информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаЗа кого нас держат?Страшный баг в Windows
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 NSA выпустило Гидру 
 Неприятная уязвимость во всех WinRAR,... 
 Apple случайно превратила FaceTime... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Прекрасно и с НАТ'ом все решается - выставлением правильного (не очень большого) time-out'а на idle-соединения... 12.06.01 20:07  Число просмотров: 623
Автор: Rusik Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > Tut bylo usze koe chto ob etom no xochu dobavit'
> ob
> > odnoi
> > > oshibke kotoraja u menja vstrechaetsja chasto na
> local
> > > setkax B klassa pod MASQ:
> > > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > > Ne nashol k soszaleniu kopiu ee no sut' v tom
> chto on
> > > pishet chto vse svobodnye IP porty usze
> ispolzovany
> > (32xxx
> > > primerno) i vse bolshe nichego rabotat' ne
> moszet.
> > >
> > Это особенность функционирования MASQ - переброс
> соединений
> > на верхние порты
> > для машины на которой он поднят - при нескольких
> сотнях
> > машин во внутренней сетке это запросто может уперется
> в
> > вышеописанную проблему.
> > Пример:
> >
> > сетка 5 машин ....
> >
> > netstat -M | wc -l дает от 10 до 100 то есть для 5
> сотен
> > это
> > будет от 5000 до 50000 соединений ... идея понятна ?
> :)
> >
> > это частично лечится установкой прокси для доступа в
> Inet
> >
> > > A v NAT tosze takaja sze problema ili on po
> drugomu s
> > etim
> > > spravljaetsja?
> >
> > хотя full NAT и предполагает наличае диапазона IP на
> > внешнем интерфейсе
> > но это не решает вышеописанной проблемы кардинально
> ...
> >
> > Я бы всетаки смотрел в сторону proxy...
> > ...или получить диапазон легальных адресов пошире.
>
> Согласен, прокси однозначно, причем только для HTTP и FTP,
> и желательно кэширующий (лучше всего сквид), а прямой выход
> прикрой файерволом. Выход через нат или маскарадинг лучше
> давать выборочно, тем кому нужны другие протоколы,
> предварительно напугав пользователя и сняв с себя
> ответственность. Кроме решения проблемы с ограничением
> числа одновременных соединений ты получишь логи доступа,
> экономию трафика за счет кэширования, повышение
> безопасности - не всякий троян умеет туннелится через
> прокси по HTTP, да и ты в логах увидишь куда он лезет. Да,
> при этом желательно не устанавливать у пользователя defualt
> route - опять же от троянов. На прокси можно прикрыть
> скачивание отдельных типов файлов.
<networking>
MASQ ili NAT??? 04.06.01 05:26  
Автор: vladno Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi oshibke kotoraja u menja vstrechaetsja chasto na local setkax B klassa pod MASQ:
A immenno vot kakaja oshibka vyletaet chasten'ko:
Ne nashol k soszaleniu kopiu ee no sut' v tom chto on pishet chto vse svobodnye IP porty usze ispolzovany (32xxx primerno) i vse bolshe nichego rabotat' ne moszet.

A v NAT tosze takaja sze problema ili on po drugomu s etim spravljaetsja?
Proxy 04.06.01 14:27  
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
> Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi
> oshibke kotoraja u menja vstrechaetsja chasto na local
> setkax B klassa pod MASQ:
> A immenno vot kakaja oshibka vyletaet chasten'ko:
> Ne nashol k soszaleniu kopiu ee no sut' v tom chto on
> pishet chto vse svobodnye IP porty usze ispolzovany (32xxx
> primerno) i vse bolshe nichego rabotat' ne moszet.
>
Это особенность функционирования MASQ - переброс соединений на верхние порты
для машины на которой он поднят - при нескольких сотнях машин во внутренней сетке это запросто может уперется в вышеописанную проблему.
Пример:

сетка 5 машин ....

netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен это
будет от 5000 до 50000 соединений ... идея понятна ? :)

это частично лечится установкой прокси для доступа в Inet

> A v NAT tosze takaja sze problema ili on po drugomu s etim
> spravljaetsja?

хотя full NAT и предполагает наличае диапазона IP на внешнем интерфейсе
но это не решает вышеописанной проблемы кардинально ...

Я бы всетаки смотрел в сторону proxy...
...или получить диапазон легальных адресов пошире.
Proxy 04.06.01 20:16  
Автор: prop Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Tut bylo usze koe chto ob etom no xochu dobavit' ob
> odnoi
> > oshibke kotoraja u menja vstrechaetsja chasto na local
> > setkax B klassa pod MASQ:
> > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > Ne nashol k soszaleniu kopiu ee no sut' v tom chto on
> > pishet chto vse svobodnye IP porty usze ispolzovany
> (32xxx
> > primerno) i vse bolshe nichego rabotat' ne moszet.
> >
> Это особенность функционирования MASQ - переброс соединений
> на верхние порты
> для машины на которой он поднят - при нескольких сотнях
> машин во внутренней сетке это запросто может уперется в
> вышеописанную проблему.
> Пример:
>
> сетка 5 машин ....
>
> netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен
> это
> будет от 5000 до 50000 соединений ... идея понятна ? :)
>
> это частично лечится установкой прокси для доступа в Inet
>
> > A v NAT tosze takaja sze problema ili on po drugomu s
> etim
> > spravljaetsja?
>
> хотя full NAT и предполагает наличае диапазона IP на
> внешнем интерфейсе
> но это не решает вышеописанной проблемы кардинально ...
>
> Я бы всетаки смотрел в сторону proxy...
> ...или получить диапазон легальных адресов пошире.

Согласен, прокси однозначно, причем только для HTTP и FTP, и желательно кэширующий (лучше всего сквид), а прямой выход прикрой файерволом. Выход через нат или маскарадинг лучше давать выборочно, тем кому нужны другие протоколы, предварительно напугав пользователя и сняв с себя ответственность. Кроме решения проблемы с ограничением числа одновременных соединений ты получишь логи доступа, экономию трафика за счет кэширования, повышение безопасности - не всякий троян умеет туннелится через прокси по HTTP, да и ты в логах увидишь куда он лезет. Да, при этом желательно не устанавливать у пользователя defualt route - опять же от троянов. На прокси можно прикрыть скачивание отдельных типов файлов.
Прекрасно и с НАТ'ом все решается - выставлением правильного (не очень большого) time-out'а на idle-соединения... 12.06.01 20:07  
Автор: Rusik Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > Tut bylo usze koe chto ob etom no xochu dobavit'
> ob
> > odnoi
> > > oshibke kotoraja u menja vstrechaetsja chasto na
> local
> > > setkax B klassa pod MASQ:
> > > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > > Ne nashol k soszaleniu kopiu ee no sut' v tom
> chto on
> > > pishet chto vse svobodnye IP porty usze
> ispolzovany
> > (32xxx
> > > primerno) i vse bolshe nichego rabotat' ne
> moszet.
> > >
> > Это особенность функционирования MASQ - переброс
> соединений
> > на верхние порты
> > для машины на которой он поднят - при нескольких
> сотнях
> > машин во внутренней сетке это запросто может уперется
> в
> > вышеописанную проблему.
> > Пример:
> >
> > сетка 5 машин ....
> >
> > netstat -M | wc -l дает от 10 до 100 то есть для 5
> сотен
> > это
> > будет от 5000 до 50000 соединений ... идея понятна ?
> :)
> >
> > это частично лечится установкой прокси для доступа в
> Inet
> >
> > > A v NAT tosze takaja sze problema ili on po
> drugomu s
> > etim
> > > spravljaetsja?
> >
> > хотя full NAT и предполагает наличае диапазона IP на
> > внешнем интерфейсе
> > но это не решает вышеописанной проблемы кардинально
> ...
> >
> > Я бы всетаки смотрел в сторону proxy...
> > ...или получить диапазон легальных адресов пошире.
>
> Согласен, прокси однозначно, причем только для HTTP и FTP,
> и желательно кэширующий (лучше всего сквид), а прямой выход
> прикрой файерволом. Выход через нат или маскарадинг лучше
> давать выборочно, тем кому нужны другие протоколы,
> предварительно напугав пользователя и сняв с себя
> ответственность. Кроме решения проблемы с ограничением
> числа одновременных соединений ты получишь логи доступа,
> экономию трафика за счет кэширования, повышение
> безопасности - не всякий троян умеет туннелится через
> прокси по HTTP, да и ты в логах увидишь куда он лезет. Да,
> при этом желательно не устанавливать у пользователя defualt
> route - опять же от троянов. На прокси можно прикрыть
> скачивание отдельных типов файлов.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach