Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
MASQ ili NAT??? 04.06.01 05:26
Автор: vladno Статус: Незарегистрированный пользователь
|
Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi oshibke kotoraja u menja vstrechaetsja chasto na local setkax B klassa pod MASQ:
A immenno vot kakaja oshibka vyletaet chasten'ko:
Ne nashol k soszaleniu kopiu ee no sut' v tom chto on pishet chto vse svobodnye IP porty usze ispolzovany (32xxx primerno) i vse bolshe nichego rabotat' ne moszet.
A v NAT tosze takaja sze problema ili on po drugomu s etim spravljaetsja?
|
|
Proxy 04.06.01 14:27
Автор: XR <eXtremal Research> Статус: The Elderman
|
> Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi
> oshibke kotoraja u menja vstrechaetsja chasto na local
> setkax B klassa pod MASQ:
> A immenno vot kakaja oshibka vyletaet chasten'ko:
> Ne nashol k soszaleniu kopiu ee no sut' v tom chto on
> pishet chto vse svobodnye IP porty usze ispolzovany (32xxx
> primerno) i vse bolshe nichego rabotat' ne moszet.
>
Это особенность функционирования MASQ - переброс соединений на верхние порты
для машины на которой он поднят - при нескольких сотнях машин во внутренней сетке это запросто может уперется в вышеописанную проблему.
Пример:
сетка 5 машин ....
netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен это
будет от 5000 до 50000 соединений ... идея понятна ? :)
это частично лечится установкой прокси для доступа в Inet
> A v NAT tosze takaja sze problema ili on po drugomu s etim
> spravljaetsja?
хотя full NAT и предполагает наличае диапазона IP на внешнем интерфейсе
но это не решает вышеописанной проблемы кардинально ...
Я бы всетаки смотрел в сторону proxy...
...или получить диапазон легальных адресов пошире.
|
| |
Proxy 04.06.01 20:16
Автор: prop Статус: Незарегистрированный пользователь
|
> > Tut bylo usze koe chto ob etom no xochu dobavit' ob
> odnoi
> > oshibke kotoraja u menja vstrechaetsja chasto na local
> > setkax B klassa pod MASQ:
> > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > Ne nashol k soszaleniu kopiu ee no sut' v tom chto on
> > pishet chto vse svobodnye IP porty usze ispolzovany
> (32xxx
> > primerno) i vse bolshe nichego rabotat' ne moszet.
> >
> Это особенность функционирования MASQ - переброс соединений
> на верхние порты
> для машины на которой он поднят - при нескольких сотнях
> машин во внутренней сетке это запросто может уперется в
> вышеописанную проблему.
> Пример:
>
> сетка 5 машин ....
>
> netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен
> это
> будет от 5000 до 50000 соединений ... идея понятна ? :)
>
> это частично лечится установкой прокси для доступа в Inet
>
> > A v NAT tosze takaja sze problema ili on po drugomu s
> etim
> > spravljaetsja?
>
> хотя full NAT и предполагает наличае диапазона IP на
> внешнем интерфейсе
> но это не решает вышеописанной проблемы кардинально ...
>
> Я бы всетаки смотрел в сторону proxy...
> ...или получить диапазон легальных адресов пошире.
Согласен, прокси однозначно, причем только для HTTP и FTP, и желательно кэширующий (лучше всего сквид), а прямой выход прикрой файерволом. Выход через нат или маскарадинг лучше давать выборочно, тем кому нужны другие протоколы, предварительно напугав пользователя и сняв с себя ответственность. Кроме решения проблемы с ограничением числа одновременных соединений ты получишь логи доступа, экономию трафика за счет кэширования, повышение безопасности - не всякий троян умеет туннелится через прокси по HTTP, да и ты в логах увидишь куда он лезет. Да, при этом желательно не устанавливать у пользователя defualt route - опять же от троянов. На прокси можно прикрыть скачивание отдельных типов файлов.
|
| | |
Прекрасно и с НАТ'ом все решается - выставлением правильного (не очень большого) time-out'а на idle-соединения... 12.06.01 20:07
Автор: Rusik Статус: Незарегистрированный пользователь
|
> > > Tut bylo usze koe chto ob etom no xochu dobavit'
> ob
> > odnoi
> > > oshibke kotoraja u menja vstrechaetsja chasto na
> local
> > > setkax B klassa pod MASQ:
> > > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > > Ne nashol k soszaleniu kopiu ee no sut' v tom
> chto on
> > > pishet chto vse svobodnye IP porty usze
> ispolzovany
> > (32xxx
> > > primerno) i vse bolshe nichego rabotat' ne
> moszet.
> > >
> > Это особенность функционирования MASQ - переброс
> соединений
> > на верхние порты
> > для машины на которой он поднят - при нескольких
> сотнях
> > машин во внутренней сетке это запросто может уперется
> в
> > вышеописанную проблему.
> > Пример:
> >
> > сетка 5 машин ....
> >
> > netstat -M | wc -l дает от 10 до 100 то есть для 5
> сотен
> > это
> > будет от 5000 до 50000 соединений ... идея понятна ?
> :)
> >
> > это частично лечится установкой прокси для доступа в
> Inet
> >
> > > A v NAT tosze takaja sze problema ili on po
> drugomu s
> > etim
> > > spravljaetsja?
> >
> > хотя full NAT и предполагает наличае диапазона IP на
> > внешнем интерфейсе
> > но это не решает вышеописанной проблемы кардинально
> ...
> >
> > Я бы всетаки смотрел в сторону proxy...
> > ...или получить диапазон легальных адресов пошире.
>
> Согласен, прокси однозначно, причем только для HTTP и FTP,
> и желательно кэширующий (лучше всего сквид), а прямой выход
> прикрой файерволом. Выход через нат или маскарадинг лучше
> давать выборочно, тем кому нужны другие протоколы,
> предварительно напугав пользователя и сняв с себя
> ответственность. Кроме решения проблемы с ограничением
> числа одновременных соединений ты получишь логи доступа,
> экономию трафика за счет кэширования, повышение
> безопасности - не всякий троян умеет туннелится через
> прокси по HTTP, да и ты в логах увидишь куда он лезет. Да,
> при этом желательно не устанавливать у пользователя defualt
> route - опять же от троянов. На прокси можно прикрыть
> скачивание отдельных типов файлов.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
