-
Data: 2018-11-06 18:10:53
Temat: Re: opoznienia na switchu
Od: "PawelS pawel(at)wbcd(dot)pl" <f...@e...org> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Mateusz Viste pisze:
> On Sun, 04 Nov 2018 23:23:29 +0100, PawelS pawel(at)wbcd(dot)pl wrote:
>> Sprawdź jak to wygląda w przypadku kiedy Routerem jest Linux.
>> W kliencie HTTP przed nawiązaniem połączenia ustawiłem bind do lokalnego
>> portu, następie pobrałem stronę, która wyświetla informacje o połączeniu
>> (m.in. adres IP, port), adres IP oczywiście był adresem NAT,
>> ale port źródłowy się nie zmienił.
>
> Niektóre implementacje mogą próbować portu nie zmieniać, zgadza się. To
> pomaga m.in. przy RDP w ramach SIP. Ale to bardzo ograniczona zdolność, i
> tak czy inaczej nie pozwalająca wbić się zewnętrznej osobie trzeciej na
> ten sam port by trafić do hosta w LANie (któryś z kolegów to wcześniej
> sugerował)
Oczywiście mowa tutaj NAT (SNAT/MASQUERADE).
Tak czy inaczej w przypadku gdy dwa hosty znajdują się za NAT,
to nawet jeśli obydwa hosty nawiążą połączenie TCP z serwerem
osiągalnych dla obydwu hostów znajdujących się za NAT
nawet jak poznają swoje adresy IP+PORT za NAT w dalszym ciągu
nie będą w stanie ze sobą wymieniać bezpośrednio pakietów.
Żaden firewall/router/NAT nie wyśle do hosta dla którego robi NAT
pakietu pochodzącego z "zewnątrz" nie będącego pakietem
związanym z połączeniem wychodzących z sieci lokalnej
(oczywiście przy braku translacji w drugą stronę DNAT).
Tak jak sam napisałeś:
> Nikt inny z zewnątrz nie "wstrzeli się" w tą samą sesję.
Poza tym poniższy scenariusz też nie powinien zadziałać:
> W takiej sytuacji Grześ może tylko próbować wysyłać tysiące pakietów do
> Krzysia, z losowymi portami src licząc, że RouterG w którymś momencie
> podmieni port src na akurat ten wybrany przez RouterK. Słowem całkowita
> loteria. Dla zwiększenia szans powodzenia, Krzyś może rozpocząć
> kilkanaście sesji UDP z różnymi portami src, coby Krzysiowi było łatwiej
> trafić.
gdyż jak sam napisałeś:
> Tablica sesji NAT to nie tylko relacja "port zewnętrzny = klient w
> środku". To zestaw kilku informacji: port po translacji + adres IP po
> translacji + zdalny host + zdalny port + interfejs wyjściowy routera.
czyli, aby wysłać odebrany pakiet z "zewnątrz" i przesłać do host za NAT,
dane połączenie musi zostać odnalezione w tablicy sesji NAT,
w przeciwnym razie translacja odwrotna nie będzie możliwa,
czyli powyższe próby "Grzesia" zakończą się odrzucaniem pakietów
oraz ewentualnym logowaniem pakietów, a takie wysyłanie pakietów
może zostać odebrane jak skan portów i również zablokowane.
> From: Mateusz Viste <m...@n...pamietam>
Może pomóc przypomnieć ? ;)
Następne wpisy z tego wątku
- 06.11.18 18:47 Mateusz Viste
- 06.11.18 21:17 Roman Tyczka
- 08.11.18 18:52 PawelS pawel(at)wbcd(dot)pl
- 08.11.18 19:24 Mateusz Viste
- 08.11.18 21:00 Roman Tyczka
- 09.11.18 01:06 Marcin Debowski
- 09.11.18 08:59 Mateusz Viste
- 09.11.18 12:16 Marcin Debowski
- 09.11.18 20:32 PawelS pawel(at)wbcd(dot)pl
- 10.11.18 00:09 Marcin Debowski
- 24.11.18 19:21 Eneuel Leszek Ciszewski
Najnowsze wątki z tej grupy
- Wiewiórki, szczury i myszy...
- VMWare :)
- Co oznacza Wi-Fi? - po prostu nic!
- nowe programy wolniej rysują okna
- Drukara laserowa
- MSI B450 PRO VDH MAX - HDMI+DVI = 2 ekrany?
- Na tej Chmurce uciekły mi 2 posty
- Jakiś Volume
- Zniknął dźwięk na tylnym panelu
- Nowy, "szybki "komputer AsRock nie posiada modułu TPM
- Nowy, "szybki "komputer AsRock nie posiada modułu TPM
- wymiana ekranu w laptopie
- Re: Głośniki
- Re: Głośniki
- Fwd: Re: Głośniki
Najnowsze wątki
- 2024-05-24 Chiński bestseller w Europie. Ford "martwi się nową konkurencją"
- 2024-05-24 Wiewiórki, szczury i myszy...
- 2024-05-24 Warszawa => QA Manager <=
- 2024-05-24 Warszawa => AI Specialist <=
- 2024-05-24 Zabrze => Analityk biznesowo-systemowy <=
- 2024-05-24 Ulm => Technischer Rollouter (d/m/w) <=
- 2024-05-24 Warszawa => Senior Rust Software Engineer <=
- 2024-05-24 Warszawa => Spedytor międzynarodowy <=
- 2024-05-24 Kraków => Head of International Freight Forwarding Department <=
- 2024-05-24 Warszawa => Senior Software Engineer PHP (BillPro) Contractor <=
- 2024-05-24 Warszawa => Senior Software Engineer PHP (BillPro) Kontraktor <=
- 2024-05-24 Warszawa => Cybersecurity Consultant <=
- 2024-05-24 Warszawa => Full Stack web developer (obszar .Net Core, Angular6+) <=
- 2024-05-24 Warszawa => React Native Developer <=
- 2024-05-24 Re: Ambasador USA zdradza: TVN Style nie jest firmą Unii Europejskiej :-)