На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
  
> NAT
    Коллеги, добрый день!

    Думал я знаю как работает NAT(маскарадинг в микротике), но оказывается не совсем.

    Смотрю на микротике и вижу что для 1 входящего порта существуют аж 3 записи.

    1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт?

    2 Может сам хост 10.10.1.111 поменять IP отправителя, например на внешний? Как при этом отреагирует NAT?
    Прикреплённый файлПрикреплённый файлm1.png (8,56 Кбайт, скачиваний: 115)
      Цитата
      1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт?

      Дык, протокол UDP, так что на самом деле никакого соединения нет, можно хоть со всем интернетом общаться через один и тот же порт.
        Не понимаю, в чём проблема.

        Сессия NAT описывается совокупностью параметров. Протокол, адрес и порт (если протокол использует порты) источника, адрес и порт приёмника. Это как минимум. В показанных сессиях совпадает только три значения из пяти, этого более чем достаточно для деления трафика на сессии и правильной его маршрутизации.
          У меня сломалась телефония, я вначале не врубался почему отвечающий сервер 10.10.37 а не 10.10.1.111, потом глянул эту ерунду, все встало на места.

          У меня есть 50 телефонных аппаратов и сервер, все они коннектотся к порту 5060 IP провайдера телефонии.
          Скрина нет, но у них Dst.address, reply Src.address совпадают(95.213.198.99:5060), а вот(что логично) reply Dst.address(наш внешний публичный адрес офиса) отличается портами Внешний_IP:1000,Внешний_IP:1001,Внешний_IP:1002,Внешний_IP:1003 и т.п. Т.е. соединение выходя на ружу биндит отдельный обратный порт.

          И так делают все 49 аппаратов, но 1 аппарат(внутр. IP 10.10.1.37) и сервер 10.10.1.111 биндят Внешний_IP:5060


          И проблема в том что на скрине не показано, но UDP трафик(стало быть это даже не соединение) от прова на порт 5060 10.10.37 телефонного аппарата приземлялся(видимо по первой найденной записи в NAT таблице кто последним(или первым) открыл порт 5060), вместо сервера 10.10.1.111.

          Так и собственно вопрос, почему проходя через маскарадинг внешние порты не биндятся из свободных, а используются как есть. Может сам аппарат и сервер влияют на это и к ним маскарадинг не применяется?
              Гугли sip alg nat
              Зы. Микротики говно.
              Сообщение отредактировано: Gonarh -
                Gonarh
                Что тогда не говно?
                  на микротике все сервисы отключены
                    Цитата ^D^ima @
                    Gonarh
                    Что тогда не говно?

                    Зависит от тз, кому и кобыла - невестаесли изъёбов не требуется,, достаточно туполинка с опенврт, если чуть-чуть энтерпрайзнее - какой-нить однокаменный HP Proliant c линуксами, ещё более энтерпрайзнее - цыцки.
                      Gonarh
                      А чем микротики говно?
                        Куча подземных стуков, начиная с того что рутерос дырявое решето, и открывать доступ в мир - такое себе, кончая нетривиальным конфигурянием, даже после хардресета, оно умудряется чтото оставлять в конфиге, пока в наглую не укажешь "нот дефолт конфиг". От версии к версии что-то ломают, функционал пилят годами, бгп сервис до сих пор(по состоянию на рос7) не умеет в мультитред, если у тебя пару раз в течении 5 минут дёрнулись бгп сессии это минимум на полчаса всасывания фуллвью, в это время - трафику писта, не ходит пока не лоаднется роуттейбл, дебага нет, тцпдампа нет, торч - для мазохистов, плюс нетривиальные изъёбы чтобы не дай боги процессинг трафика не убежал на цпу, со всеми вытекающими, а он обязательно убежит, если добавляешь правила в фаер, фасттрэк не поможет, рост цпулоад отнюдь нелинейный. Это если вкратце.
                        Сообщение отредактировано: Gonarh -
                          Похоже в нем дыры:
                          https://habr.com/ru/company/yandex/blog/577026/
                            Цитата ^D^ima @
                            Похоже в нем дыры:

                            Чувак в нём дыры перманентно, о чём выше я уже писал.
                            0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                            0 пользователей:


                            Рейтинг@Mail.ru
                            [ Script execution time: 0,0337 ]   [ 17 queries used ]   [ Generated: 19.03.24, 10:24 GMT ]