. Pliki nie są po obu stronach i nie można ich
traktować tak, jak w zwykłej synchronizacji o jakiej wcześniej była mowa.

>
> Może się nie rozumiemy, ale VPN to taka karta sieciowa podpięta 10kkm
> kablem do Twojego switcha w LAN. Z grubsza. Działą (prawie) dokładnie
> tak samo jak dziurka w kompie pod stołem, obok tego switcha.
>

Nonsens.

do góry

On 11/12/2025 22:45, io wrote:
>> Po VPN też nie latają pliki tylko aktywności na tych plikach. Jak
>> otworzysz plik, zrobisz seek 5GB i odczytasz 1 bajt, to ilośc ruchu po
>> stronie sieci to będą pewnie z kilobajty na boilerplate SMB. Tak samo
>> przez VPN bo to ten sam protokół czyta pliki. VPN niczego nie zmienia
>> w działaniu protokołu SMB. Nawet nie rozumie co przesyła, to są
>> "jakieś ramki".
> Aktywności i 'pasywaności'. Pliki nie są po obu stronach

Ten SAM plik jest po obu stronach.

Tak samo jak ten sam plik jest widziany przez dwa programy na tym samym
komputerze, na dwóch komputerach w LAN i na dwóch komputerach po VPN.

Ten sam plik. Nie istnieje nigdzie jego kopia, jest w jednej instancji,
dostępnej w filesystemie sieciowym nfs albo smb.

Kopie są tylko w chmurach, takich jak google drive i są tam dlatego, że
chmury są do zastosowań innych niż normalne systemy plików.

W VPN z dostępem do sieci z SMB istnieje tylko jedna kopia pliku
sieciwego i jest widoczny przez wszystkich. Z wszelkimi konsekwencjami
takiego działania, jak wzajemną możliwością usuwania/zmiany danych, tak
samo jak na lokalnym fs.

> i nie można ich
> traktować tak, jak w zwykłej synchronizacji o jakiej wcześniej była mowa.

Nie ma synchronizacji. Filesystem SMB jest widoczny jednocześnie przez
wszystkch montujących zasób SMB.

>> Może się nie rozumiemy, ale VPN to taka karta sieciowa podpięta 10kkm
>> kablem do Twojego switcha w LAN. Z grubsza. Działą (prawie) dokładnie
>> tak samo jak dziurka w kompie pod stołem, obok tego switcha.
> Nonsens.

Więc poczytaj o OpenVPN w trybie TAP. W tym trybie po VPN latają gołe
ramki Layer 2. Klienci takiego VPN nie widzą różnicy między wpięciem w
switch, a wpięcem przez VPN w bridge (taki softwareowy switch). Poza
pasmem i lagiem, nie ma różnicy w działaniu. Jeśli po drugiej stronie
VPNa podepniesz tak samo OpenVPN do bridge, a jego do switcha, to masz
LAN rozciągnięty na pół świata zachowujący się jakby wszystko było
wpięte w jeden switch i działają w tym wszystkie śmieszne protokoły,
włącznie z nie-ip.

do góry