На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
Страницы: (4) 1 2 [3] 4  все  ( Перейти к последнему сообщению )  
> Объясните по поводу маскарадинга
    JoeUser
    Т.е. NAT это только замена IP адреса или порта без изменения остального пакета?
      На сколько я разобрался, маскарадинг практически аналогия SNAT. За одним исключением - маскарадинг чаще используется на интерфейсах часто меняющих свои характеристики (ip/mask/gw), он типа более адаптивен к изменениям. SNAT же надо пинать извне. Дальше в дебри я не лез, ибо сижу за статическом IP.
        ^D^ima
        Да не парься ты. Нет абсолютно строгого определения, которое для любой мыслимой ситуации однозначно бы говорило, NAT это или не NAT. Да и не так важно, как назвать, важнее, что происходит.
          Цитата Akina @
          Нет абсолютно строгого определения, которое для любой мыслимой ситуации однозначно бы говорило, NAT это или не NAT. Да и не так важно, как назвать, важнее, что происходит.

          Ну не знаю, считаю что в вики описание дано лаконично и полно.

          - Маскарадинг это разновидность NAT, даже не разновидность, если точнее, а один из режимов работы
          - Первая особенность: работает не с таблицами адресов, а с интерфейсами в динамике
          - Вторая особенность: при down интерфейса сразу же очищаются все таблицы трансляции

          Цитата ^D^ima @
          Т.е. NAT это только замена IP адреса или порта без изменения остального пакета?

          NAT - это обобщенное название технологии (подмены адресов). При настройке правил различают SNAT, это о чем ты говорил. И DNAT - подмена адреса получателя. Навскидку маленькая информативная статья. Например, в FreeBSD режим маскарадинга включается опциями для natd -dynamic в сочетании с -interface
            Цитата JoeUser @
            считаю что в вики описание дано лаконично и полно

            Вики может и авторитет, но уж точно не истина в последней инстанции.

            Цитата JoeUser @
            NAT - это обобщенное название технологии (подмены адресов).

            А если адреса не изменяются, но изменяется номер порта? Например, внешнее обращение к веб-серверу на маршрутизаторе (не роутере) переводится с порта 8080 на порт 80 - это NAT? Маппинг портов налицо...
            А если в тех же условиях даже номер порта не изменяется, но нештатно изменяется TTL?
            А если речь идёт не о TCP/UDP(/ICMP), а о другом протоколе?

            Классически NAT вроде бы определяется в RFC 2663:
            Цитата RFC 2663. IP Network Address Translator (NAT) Terminology and Considerations
            Network Address Translation is a method by which IP addresses are mapped from one realm to another, in an attempt to provide transparent routing to hosts.

            Вроде бы... с одной стороны. С другой стороны, есть ведь и такая штука, как NAT-PT (напр. RFC 2776, IPv6-IPv4 transition mechanism, или вспомни Netware/IP, когда узел без проблем выходил в Инет, не имея за душой ничего, кроме голого IPX) - это тоже NAT, в полный рост.
              Цитата Akina @
              А если адреса не изменяются, но изменяется номер порта? Например, внешнее обращение к веб-серверу на маршрутизаторе (не роутере) переводится с порта 8080 на порт 80 - это NAT? Маппинг портов налицо...

              NAT - обобщенное название одной технологии, а проброс портов (Port Forwarding) - одна из ее возможностей. Если не брать за эталон кастрированные реализации NAT-а на железяках, а посмотреть полноценные программные реализации (netfiler от линупса, ipfw и pf от *BSD), там NAT - просто функционал/подсистема. Все манипуляции с пакетами "проходят" через набор правил. Там возможно и перезапись адресов, и портов, и дроп пакетов, и переброс на себя после изменений ... и все это целостная система. Т.о. NAT - просто название одного из ее механизмов (у которого есть дополнительные опции типа маскарадинга). Ну выделили NAT собственной аббревиатурой, ну и ланна.

              Добавлено
              Цитата Akina @
              Вики может и авторитет

              Дело не где написано, а что написано. А написано в той статье хорошо.

              Добавлено
              Цитата Akina @
              то тоже NAT, в полный рост.

              ИМХО, там маршрутизация. Щя гляну ...

              Добавлено
              Ну есть какая-то шляпа типа IGRP/EIGRP - не охота голову забивать, нашел там "routing protocol" и ланна.
                Цитата JoeUser @
                Если не брать за эталон кастрированные реализации NAT-а на железяках

                На железяках тоже все есть.

                Собственно с чего возник вопрос, в микротике это все добро в разделе NAT:
                user posted image
                  Цитата ^D^ima @
                  На железяках тоже все есть.

                  На многих есть, на копеечном барахле, как правило, нет. А копеечного барахла в организациях просто валом.

                  Добавлено
                  Цитата ^D^ima @
                  Собственно с чего возник вопрос, в микротике это все добро в разделе NAT:

                  Ну ... картинка же все показывает. Раздел NAT, возможность добавлять свои правила обработки. Все ровно.
                    Цитата JoeUser @
                    Все ровно.

                    все операции которые на картинке относятся к технологии ната?
                      Цитата ^D^ima @
                      все операции которые на картинке относятся к технологии ната?

                      Затрудняюсь сказать. Надо читать хелп по правилам.
                        Цитата JoeUser @
                        На сколько я разобрался, маскарадинг практически аналогия SNAT.

                        Нет. При SNAT в каждом пакете подпадающим под правило происходит подмена адреса указанного в данном правиле. При маскарадинге, ip каждый раз вычисляется, посему нагрузка от последнего больше.

                        Добавлено
                        Цитата ^D^ima @
                        Цитата JoeUser @
                        Все ровно.

                        все операции которые на картинке относятся к технологии ната?

                        Все операции указанные на картинке относятся к модулям ядра линуха, дляправилам фаерволла iptables

                        Добавлено
                        Цитата Akina @
                        Например, внешнее обращение к веб-серверу на маршрутизаторе (не роутере) переводится с порта 8080 на порт 80 - это NAT?

                        Это PAT

                        Добавлено
                        Цитата JoeUser @
                        Добавлено
                        Цитата Akina @
                        то тоже NAT, в полный рост.

                        ИМХО, там маршрутизация. Щя гляну ...

                        Пздц. L3 маршрутизатор не знает понятия "порт". В общем случае он смотрит заголовок IP пакета, конкретно dst ip, и согласно своей таблице и политик маршрутизации отправляет пакет дальше.

                        Добавлено
                        Цитата JoeUser @
                        Добавлено
                        Ну есть какая-то шляпа типа IGRP/EIGRP - не охота голову забивать, нашел там "routing protocol" и ланна.

                        Смешались в кучу кони/люди. Какое отношение имеют древние как говно мамонта протоколы динамической маршрутизации к пробросу порта за нат?

                        Добавлено
                        Цитата Akina @
                        А если в тех же условиях даже номер порта не изменяется, но нештатно изменяется TTL?

                        Ттл итак штатно меняется, на каждом хопе. Ну есть ещё всякие поля, которые так сильно любят провайдеры типа рфц 2474/2475

                        Добавлено
                        Цитата ^D^ima @
                        Да, микротик хорошая вещь, куча инструментов для анализа

                        Кастрат чистых линухов. tcpdump+shell+iptables дают гораздо более широкие возможности для полёта фантазии.
                        Сообщение отредактировано: Gonarh -
                          Цитата Gonarh @
                          При маскарадинге, ip каждый раз вычисляется, посему нагрузка от последнего больше.

                          Откуда такая инфа? На сколько я понял из описания, маскарадинг - способ отслеживания состояния обслудиваемых интерфейсов. И как только происходит Up->Down - чистяться таблицы преобразований. Но если они со временем заполняются необходимыми правилами (текущими правилами) - дополнительного пересчета производиться не будет. Вощем, если я не прав - дай линк почитать про сей механизм.
                            Цитата JoeUser @
                            способ отслеживания состояния

                            В линуксах реализован ввиде conntrack, необходим для stateful фаервола и не только.
                            Цитата
                            И как только происходит Up->Down - чистяться таблицы преобразований

                            Именно, таблица состояний conntrack будет очищена, все установленные соединения потеряны. В случае SNAT, они будут висеть пока не оттикает опред. таймер
                            Цитата
                            Но если они со временем заполняются необходимыми правилами (текущими правилами) - дополнительного пересчета производиться не будет.

                            На каждое новое соединение будет заново получен IP адрес интерфейса куда сделан маскарадинг.

                            Добавлено
                            Цитата JoeUser @
                            Откуда такая инфа?

                            Лет 7 назад изучал, как работает маскарадинг в линуксах, на ветке ядер 2.6 было по крайней мере так, щяс, хз. давно не лазил.
                            Сообщение отредактировано: Gonarh -
                              Цитата Akina @
                              на маршрутизаторе (не роутере)


                              маршрутизатор и есть роутер. русский и английский термин.
                                Цитата Gonarh @
                                На каждое новое соединение будет заново получен IP адрес интерфейса куда сделан маскарадинг.

                                Ну я линух не смотрел, но, ЕМНИП, на FreeBSD маскарадинг только отслеживает Up/Down и чистку таблиц. А NAT уже сам смотрит - если таблица пустая, ищет адрес, заполняет таблицу и отдает. Если таблица непустая - из нее берет. По факту - это две взаимосвязанные подсистемы.
                                0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                                0 пользователей:
                                Страницы: (4) 1 2 [3] 4  все


                                Рейтинг@Mail.ru
                                [ Script execution time: 0,0546 ]   [ 16 queries used ]   [ Generated: 28.03.24, 19:20 GMT ]