|
Действия ...
Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
24.12.2014, 15:32
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
Расскажите пожалуйста как работает Many-to-One NAT, подробно. например Есть два локальных адреса 192.168.10.3 и 192.168.10.4 и они решили одновременно зайти на сайт mail.ru Что происходит в маршрутизаторе, что он не запутывается кто отправлял, кому доставлять? что-то я не понял, что там с портами происходит. Меня интересует технология (алгоритм), желательно на русском языке. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 15:47
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
Как выполняется 192.168.10.3 -> mail.ru ? 192.168.10.3 выбирает случайный свободный пользовательский порт (допустим, 4444). С него отправляет пакет на mail.ru:http? узлом назначения указывает свой дефолтный шлюз. Допустим, он 192.168.10.1, и именно на нём NAT. Шлюз получает этот пакет. Он выбирает у себя свободный пользовательский порт (допустим, 5555). Запоминает во внутренних таблицах соответствие: LAN (адрес 192.168.10.3 порт 4444) = WAN (порт 5555). В пакете заменяет 192.168.10.3 на свой WAN адрес, номер порта на 5555, и это отсылает на mail.ru. Когда ему придёт пакет от mail.ru на порт 5555, этот пакет в соответствии с запомненной таблицей преобразования будет отправлен на адрес 192.168.10.3 порт 4444. Как выполняется 192.168.10.4 -> mail.ru ? Всё то же самое, только, во-первых, 192.168.10.3 выберет скорее всего другой порт (например, это окажется 6666), во-вторых, для ретрансляции роутер выберет на WAN-порту другой порт, поскольку 5555 уже занят (например, это окажется номер 7777). Т.е. во внутренних таблицах появится ещё одно соответствие: LAN (адрес 192.168.10.4 порт 6666) = WAN (порт 7777). И что придёт на порт 7777, оттранслируется на 192.168.10.4. Даже если второй комп выберет для отправки тот же порт 4444 - внешний порт на роутере всё равно будет другим. А различить соответствия: 192.168.10.3:4444 - WAN:5555 192.168.10.4:4444 - WAN:7777 зная номер порта, на который пришёл пакет (5555 или 7777) - несложно. И куда вернуть ответ, определяется однозначно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 18:05
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
Akina192.168.10.3 выбирает случайный свободный пользовательский порт (допустим, 4444). ... Шлюз получает этот пакет. Он выбирает у себя свободный пользовательский порт (допустим, 5555).Кстати, приличный воспитанный NAT старается сохранить порт источника, насколько это возможно (если он уже не занят и укладывается в диапазон разрешенных для использования портов). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 18:12
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
Очень сомнительно, что сохранение номера порта при трансляции есть признак приличности. К тому же когда с точки зрения рабочей станции должен использоваться диапазон портов для системных приложений (1к-4к), для роутера однозначно должно на выходе транслировать в пользовательский диапазон (4к+). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 18:21
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
AkinaОчень сомнительно, что сохранение номера порта при трансляции есть признак приличности.Вреда от этого никакого, а польза бывает. Например, этого может требовать файерволл на целевой машине (речь не о банальном серфинге, а о более сложных сервисах, например клиент-банк или VPN). AkinaК тому же когда с точки зрения рабочей станции должен использоваться диапазон портов для системных приложений (1к-4к), для роутера однозначно должно на выходе транслировать в пользовательский диапазон (4к+).Не совсем так. http://www.opennet.ru/man.shtml?topic=iptables -to-source ip1[-ip2][:порт1-порт2] IP-адрес или диапазон адресов (включительно) источника, а также (необязательно, и только в случае -p tcp или -p udp) диапазон портов. Если последний не указан, то выполняются следующие отображения: порты до 512 будут отображаться в порты до 512; порты от 512 до 1023 включительно - в порты до 1024; остальные - в порты начиная с 1024. По возможности порты будут отображаться сами в себя. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 18:58
|
|||
|---|---|---|---|
|
|||
NAT технология |
|||
|
#18+
miksoft, В режиме PAT (речь про эту технологию) шлюз преобразует адрес локального источника и номер порта из пакета, в один глобальный IP адрес и уникальный номер порта в диапазоне выше 1024. Хотя каждый узел получает одиннаковый глобальный IP адрес, номер порта остаётся уникальным. И даже картинку картинку приложу. 1459 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 19:01
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
miksoftВреда от этого никакого, а польза бывает. Например, этого может требовать файерволл на целевой машине (речь не о банальном серфинге, а о более сложных сервисах, например клиент-банк или VPN). В таком случае только один клиент может одновременно работать с таким сервисом. А в этом случае лучше использовать редирект портов, а не тупой NAT. miksoft http://www.opennet.ru/man.shtml?topic=iptables -to-source ip1[-ip2][:порт1-порт2] IP-адрес или диапазон адресов (включительно) источника, а также (необязательно, и только в случае -p tcp или -p udp) диапазон портов. Если последний не указан, то выполняются следующие отображения: порты до 512 будут отображаться в порты до 512; порты от 512 до 1023 включительно - в порты до 1024; остальные - в порты начиная с 1024. По возможности порты будут отображаться сами в себя. Это всего лишь мнение автора утилиты. Цитата ниачём. Аналогично например Майкрософт считает, что •Стандартные порты — это порты в диапазоне от 0 до 1023. •Зарегистрированные порты — это порты в диапазоне от 1024 до 49151. •Динамические или частные порты — это порты в диапазоне от 49152 до 65535. Причём для приложений, входящих в состав ОС (например, Internet Explorer), они предпочитают использовать порты в диапазоне 1024-4095. А вот согласно стандарту (RFC-1700) пространство портов делится на assigned ports managed by the IANA (0-1023) и registered ports (1024-65535). И всё. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 19:53
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
AkinamiksoftВреда от этого никакого, а польза бывает. Например, этого может требовать файерволл на целевой машине (речь не о банальном серфинге, а о более сложных сервисах, например клиент-банк или VPN). В таком случае только один клиент может одновременно работать с таким сервисом.Разумеется. Но в случае корпоративного применения NAT-а это обычно и не требуется. Например, любой из бухгалтеров сможет работать с неким клиент-банком, но не двое одновременно. Так даже лучше. У нас были как-то проблемы, когда у провайдеров-пионеров NAT давал рандомные порты источника, в результате чего VPN не работал. Надавали им по рукам - настроили по человечески :) Сменить провайдера в то время в той "деревне", к сожалению, не было возможности.Akina А в этом случае лучше использовать редирект портов, а не тупой NAT.И как это сделать, если целевой сервер не наш? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 19:56
|
|||
|---|---|---|---|
|
|||
NAT технология |
|||
|
#18+
AkinaА вот согласно стандарту (RFC-1700) пространство портов делится на assigned ports managed by the IANA (0-1023) и registered ports (1024-65535). И всё.Перечитывать не пробовали: RFC 3232Since 1994, this sequence of RFCs have been replaced by an online database accessible through a web page (currently, www.iana.org). The purpose of the present RFC is to note this fact and to officiallyobsolete RFC 1700, whose status changes to Historic. RFC 1700 is obsolete, and its values are incomplete and in some cases may be wrong. Service Name and Transport Protocol Port Number Registry ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 22:29
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
AkinaКак выполняется 192.168.10.3 -> mail.ru ? 192.168.10.3 выбирает случайный свободный пользовательский порт (допустим, 4444). С него отправляет пакет на mail.ru:http? узлом назначения указывает свой дефолтный шлюз. Допустим, он 192.168.10.1, и именно на нём NAT. Шлюз получает этот пакет. Он выбирает у себя свободный пользовательский порт (допустим, 5555). Запоминает во внутренних таблицах соответствие: LAN (адрес 192.168.10.3 порт 4444) = WAN (порт 5555). В пакете заменяет 192.168.10.3 на свой WAN адрес, номер порта на 5555, и это отсылает на mail.ru. Когда ему придёт пакет от mail.ru на порт 5555, этот пакет в соответствии с запомненной таблицей преобразования будет отправлен на адрес 192.168.10.3 порт 4444. Как выполняется 192.168.10.4 -> mail.ru ? Всё то же самое, только, во-первых, 192.168.10.3 выберет скорее всего другой порт (например, это окажется 6666), во-вторых, для ретрансляции роутер выберет на WAN-порту другой порт, поскольку 5555 уже занят (например, это окажется номер 7777). Т.е. во внутренних таблицах появится ещё одно соответствие: LAN (адрес 192.168.10.4 порт 6666) = WAN (порт 7777). И что придёт на порт 7777, оттранслируется на 192.168.10.4. Даже если второй комп выберет для отправки тот же порт 4444 - внешний порт на роутере всё равно будет другим. А различить соответствия: 192.168.10.3:4444 - WAN:5555 192.168.10.4:4444 - WAN:7777 зная номер порта, на который пришёл пакет (5555 или 7777) - несложно. И куда вернуть ответ, определяется однозначно. Я правильно понял, что с какого порта WAN улетает пакет, на тот и прилетает обратно. Порт 5555 и ip адрес с WAN путешествует внутри ip пакета? Спасибо за ответы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
24.12.2014, 22:44
|
|||
|---|---|---|---|
NAT технология |
|||
|
#18+
trewПорт 5555 и ip адрес с WAN путешествует внутри ip пакета?Почитайте хотя бы Олиферов. В каждом ip-пакете есть ip-адреса источника и назначения. А порты - это свойство протоколов боле высокого уровня - TCP и UDP. У них в каждой посылке/датаграмме есть порт-источник и порт назначения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=26&tablet=1&tid=1494291]: |
0ms |
get settings: |
8ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
37ms |
get topic data: |
14ms |
get forum data: |
3ms |
get page messages: |
57ms |
get tp. blocked users: |
2ms |
| others: | 12ms |
| total: | 155ms |
| 0 / 0 |
