>> какую безопасность подразумевает nat, если не секрет?
> Ну смотрите.

Смотрим.

> Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.

Делаем первые выводы:
1) Бсдельник как обычно равняет все по винде, потому что его ось на десктопе просто швах.
2) Файрволом вы тоже пользоваться не умеете. Иначе б знали что нормальный сценарий это "все убить а потом разрешить нужное".
3) То что в винде по дефолту - жалкое подобие файрвола, чисто для галочки. И даже в 2008 R2 их "advanced" файрвол снабжен рядом таких кретинизмов что нормальным фаерам и не снились. Это как блок питания в дешевом корпусе - вроде бы есть, но при попытке отожрать с него написанные на нем якобы 300 ваттов он просто умирает. Или как китайские вентиляторы для корпуса, которые вроде на настоящий вентиль и похожи, но в отличие от -  умудряются сдохнуть за 2 недели работы.
4) Некоторые протоколы в винде, например, RPC в винде крайне недружествены натам и фаерам. Виндозный файер содержит спецчит, но в остальных его может и не быть. Впрочем провы все-равно порезали все виндозное г-но у себя на железках. Их вирусы заканали и они в массе своей просто закрыли все опасные виндозные порты.

> В итоге список портов одной windows XP получился такой:
> 135-139:TCP - netbios

(обычно удавлено провами, ибо решето)

> 445:TCP - SYSTEM

(обычно удавлено провами, ибо решето)

> 1025:TCP - SVCHOST.EXE

Динамическое назначение исходящих портов или RPC.

> 1028:TCP - ALG.exe - Служба шлюза уровня приложения

По идее это кусок файрвола и есть. Зачем ему 1028 - ??

> 5000:TCP - UPnP - UniversalPlugandPlay, безконфигурационное подключение сетевых девайсов.

Ага. Забавный сервис, в плане абуза не по назначению. Позволяет редиректить порты без аутентификации :)

> 135-139:UDP - netbios

(обычно удавлено провами, ибо решето)

> 445:UDP - SYSTEM

(обычно удавлено провами, ибо решето)

> 500:UDP - LSASS.EXE - Службы IPSEC

???

> 1027:UDP - SVCHOST.EXE - (фантом живет пару минут после старта)

Динамически назначаемый порт для исходящих датаграм?

> 1900:UDP - SVCHOST.EXE - Служба обнаружения SSDP

Бюро Медвежьих Услуг :)

> 4500:UDP - LSASS.EXE - Службы IPSEC
> Это порты одной только windows.

Ну так скажите спасибо МС за то что они превратили систему в бюро медвежьих услуг. Настолко ядрено что нетбиос например удавлен всеми провами которых достали постоянные вирусы через маздайные шары.

> А теперь 3 утверждения насчет windows:
> 1. Фиг его знает, какие _ещё_ порты открывают службы windows XP.
> 2. Фиг его знает, как сильно поменялся набор портов windows Vista/7.
> 3. Фиг его знает, какие порты будут открыты в windows 8.

Сразу видно профессионального сисадмина, который понятия не имеет что творится у него в системе. С такими господами вы легко повторите участь LSE и DigiNotar. Вперед к новым достижениям, господа.

> Плюс есть службы, которые запускаются на время.
> И засечь какие порты они слушают - нужно посидеть постараться.

А ничего что вы настолько некомпетентны что вообще не понимаете как настраивать файрвол? Стандартная политика: DENY ALL, ALLOW (what really needed). При таком подходе вам будет наплевать сколько там служб. Если они вам не нужны - вреда от них не будет. Так на фаере осядет и нежелательная активность всех вирей/троянов и самой ОС, которая недалеко от них ушла с ее кучей медвежьих услуг и дыр.

> Плюс, могут быть службы на рандомных портах.
> Ведь RPC-вызовы как раз и используют случайные номера портов.
> А windows очень любит RPC.

А еще она очень любит троянов. Нормально настроеный фаер может в принципе зарубить и исходящий трафф большинства троянов, сохранив вам банковские реквизиты, пароли и что там у вас еще. Но недо-администраторы о такой фигне не знают. Зато аватар себе понавесили, угумс.

> Плюс, есть ещё просто программы, которые открывают порты.
> Особенно "радуют" программы, предустановленные производителем компов/ноутбуков.
> Помнится, порадовал набор sony vaio.

1) Вы не умеете пользоваться файрволом.
2) Вы не контролируете свою систему.

Чего удивляться то тому что это помойка, независимо от наличия ната? Вам достаточно подцепиться к открытой точке доступа таким ноутом и ... и от интранета в который вы попали, где водится неизвестно что вас никакой нат защищать ВНЕЗАПНО не будет. И все что там есть - обрушится на вашу гранд-помойку.

> Точно не помню, но было что-то типа такого: сервер справки, сервер http
> для сервера справки, ещё один сервер для сервера справки и т.д.)
> Плюс, есть не только windows, но и mac os и линуксы разные.

Какое красочное оправдание разведенной вами помойки и кривого администрирования.

> Если делать фаерволл не только для себя, а для всех, нужно учесть
> популярные *nix службы.
> cups, avahi и т.д. Плюс порты, которые открывает mac os.

Если делать файрвол то надо тупо перекрыть в WAN и из WAN все что не нужно. Зачем вам вывешивать CUPS и Avahi в WAN? Хотя конечно позволить всему миру печатать на своем принтере - достаточно оригинально :)

> А ещё...)
> А ещё стоит упомянуть 100500 устройств типа телефонов, точек доступа, телевизоров, wifi
> клавиатур и любых других устройств, подключаемых по сети.
> Какие там могут быть открыты порты - вообще никаких гарантий.

Так и скажите: вы не умеете пользоваться файрволами. Все с вами понятно.

> Что взбредет разработчикам прошивок, то и откроют.
> Про качество прошивок и про дефолтные пароли тоже не забываем.
> Но и это ещё не все:)
> Ибо всегда может появиться какая-нибудь новая хрень, с открытыми портами и дырявыми паролями.
> Какой-нибудь чудо девайс с открытым ssh портом и известным дефолтным паролем на root.

По этому поводу могу посоветовать:
1) Осознать уже наконец как надо настраивать файрволы.
2) Заменить прошивку на сетевом девайсе-роутере выступающем гейтвеем на что-то типа openwrt, авторы которого не такие адские лабухи как кетайцы из длинков, тплинков и прочих асусов, которые даже параметры CONNTRACK прописать нормально не могут. Так что после получаса работы торента девайс клинит, т.к. полностью кончилась память и девайс приходит в себя только после пинка вачдогом.

> Поэтому список портов и служб, которые надо закрывать... это большой список)
> И этот список постоянно меняется. Его нужно поддерживать в актуальном состоянии.

Поэтому надо научиться уже пользоваться файрволами на уровне человека, а не обезьяны. И проблема отпадет как класс.

> А ещё надо - не закрыть нужные порты!
> Например, у одного юзера открыта дырявая веб-камера без пароля - надо закрыть.

Ужас. Вы вообще системный админ? Сочувствую конторе где такой нерюх работает - безопасность сети оной наверняка на уровне плинтуса. На месте вашего шефа я бы уже начал срочно искать замену такому "админу".

> А у другого вполне себе не дырявая веб-камера, которой он пользуется через
> интернет - надо открыть.

И что? Если вы хотите контролировать траффик - да, вам придется разобраться в том как работают сетевые протоколы и что и кула льзя/нельзя. В обе стороны. Нат кстати перекрывает кислород лишь в 1 сторону.

> Если вы - провайдер, который заикается о безопасности для своих пользователей, то
> у вас появляется очень много работы)

Судя по описанию, вы какой-то баклан, который почему-то возомнил что он - сисадмин. Хотя не умеет файрволом пользоваться. И считает виндовое недоразуменее за фаер. Я практически уверен что в вашей сети безопасностью и не пахло, там пахнет лишь имитацией бурной деятельности, а знание предмета - не фонтан.

> Поэтому, ну нах. Лучше закрыть домашнюю сеть NAT'ом.

Половина программ потом работает откровенно через анус. Потому что в исходном дизайне протокола подразумевается нормальное 2-стороннее коннективити между участниками. А умственные инвалиды вместо участников - это что, олимпиада для даунов?

> А нужные порты пробрасывать вручную или через upnp.
> upnp, кстати, поддерживают даже роутеры 2-3 летней давности.

Осталось только добавить что он напрочь несекурный. Там никакой авторизации - нет. Поэтому если например вирус в интранете хочет зафорвардить на машину с собой порт для шелла чтобы не городить реверс - добро пожаловать!

> Если есть более эффективное, но такое же простое решение, как NAT, буду
> рад его узнать)

Научиться уже юзать фаер как человек, а не специально обученная обезьяна.