On Thu, 11 Dec 2025 16:56:31 +0100, ʅǝxᴉꓒ®🇵🇱 wrote:
> W dniu 11.12.2025 o 10:05, heby pisze:
>>>> CGNAT to nie jest zabepieczenie.
>>> Samo w sobie jednak jest
>>
>> Nie. Jest utrudnieniem. Nie zabezpieczeniem.
>
> Niczego nie zrozumiałeś z tego co wcześnie napisałem.
> Jeszcze raz. Dawniej, kiedy królowały modemy, nie było praktycznie
> żadnych zabezpieczeń. Adresy były publiczne i działy się różne cuda na
> komputerach podłączanych do Internetu.

No, takie były czasy - modemów było mało, adresy nie stanowiły
problemu.
A zabezpieczenia ... powinny byc w komputerach i ich systemach
operacyjnych.

> Później wjechały routery...i zaczęły się jazdy z routerami + urządzenia
> wpięte do nich z jakimś przekierowaniem portów. Piszę o tym wcześniej i
> nigdzie nie wkręcam białka, co usilnie próbujesz zrobić.

Wcześniej były routery bez DNAT, i bez zabezpieczeń, i publiczne, a
nawet stałe adresy IP.
I czasem nawet współpracowały z "modemem", takim na stałe łącza.
A od biedy mógł być i dial-up.

A potem:
-adresów zaczęło brakować,
-sieci wewnętrzne, nawet domowe, się rozrosły,
-bezpieczeństwo stało się problemem,
-internet sie spopularyzował ... i dostęp był przez modemy dial-up,
-okazało się, ze wielu ludziom jednostronny dostęp do internetu
wystarczy.

I się okazało, że DNAT rozwiązuje wszystkie problemy naraz.
Więc wlazło do routerów.

A że tworzy nowe ... trzeba było nauczyć się z tym żyć :-)

>> Na router nic nie musi obecnie wchodziś od internetu, może wejśc od
>> LANu, co jest znacznie łatwiejsze.
>
> Samo? Mnie cały czas chodzi o urządzenia bezbiałkowe, wystawione na
> publiczny IP, może być z przekierowania.

Mogą być i białkowe, też ryzyko.
Ale fakt, Ĺźe np drukarki:
-słabo zabezpieczone,
-ktoś może łatwo wydrukować coś zdalnie, a własciciel wcale tego nie
chce ...

>>> Piszesz o czasach kiedy CGNAT nie istniało. Tepsa, Netia i inni dawali
>>> publiczne IP
>>
>> Publiczne IP i technologia NAT nie ma nic wspĂłlnego z opisywanym
>> scenaruszem ataku, kiedy to *TY* neświadomie atakujesz własny router
>> własną przeglądarką z wnętrza LANu.
>
> No waśnie, w ogóle o tym nie piszę i nawet nie mam zamiaru łączyć
> jakiegoś nieogara z infekcją od strony LAN.

A jak się uda np zmusic/wykorzystac drukarkę do infekcji?
Albo i router?

> Nie mniej, to już dość stara
> sprawa a co najważniejsze, to się to właśnie zmieniło. Masz przykład z
> T-Mobile, Inea czy Orange. Routery zostały zablokowane od strony LAN a
> konfiguracja ograniczona i sprowadzona od strony WAN, przez apkę dostawcy.

Co by nie mówić, to routero-modemy w sieci ISP, muszą być
skonfigurowane odpowiednio do tej sieci ISP, przynajmniej w częsci
WAN. Zostawienie tego klientom, to proszenie się o kłopoty :-)
A umożliwienie zmian krytycznych parametrów, to proszenie się o bardzo
duze kłopoty :-)
Poza tym może nastąpić np reorganizacja sieci ISP, i potrzeba
przekonfigurowania routerów (znów w częsci WAN).
Co bardzo zachęca, do administracji centralnej.

> Cały czas piszę o tym, że CGNAT stał się (może nie celowo a ubocznie)
> zabezpieczeniem przed brakiem możliwości inicjowania połączeń z
> zewnątrz: Tak jak w przypadku standardowego NAT, CGNAT domyślnie blokuje
> przychodzące, niezamówione połączenia z Internetu do urządzeń w sieci
> użytkownika. Tylko pakiety będące odpowiedzią na ruch wychodzący z sieci
> użytkownika są przepuszczane.

IMHO - podstawowym powodem był brak wolnych adresów IP.
A tu mówimy o ISP, co ma np 30 tys mieszkań do obsłużenia.

A przy okazji - trochę zabezpiecza klientów, bo jednak połączenia
przychodzące odcina.

> Podsumowując:
> CGNAT nie jest firewallem ani systemem antywirusowym, ale działa jako
> warstwa ochronna, która utrudnia hakerom bezpośrednie ataki na
> urządzenia końcowe, ponieważ efektywnie ukrywa sieć prywatną za wspólnym
> publicznym adresem i dokładnie o tym piszę a nie o tym co wywijają
> userzy na kompach.

Przy czym domowy router klientów też to robił.
No ale był przy tym narażony na ataki.

Tak czy inaczej - bezpieczeństwo rośnie, ale zdalny dostęp do kamer
czy innych urządzen - gorszy.

J.