AC
но лень :)
Size: a a a
2021 August 25
AP
Обычно в правиле указывают порты источника и назначения, иначе это уже получится DMZ
AP
Про безопасность. Делая такой проброс вы делаете возможным любому организовывать подключение. Осталось только сбрутить пароль
AC
дмз - это совсем другое
AC
Кто сказал? Как вы собираетесь вклиниваться в существующее tcp-соединение
AP
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных[1]. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
VL
В моем случае оно не постоянно
AC
Всё верно, в случае указанного нат - его нет
VL
Для эпизодических подключений
AC
и "сбрутить пароль" - это не "осталось" :)
AP
Так вот dst/src-nat без указания порта, по всем портам будет подмена адреса на хост в локальной сети. Этот хост окажется общедоступным извне
VL
Александр, локальные сети клиента и сервера могут совпадать?
AC
Как минимум, для этого нужно будет подменить src ip
AC
локально, через vpn или обсуждаемый нат - да
DF
Micro Detectors итальянские норм
AP
Спорим, что уже настроено правило src-nat masquerade
VL
Через vpn
AP
И смысл dst правила без src
AP
Делаете разные сети в локалках, чтобы не пересекались и навешиваете маршруты как описано выше
AC
Ещё раз: в указанной схеме будут приниматься только пакеты с указанным ip, что само по себе уже неплохая секурность, т.к. раскрутить такую логику извне не так просто. А подменять ip через инет - тем более