NAT
Svatopluk Dedic
garat na volny.cz
Středa Leden 21 11:45:03 CET 2004
Jenik wrote:
[ snip cca 60 radku ktere vysvetluji NAT ale nevysvetluji proc ne NAT ]
> iniciovala, jak byly zme(ne(ny porty a pod.) a tyto informace si pamatuje
> pouze ne(jakou dobu. Pokud do této doby neprojde pr(es router žádný paket
> patr(ící do toho konkrétního pr(ekladu, router pr(eklad zapomene a port
> uvolní. Tato doba je u protokolu TCP ne(kolik minut, u UDP jsou to
> obvykle desítky sekund. I toto mu*že vadit, když pošleme do Internetu
> dotaz a odpove(d( nestihne pr(ijít pr(ed vypršením c(asového limitu, tak se
> informace o pr(ekladu odstraní z opožde(ná odpove(d( se ignoruje,
> protože se
> neví, jakému vnitr(nímu poc(ítac(i patr(í.
Ano, to je velmi podstatne; nicmene mezi klFree a Internetem je NAT /
transparentni proxy ktery prave takoveto problemy zpusobuje (muze
zpusobovat). Mimochodem - skutecne se mapovani zapomina u *spojovaneho*
a otevreneho TCP kanalu ?
[snip 20 radek, ktere vysvetluji pouziti globalniho NAT pro pripojeni
klFree do Inetu]
[snip 10 radek o port fowardovani]
[snip 18 radek vysvetlujici NAT 1:1]
> NAT má v podstate( dve( výhody. První je využití jediné adresy mnoha
> poc(ítac(i. Protože máme uvnitr( kLfREE dostatek never(ejných IP adres,
> není
> jimi potr(eba takto šetr(it. Druhou výhodou je vedlejší ochrana zpu*sobená
OK, toto je vysvetleni _nepotrebnosti_ NATu, nikoliv skodlivosti pro
provoz site.
> Na druhou stranu je tu plno nevýhod NATu, které me( pr(ivedly k jeho
> zákazu. Poc(ítac(, který se pr(es NAT napojuje ven, nedokáže odhadnout, z
> jaké adresy a portu jeho spojení ve skutec(nosti pu*jde
> (adresa by ješte( odhadnout šla, port nikoliv). To je velký problém u
> služeb, které si tyto údaje pr(edávají. Dále nen
1000
í možno s poc(ítac(em za
Techniky pro vyreseni tohoto problemu uz jsou znamy:
- SOCKS 4/5 proxy (ma ji klFree?)
- pasivni prenosy pro FTP
Zminil bych jeste jeden problem:
- nespravna identifikace klientske stanice na strane serveru mimo NAT
domenu. Ten totiz vidi stroj, ktery provozuje NAT.
> NATem navázat komunikaci, velký problém internetové telefonie. Dalším
[poznamka: termin "klFree NAT" se vztahuje k dnat.klfree.net, pres ktery
je (vnitrni) sit klFree pripojena k Internetu a ktery provozuje NAT
"klasicke forme" - skryvani adresoveho prostoru vnitrni site klFree]
Kolik lidi nyni pouziva internetovou telefonii - a jak se tento problem
resi vyhozenim NATu uvnitr klFree, kdyz je NAT na vstupu do klFree ?
> problémem jsou c(asové limity, které vynutily zásah do služeb a
> zvyšují tok dat (je potr(eba obc(as posílat bezvýznamné pakety jen proto,
> aby se oddálilo vypršení c(asovac(e). Ne(které problémy NATu nejsou dodnes
N/A - skutecne se to deje ? V pripade transparentni proxy klient ani
nevi (nema vedet) ze tam nejaky NAT je (a tudiz nema potrebu pakety vysilat)
Ad nefunkcnost sluzeb za "lokalnim" NATem:
Vzhledem k tomu ze _vsechny_ pocitace klFree jsou za "klFree NATem",
budto sluzba funguje s jednim NAT (a pak proc ne s vice retezenymi),
nebo se stejne musi podniknout specialni kroky i v pripade absence NAT
_uvnitr_ klFree.
Stejnou techniku forwardovani portu jako snat.klfree.net muze pouzit i
jedinec ktery si chce zprovoznit NAT u sebe. Pocet prepisu IP headeru
neni prece nijak omezeny. Kdyz zvladne NAT, mel by zvladnout i tohle.
Resume:
- sluzby budto nejsou funkcni ani bez lokalnich NATu (kvuli klFree
NATu), nebo
- musi byt podpora v klientskych programech (passive ftp, socks, ...)
- se musi pouzit specialni opatreni na NAT (port fwd), ktere lze retezit
Takze - kde NATy zpusobuji problem ? Zbyva celkem logicka "ochrana
standardniho uzivatele" - ale ten si snad nebude porizovat svuj soukromy
firewall, ne ?
Pojdme se pripadne soustredit ne na to "co NAT je a jak se pouziva", ale
"proc nema NAT byt uvnitr klFree"; v predchozich e-mailech vicemene
postradam realne duvody krome jedineho ktery nebyl vyrcen: monitorovani
rozsahu, stavu site (coz by odpovidalo pozadavku na ICMP protokol na
vsech zarizenich) a adresne monitorovani datovych toku (napr. odchyt
extremnich stahovacu).
Nechci argumentovat za nebo proti NATu, skutecne mne zajimaji duvody
proc - doposud uvadena zduvodneni jsou, v pritomnosti dnat.klfree.net
mirne zavadejici (daji se aplikovat take na nej).
[off-topic]
Pozadavek na ICMP a ping se ukazal (pro mne prekvapive) docela striktni
-- napriklad muj DLink 900+ AP sice akceptuje z vnitrniho ethernet
interface ping, ale z wireless interface na nej zvysoka kasle, stejne
jako na http protokol (kterym se spravuje). Nastavit to samozrejme nejde.
Hezky den,
-Svata
Další informace o konferenci Kladno