информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Все любят медГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Некоторые пароли от G Suite хранились... 
 Microsoft выпустила Windows Sandbox 
 Microsoft выпустила исправление... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
MASQ ili NAT??? 04.06.01 05:26  
Автор: vladno Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi oshibke kotoraja u menja vstrechaetsja chasto na local setkax B klassa pod MASQ:
A immenno vot kakaja oshibka vyletaet chasten'ko:
Ne nashol k soszaleniu kopiu ee no sut' v tom chto on pishet chto vse svobodnye IP porty usze ispolzovany (32xxx primerno) i vse bolshe nichego rabotat' ne moszet.

A v NAT tosze takaja sze problema ili on po drugomu s etim spravljaetsja?
Proxy 04.06.01 14:27  
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
> Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi
> oshibke kotoraja u menja vstrechaetsja chasto na local
> setkax B klassa pod MASQ:
> A immenno vot kakaja oshibka vyletaet chasten'ko:
> Ne nashol k soszaleniu kopiu ee no sut' v tom chto on
> pishet chto vse svobodnye IP porty usze ispolzovany (32xxx
> primerno) i vse bolshe nichego rabotat' ne moszet.
>
Это особенность функционирования MASQ - переброс соединений на верхние порты
для машины на которой он поднят - при нескольких сотнях машин во внутренней сетке это запросто может уперется в вышеописанную проблему.
Пример:

сетка 5 машин ....

netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен это
будет от 5000 до 50000 соединений ... идея понятна ? :)

это частично лечится установкой прокси для доступа в Inet

> A v NAT tosze takaja sze problema ili on po drugomu s etim
> spravljaetsja?

хотя full NAT и предполагает наличае диапазона IP на внешнем интерфейсе
но это не решает вышеописанной проблемы кардинально ...

Я бы всетаки смотрел в сторону proxy...
...или получить диапазон легальных адресов пошире.
Proxy 04.06.01 20:16  
Автор: prop Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Tut bylo usze koe chto ob etom no xochu dobavit' ob
> odnoi
> > oshibke kotoraja u menja vstrechaetsja chasto na local
> > setkax B klassa pod MASQ:
> > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > Ne nashol k soszaleniu kopiu ee no sut' v tom chto on
> > pishet chto vse svobodnye IP porty usze ispolzovany
> (32xxx
> > primerno) i vse bolshe nichego rabotat' ne moszet.
> >
> Это особенность функционирования MASQ - переброс соединений
> на верхние порты
> для машины на которой он поднят - при нескольких сотнях
> машин во внутренней сетке это запросто может уперется в
> вышеописанную проблему.
> Пример:
>
> сетка 5 машин ....
>
> netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен
> это
> будет от 5000 до 50000 соединений ... идея понятна ? :)
>
> это частично лечится установкой прокси для доступа в Inet
>
> > A v NAT tosze takaja sze problema ili on po drugomu s
> etim
> > spravljaetsja?
>
> хотя full NAT и предполагает наличае диапазона IP на
> внешнем интерфейсе
> но это не решает вышеописанной проблемы кардинально ...
>
> Я бы всетаки смотрел в сторону proxy...
> ...или получить диапазон легальных адресов пошире.

Согласен, прокси однозначно, причем только для HTTP и FTP, и желательно кэширующий (лучше всего сквид), а прямой выход прикрой файерволом. Выход через нат или маскарадинг лучше давать выборочно, тем кому нужны другие протоколы, предварительно напугав пользователя и сняв с себя ответственность. Кроме решения проблемы с ограничением числа одновременных соединений ты получишь логи доступа, экономию трафика за счет кэширования, повышение безопасности - не всякий троян умеет туннелится через прокси по HTTP, да и ты в логах увидишь куда он лезет. Да, при этом желательно не устанавливать у пользователя defualt route - опять же от троянов. На прокси можно прикрыть скачивание отдельных типов файлов.
Прекрасно и с НАТ'ом все решается - выставлением правильного (не очень большого) time-out'а на idle-соединения... 12.06.01 20:07  
Автор: Rusik Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > Tut bylo usze koe chto ob etom no xochu dobavit'
> ob
> > odnoi
> > > oshibke kotoraja u menja vstrechaetsja chasto na
> local
> > > setkax B klassa pod MASQ:
> > > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > > Ne nashol k soszaleniu kopiu ee no sut' v tom
> chto on
> > > pishet chto vse svobodnye IP porty usze
> ispolzovany
> > (32xxx
> > > primerno) i vse bolshe nichego rabotat' ne
> moszet.
> > >
> > Это особенность функционирования MASQ - переброс
> соединений
> > на верхние порты
> > для машины на которой он поднят - при нескольких
> сотнях
> > машин во внутренней сетке это запросто может уперется
> в
> > вышеописанную проблему.
> > Пример:
> >
> > сетка 5 машин ....
> >
> > netstat -M | wc -l дает от 10 до 100 то есть для 5
> сотен
> > это
> > будет от 5000 до 50000 соединений ... идея понятна ?
> :)
> >
> > это частично лечится установкой прокси для доступа в
> Inet
> >
> > > A v NAT tosze takaja sze problema ili on po
> drugomu s
> > etim
> > > spravljaetsja?
> >
> > хотя full NAT и предполагает наличае диапазона IP на
> > внешнем интерфейсе
> > но это не решает вышеописанной проблемы кардинально
> ...
> >
> > Я бы всетаки смотрел в сторону proxy...
> > ...или получить диапазон легальных адресов пошире.
>
> Согласен, прокси однозначно, причем только для HTTP и FTP,
> и желательно кэширующий (лучше всего сквид), а прямой выход
> прикрой файерволом. Выход через нат или маскарадинг лучше
> давать выборочно, тем кому нужны другие протоколы,
> предварительно напугав пользователя и сняв с себя
> ответственность. Кроме решения проблемы с ограничением
> числа одновременных соединений ты получишь логи доступа,
> экономию трафика за счет кэширования, повышение
> безопасности - не всякий троян умеет туннелится через
> прокси по HTTP, да и ты в логах увидишь куда он лезет. Да,
> при этом желательно не устанавливать у пользователя defualt
> route - опять же от троянов. На прокси можно прикрыть
> скачивание отдельных типов файлов.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach