Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.209.63.120] |
|
Страницы: (4) 1 2 [3] 4 все ( Перейти к последнему сообщению ) |
Сообщ.
#31
,
|
|
|
JoeUser
Т.е. NAT это только замена IP адреса или порта без изменения остального пакета? |
Сообщ.
#32
,
|
|
|
На сколько я разобрался, маскарадинг практически аналогия SNAT. За одним исключением - маскарадинг чаще используется на интерфейсах часто меняющих свои характеристики (ip/mask/gw), он типа более адаптивен к изменениям. SNAT же надо пинать извне. Дальше в дебри я не лез, ибо сижу за статическом IP.
|
Сообщ.
#33
,
|
|
|
^D^ima
Да не парься ты. Нет абсолютно строгого определения, которое для любой мыслимой ситуации однозначно бы говорило, NAT это или не NAT. Да и не так важно, как назвать, важнее, что происходит. |
Сообщ.
#34
,
|
|
|
Цитата Akina @ Нет абсолютно строгого определения, которое для любой мыслимой ситуации однозначно бы говорило, NAT это или не NAT. Да и не так важно, как назвать, важнее, что происходит. Ну не знаю, считаю что в вики описание дано лаконично и полно. - Маскарадинг это разновидность NAT, даже не разновидность, если точнее, а один из режимов работы - Первая особенность: работает не с таблицами адресов, а с интерфейсами в динамике - Вторая особенность: при down интерфейса сразу же очищаются все таблицы трансляции Цитата ^D^ima @ Т.е. NAT это только замена IP адреса или порта без изменения остального пакета? NAT - это обобщенное название технологии (подмены адресов). При настройке правил различают SNAT, это о чем ты говорил. И DNAT - подмена адреса получателя. Навскидку маленькая информативная статья. Например, в FreeBSD режим маскарадинга включается опциями для natd -dynamic в сочетании с -interface |
Сообщ.
#35
,
|
|
|
Цитата JoeUser @ считаю что в вики описание дано лаконично и полно Вики может и авторитет, но уж точно не истина в последней инстанции. Цитата JoeUser @ NAT - это обобщенное название технологии (подмены адресов). А если адреса не изменяются, но изменяется номер порта? Например, внешнее обращение к веб-серверу на маршрутизаторе (не роутере) переводится с порта 8080 на порт 80 - это NAT? Маппинг портов налицо... А если в тех же условиях даже номер порта не изменяется, но нештатно изменяется TTL? А если речь идёт не о TCP/UDP(/ICMP), а о другом протоколе? Классически NAT вроде бы определяется в RFC 2663: Цитата RFC 2663. IP Network Address Translator (NAT) Terminology and Considerations Network Address Translation is a method by which IP addresses are mapped from one realm to another, in an attempt to provide transparent routing to hosts. Вроде бы... с одной стороны. С другой стороны, есть ведь и такая штука, как NAT-PT (напр. RFC 2776, IPv6-IPv4 transition mechanism, или вспомни Netware/IP, когда узел без проблем выходил в Инет, не имея за душой ничего, кроме голого IPX) - это тоже NAT, в полный рост. |
Сообщ.
#36
,
|
|
|
Цитата Akina @ А если адреса не изменяются, но изменяется номер порта? Например, внешнее обращение к веб-серверу на маршрутизаторе (не роутере) переводится с порта 8080 на порт 80 - это NAT? Маппинг портов налицо... NAT - обобщенное название одной технологии, а проброс портов (Port Forwarding) - одна из ее возможностей. Если не брать за эталон кастрированные реализации NAT-а на железяках, а посмотреть полноценные программные реализации (netfiler от линупса, ipfw и pf от *BSD), там NAT - просто функционал/подсистема. Все манипуляции с пакетами "проходят" через набор правил. Там возможно и перезапись адресов, и портов, и дроп пакетов, и переброс на себя после изменений ... и все это целостная система. Т.о. NAT - просто название одного из ее механизмов (у которого есть дополнительные опции типа маскарадинга). Ну выделили NAT собственной аббревиатурой, ну и ланна. Добавлено Цитата Akina @ Вики может и авторитет Дело не где написано, а что написано. А написано в той статье хорошо. Добавлено Цитата Akina @ то тоже NAT, в полный рост. ИМХО, там маршрутизация. Щя гляну ... Добавлено Ну есть какая-то шляпа типа IGRP/EIGRP - не охота голову забивать, нашел там "routing protocol" и ланна. |
Сообщ.
#37
,
|
|
|
Цитата JoeUser @ Если не брать за эталон кастрированные реализации NAT-а на железяках На железяках тоже все есть. Собственно с чего возник вопрос, в микротике это все добро в разделе NAT: |
Сообщ.
#38
,
|
|
|
Цитата ^D^ima @ На железяках тоже все есть. На многих есть, на копеечном барахле, как правило, нет. А копеечного барахла в организациях просто валом. Добавлено Цитата ^D^ima @ Собственно с чего возник вопрос, в микротике это все добро в разделе NAT: Ну ... картинка же все показывает. Раздел NAT, возможность добавлять свои правила обработки. Все ровно. |
Сообщ.
#39
,
|
|
|
Цитата JoeUser @ Все ровно. все операции которые на картинке относятся к технологии ната? |
Сообщ.
#40
,
|
|
|
Цитата ^D^ima @ все операции которые на картинке относятся к технологии ната? Затрудняюсь сказать. Надо читать хелп по правилам. |
Сообщ.
#41
,
|
|
|
Цитата JoeUser @ На сколько я разобрался, маскарадинг практически аналогия SNAT. Нет. При SNAT в каждом пакете подпадающим под правило происходит подмена адреса указанного в данном правиле. При маскарадинге, ip каждый раз вычисляется, посему нагрузка от последнего больше. Добавлено Цитата ^D^ima @ Цитата JoeUser @ Все ровно. все операции которые на картинке относятся к технологии ната? Все операции указанные на картинке относятся к Добавлено Цитата Akina @ Например, внешнее обращение к веб-серверу на маршрутизаторе (не роутере) переводится с порта 8080 на порт 80 - это NAT? Это PAT Добавлено Цитата JoeUser @ Добавлено Цитата Akina @ то тоже NAT, в полный рост. ИМХО, там маршрутизация. Щя гляну ... Пздц. L3 маршрутизатор не знает понятия "порт". В общем случае он смотрит заголовок IP пакета, конкретно dst ip, и согласно своей таблице и политик маршрутизации отправляет пакет дальше. Добавлено Цитата JoeUser @ Добавлено Ну есть какая-то шляпа типа IGRP/EIGRP - не охота голову забивать, нашел там "routing protocol" и ланна. Смешались в кучу кони/люди. Какое отношение имеют древние как говно мамонта протоколы динамической маршрутизации к пробросу порта за нат? Добавлено Цитата Akina @ А если в тех же условиях даже номер порта не изменяется, но нештатно изменяется TTL? Ттл итак штатно меняется, на каждом хопе. Ну есть ещё всякие поля, которые так сильно любят провайдеры типа рфц 2474/2475 Добавлено Кастрат чистых линухов. tcpdump+shell+iptables дают гораздо более широкие возможности для полёта фантазии. |
Сообщ.
#42
,
|
|
|
Цитата Gonarh @ При маскарадинге, ip каждый раз вычисляется, посему нагрузка от последнего больше. Откуда такая инфа? На сколько я понял из описания, маскарадинг - способ отслеживания состояния обслудиваемых интерфейсов. И как только происходит Up->Down - чистяться таблицы преобразований. Но если они со временем заполняются необходимыми правилами (текущими правилами) - дополнительного пересчета производиться не будет. Вощем, если я не прав - дай линк почитать про сей механизм. |
Сообщ.
#43
,
|
|
|
Цитата JoeUser @ способ отслеживания состояния В линуксах реализован ввиде conntrack, необходим для stateful фаервола и не только. Цитата И как только происходит Up->Down - чистяться таблицы преобразований Именно, таблица состояний conntrack будет очищена, все установленные соединения потеряны. В случае SNAT, они будут висеть пока не оттикает опред. таймер Цитата Но если они со временем заполняются необходимыми правилами (текущими правилами) - дополнительного пересчета производиться не будет. На каждое новое соединение будет заново получен IP адрес интерфейса куда сделан маскарадинг. Добавлено Цитата JoeUser @ Откуда такая инфа? Лет 7 назад изучал, как работает маскарадинг в линуксах, на ветке ядер 2.6 было по крайней мере так, щяс, хз. давно не лазил. |
Сообщ.
#44
,
|
|
|
Цитата Akina @ на маршрутизаторе (не роутере) маршрутизатор и есть роутер. русский и английский термин. |
Сообщ.
#45
,
|
|
|
Цитата Gonarh @ На каждое новое соединение будет заново получен IP адрес интерфейса куда сделан маскарадинг. Ну я линух не смотрел, но, ЕМНИП, на FreeBSD маскарадинг только отслеживает Up/Down и чистку таблиц. А NAT уже сам смотрит - если таблица пустая, ищет адрес, заполняет таблицу и отдает. Если таблица непустая - из нее берет. По факту - это две взаимосвязанные подсистемы. |