Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.235.226.14] |
|
Сообщ.
#1
,
|
|
|
Коллеги, добрый день!
Думал я знаю как работает NAT(маскарадинг в микротике), но оказывается не совсем. Смотрю на микротике и вижу что для 1 входящего порта существуют аж 3 записи. 1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт? 2 Может сам хост 10.10.1.111 поменять IP отправителя, например на внешний? Как при этом отреагирует NAT? Прикреплённый файлm1.png (8,56 Кбайт, скачиваний: 128) |
Сообщ.
#2
,
|
|
|
Цитата 1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт? Дык, протокол UDP, так что на самом деле никакого соединения нет, можно хоть со всем интернетом общаться через один и тот же порт. |
Сообщ.
#3
,
|
|
|
Не понимаю, в чём проблема.
Сессия NAT описывается совокупностью параметров. Протокол, адрес и порт (если протокол использует порты) источника, адрес и порт приёмника. Это как минимум. В показанных сессиях совпадает только три значения из пяти, этого более чем достаточно для деления трафика на сессии и правильной его маршрутизации. |
Сообщ.
#4
,
|
|
|
У меня сломалась телефония, я вначале не врубался почему отвечающий сервер 10.10.37 а не 10.10.1.111, потом глянул эту ерунду, все встало на места.
У меня есть 50 телефонных аппаратов и сервер, все они коннектотся к порту 5060 IP провайдера телефонии. Скрина нет, но у них Dst.address, reply Src.address совпадают(95.213.198.99:5060), а вот(что логично) reply Dst.address(наш внешний публичный адрес офиса) отличается портами Внешний_IP:1000,Внешний_IP:1001,Внешний_IP:1002,Внешний_IP:1003 и т.п. Т.е. соединение выходя на ружу биндит отдельный обратный порт. И так делают все 49 аппаратов, но 1 аппарат(внутр. IP 10.10.1.37) и сервер 10.10.1.111 биндят Внешний_IP:5060 И проблема в том что на скрине не показано, но UDP трафик(стало быть это даже не соединение) от прова на порт 5060 10.10.37 телефонного аппарата приземлялся(видимо по первой найденной записи в NAT таблице кто последним(или первым) открыл порт 5060), вместо сервера 10.10.1.111. Так и собственно вопрос, почему проходя через маскарадинг внешние порты не биндятся из свободных, а используются как есть. Может сам аппарат и сервер влияют на это и к ним маскарадинг не применяется? |
Сообщ.
#5
,
|
|
|
Я пр это:
https://disk.yandex.ru/i/udIQE__yjVlouw |
Сообщ.
#6
,
|
|
|
Гугли sip alg nat
Зы. Микротики говно. |
Сообщ.
#7
,
|
|
|
Gonarh
Что тогда не говно? |
Сообщ.
#8
,
|
|
|
на микротике все сервисы отключены
|
Сообщ.
#9
,
|
|
|
Цитата ^D^ima @ Gonarh Что тогда не говно? Зависит от тз, |
Сообщ.
#10
,
|
|
|
Gonarh
А чем микротики говно? |
Сообщ.
#11
,
|
|
|
Куча подземных стуков, начиная с того что рутерос дырявое решето, и открывать доступ в мир - такое себе, кончая нетривиальным конфигурянием, даже после хардресета, оно умудряется чтото оставлять в конфиге, пока в наглую не укажешь "нот дефолт конфиг". От версии к версии что-то ломают, функционал пилят годами, бгп сервис до сих пор(по состоянию на рос7) не умеет в мультитред, если у тебя пару раз в течении 5 минут дёрнулись бгп сессии это минимум на полчаса всасывания фуллвью, в это время - трафику писта, не ходит пока не лоаднется роуттейбл, дебага нет, тцпдампа нет, торч - для мазохистов, плюс нетривиальные изъёбы чтобы не дай боги процессинг трафика не убежал на цпу, со всеми вытекающими, а он обязательно убежит, если добавляешь правила в фаер, фасттрэк не поможет, рост цпулоад отнюдь нелинейный. Это если вкратце.
|
Сообщ.
#12
,
|
|
|
Похоже в нем дыры:
https://habr.com/ru/company/yandex/blog/577026/ |
Сообщ.
#13
,
|
|
|
Цитата ^D^ima @ Похоже в нем дыры: Чувак в нём дыры перманентно, о чём выше я уже писал. |