-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed2.atman.pl!newsfeed.atman.pl!.P
OSTED!not-for-mail
From: "PawelS pawel(at)wbcd(dot)pl" <f...@e...org>
Newsgroups: pl.comp.pecet
Subject: Re: opoznienia na switchu
Date: Tue, 06 Nov 2018 18:10:53 +0100
Organization: ATMAN - ATM S.A.
Lines: 47
Message-ID: <prshuu$6bf$1@node1.news.atman.pl>
References: <lnXBD.281801$Yn.171243@fx14.ams1> <pr9hgt$qt9$1@node1.news.atman.pl>
<ycYBD.376267$fw.333082@fx04.ams1>
<5bd8511f$0$15495$426a74cc@news.free.fr>
<dC6CD.311522$Yn.48051@fx14.ams1> <prbl8t$he8$1@node2.news.atman.pl>
<dxeCD.339844$2D.171600@fx12.ams1>
<5bd9a7d0$0$14294$426a74cc@news.free.fr>
<5MoCD.457564$0R.28472@fx02.ams1> <5bdaafc6$0$5481$426a74cc@news.free.fr>
<d%PCD.527088$zG.133939@fx23.ams1>
<5bdbfcde$0$21611$426a74cc@news.free.fr> <1...@t...com>
<5bdc1ad2$0$15111$426a74cc@news.free.fr> <anx755cn8bxf$.dlg@tyczka.com>
<5bdc2f15$0$3748$426a74cc@news.free.fr>
<prnrh2$i90$1@node1.news.atman.pl>
<5bdff448$0$21618$426a74cc@news.free.fr>
NNTP-Posting-Host: host-89-231-96-70.dynamic.mm.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: node1.news.atman.pl 1541524254 6511 89.231.96.70 (6 Nov 2018 17:10:54 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Tue, 6 Nov 2018 17:10:54 +0000 (UTC)
User-Agent: Thunderbird 2.0.0.18 (X11/20081120)
In-Reply-To: <5bdff448$0$21618$426a74cc@news.free.fr>
Xref: news-archive.icm.edu.pl pl.comp.pecet:1260364
[ ukryj nagłówki ]Mateusz Viste pisze:
> On Sun, 04 Nov 2018 23:23:29 +0100, PawelS pawel(at)wbcd(dot)pl wrote:
>> Sprawdź jak to wygląda w przypadku kiedy Routerem jest Linux.
>> W kliencie HTTP przed nawiązaniem połączenia ustawiłem bind do lokalnego
>> portu, następie pobrałem stronę, która wyświetla informacje o połączeniu
>> (m.in. adres IP, port), adres IP oczywiście był adresem NAT,
>> ale port źródłowy się nie zmienił.
>
> Niektóre implementacje mogą próbować portu nie zmieniać, zgadza się. To
> pomaga m.in. przy RDP w ramach SIP. Ale to bardzo ograniczona zdolność, i
> tak czy inaczej nie pozwalająca wbić się zewnętrznej osobie trzeciej na
> ten sam port by trafić do hosta w LANie (któryś z kolegów to wcześniej
> sugerował)
Oczywiście mowa tutaj NAT (SNAT/MASQUERADE).
Tak czy inaczej w przypadku gdy dwa hosty znajdują się za NAT,
to nawet jeśli obydwa hosty nawiążą połączenie TCP z serwerem
osiągalnych dla obydwu hostów znajdujących się za NAT
nawet jak poznają swoje adresy IP+PORT za NAT w dalszym ciągu
nie będą w stanie ze sobą wymieniać bezpośrednio pakietów.
Żaden firewall/router/NAT nie wyśle do hosta dla którego robi NAT
pakietu pochodzącego z "zewnątrz" nie będącego pakietem
związanym z połączeniem wychodzących z sieci lokalnej
(oczywiście przy braku translacji w drugą stronę DNAT).
Tak jak sam napisałeś:
> Nikt inny z zewnątrz nie "wstrzeli się" w tą samą sesję.
Poza tym poniższy scenariusz też nie powinien zadziałać:
> W takiej sytuacji Grześ może tylko próbować wysyłać tysiące pakietów do
> Krzysia, z losowymi portami src licząc, że RouterG w którymś momencie
> podmieni port src na akurat ten wybrany przez RouterK. Słowem całkowita
> loteria. Dla zwiększenia szans powodzenia, Krzyś może rozpocząć
> kilkanaście sesji UDP z różnymi portami src, coby Krzysiowi było łatwiej
> trafić.
gdyż jak sam napisałeś:
> Tablica sesji NAT to nie tylko relacja "port zewnętrzny = klient w
> środku". To zestaw kilku informacji: port po translacji + adres IP po
> translacji + zdalny host + zdalny port + interfejs wyjściowy routera.
czyli, aby wysłać odebrany pakiet z "zewnątrz" i przesłać do host za NAT,
dane połączenie musi zostać odnalezione w tablicy sesji NAT,
w przeciwnym razie translacja odwrotna nie będzie możliwa,
czyli powyższe próby "Grzesia" zakończą się odrzucaniem pakietów
oraz ewentualnym logowaniem pakietów, a takie wysyłanie pakietów
może zostać odebrane jak skan portów i również zablokowane.
> From: Mateusz Viste <m...@n...pamietam>
Może pomóc przypomnieć ? ;)
Następne wpisy z tego wątku
- 06.11.18 18:47 Mateusz Viste
- 06.11.18 21:17 Roman Tyczka
- 08.11.18 18:52 PawelS pawel(at)wbcd(dot)pl
- 08.11.18 19:24 Mateusz Viste
- 08.11.18 21:00 Roman Tyczka
- 09.11.18 01:06 Marcin Debowski
- 09.11.18 08:59 Mateusz Viste
- 09.11.18 12:16 Marcin Debowski
- 09.11.18 20:32 PawelS pawel(at)wbcd(dot)pl
- 10.11.18 00:09 Marcin Debowski
- 24.11.18 19:21 Eneuel Leszek Ciszewski
Najnowsze wątki z tej grupy
- VMWare :)
- Co oznacza Wi-Fi? - po prostu nic!
- nowe programy wolniej rysują okna
- Drukara laserowa
- MSI B450 PRO VDH MAX - HDMI+DVI = 2 ekrany?
- Na tej Chmurce uciekły mi 2 posty
- Jakiś Volume
- Zniknął dźwięk na tylnym panelu
- Nowy, "szybki "komputer AsRock nie posiada modułu TPM
- Nowy, "szybki "komputer AsRock nie posiada modułu TPM
- wymiana ekranu w laptopie
- Re: Głośniki
- Re: Głośniki
- Fwd: Re: Głośniki
- Re: Głośniki
Najnowsze wątki
- 2024-05-20 Fiat wymyślił i zaprojektował Citroena Ami? ;)
- 2024-05-20 Nowe obowiązkowe wyposażenie samochodów
- 2024-05-20 Telewizor przestał widzieć sygnał z anteny
- 2024-05-20 Opole => Consultant/Implementer Comarch ERP XL <=
- 2024-05-20 Białystok => Starszy inżynier oprogramowania (Rust) <=
- 2024-05-20 Warszawa => Java Engineer <=
- 2024-05-20 Gdańsk => Specjalista ds. Sprzedaży <=
- 2024-05-20 Zielona Góra => Engineer R&D Mechanic <=
- 2024-05-20 Zabrze => Junior HelpDesk <=
- 2024-05-20 Warszawa => Key Account Manager <=
- 2024-05-20 Warszawa => Programista Full Stack .Net <=
- 2024-05-20 Kraków => Senior .Net Programmer <=
- 2024-05-20 Kraków => Programista .Net - Senior <=
- 2024-05-20 Fiat 125p wer. pikup - w PRL moszna było, w III Reczy [pospolitej] nie moszna
- 2024-05-19 Pożar salonu z chińskimi elektrykami
7 najczęściej popełnianych błędów przy zakupie mieszkania od dewelopera
