-
Data: 2018-11-06 18:10:53
Temat: Re: opoznienia na switchu
Od: "PawelS pawel(at)wbcd(dot)pl" <f...@e...org> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Mateusz Viste pisze:
> On Sun, 04 Nov 2018 23:23:29 +0100, PawelS pawel(at)wbcd(dot)pl wrote:
>> Sprawdź jak to wygląda w przypadku kiedy Routerem jest Linux.
>> W kliencie HTTP przed nawiązaniem połączenia ustawiłem bind do lokalnego
>> portu, następie pobrałem stronę, która wyświetla informacje o połączeniu
>> (m.in. adres IP, port), adres IP oczywiście był adresem NAT,
>> ale port źródłowy się nie zmienił.
>
> Niektóre implementacje mogą próbować portu nie zmieniać, zgadza się. To
> pomaga m.in. przy RDP w ramach SIP. Ale to bardzo ograniczona zdolność, i
> tak czy inaczej nie pozwalająca wbić się zewnętrznej osobie trzeciej na
> ten sam port by trafić do hosta w LANie (któryś z kolegów to wcześniej
> sugerował)
Oczywiście mowa tutaj NAT (SNAT/MASQUERADE).
Tak czy inaczej w przypadku gdy dwa hosty znajdują się za NAT,
to nawet jeśli obydwa hosty nawiążą połączenie TCP z serwerem
osiągalnych dla obydwu hostów znajdujących się za NAT
nawet jak poznają swoje adresy IP+PORT za NAT w dalszym ciągu
nie będą w stanie ze sobą wymieniać bezpośrednio pakietów.
Żaden firewall/router/NAT nie wyśle do hosta dla którego robi NAT
pakietu pochodzącego z "zewnątrz" nie będącego pakietem
związanym z połączeniem wychodzących z sieci lokalnej
(oczywiście przy braku translacji w drugą stronę DNAT).
Tak jak sam napisałeś:
> Nikt inny z zewnątrz nie "wstrzeli się" w tą samą sesję.
Poza tym poniższy scenariusz też nie powinien zadziałać:
> W takiej sytuacji Grześ może tylko próbować wysyłać tysiące pakietów do
> Krzysia, z losowymi portami src licząc, że RouterG w którymś momencie
> podmieni port src na akurat ten wybrany przez RouterK. Słowem całkowita
> loteria. Dla zwiększenia szans powodzenia, Krzyś może rozpocząć
> kilkanaście sesji UDP z różnymi portami src, coby Krzysiowi było łatwiej
> trafić.
gdyż jak sam napisałeś:
> Tablica sesji NAT to nie tylko relacja "port zewnętrzny = klient w
> środku". To zestaw kilku informacji: port po translacji + adres IP po
> translacji + zdalny host + zdalny port + interfejs wyjściowy routera.
czyli, aby wysłać odebrany pakiet z "zewnątrz" i przesłać do host za NAT,
dane połączenie musi zostać odnalezione w tablicy sesji NAT,
w przeciwnym razie translacja odwrotna nie będzie możliwa,
czyli powyższe próby "Grzesia" zakończą się odrzucaniem pakietów
oraz ewentualnym logowaniem pakietów, a takie wysyłanie pakietów
może zostać odebrane jak skan portów i również zablokowane.
> From: Mateusz Viste <m...@n...pamietam>
Może pomóc przypomnieć ? ;)
Następne wpisy z tego wątku
- 06.11.18 18:47 Mateusz Viste
- 06.11.18 21:17 Roman Tyczka
- 08.11.18 18:52 PawelS pawel(at)wbcd(dot)pl
- 08.11.18 19:24 Mateusz Viste
- 08.11.18 21:00 Roman Tyczka
- 09.11.18 01:06 Marcin Debowski
- 09.11.18 08:59 Mateusz Viste
- 09.11.18 12:16 Marcin Debowski
- 09.11.18 20:32 PawelS pawel(at)wbcd(dot)pl
- 10.11.18 00:09 Marcin Debowski
- 24.11.18 19:21 Eneuel Leszek Ciszewski
Najnowsze wątki z tej grupy
- Funbox 3.0 zakres adresów DHCP
- Re: Funbox 3.0 zakres adresów DHCP
- Miernik szybkości netu
- Wymiana SIM Aero2
- Restart PC-ta
- Sila sygnalu routera
- Wiewiórki, szczury i myszy...
- VMWare :)
- Co oznacza Wi-Fi? - po prostu nic!
- nowe programy wolniej rysują okna
- Drukara laserowa
- MSI B450 PRO VDH MAX - HDMI+DVI = 2 ekrany?
- Na tej Chmurce uciekły mi 2 posty
- Jakiś Volume
- Zniknął dźwięk na tylnym panelu
Najnowsze wątki
- 2024-06-10 wyobrazcie sobie ze
- 2024-06-10 malowanie samochodu
- 2024-06-10 News from Poland
- 2024-06-10 Czy na pewno będą CŁA na chińskie samochody?
- 2024-06-09 Dlaczego w Polsce sie nic nie udaje, na przykładzie niebieskiego lasera a teraz perskowitów
- 2024-06-09 Dlaczego w Polsce sie nic nie udaje, na przykładzie niebieskiego lasera a teraz perskowitów
- 2024-06-09 Wykrywanie przerwy w długim przewodzie zakopanym w ziemi.
- 2024-06-09 Czemu news.chmurka.nwt jest taki wolny?
- 2024-06-11 Funbox 3.0 zakres adresów DHCP
- 2024-06-11 Re: Funbox 3.0 zakres adresów DHCP
- 2024-06-09 Miernik szybkości netu
- 2024-06-11 Panele PV w pionie (prawie).
- 2024-06-11 czy ta grupa żyje?
- 2024-06-11 Warszawa => Senior React Native Developer <=
- 2024-06-11 Gdańsk => Kierownik Działu Spedycji Międzynarodowej <=