Прекрасно и с НАТ'ом все решается - выставлением правильного (не очень большого) time-out'а на idle-соединения...12.06.01 20:07 Число просмотров: 1088 Автор: Rusik Статус: Незарегистрированный пользователь
> > > Tut bylo usze koe chto ob etom no xochu dobavit' > ob > > odnoi > > > oshibke kotoraja u menja vstrechaetsja chasto na > local > > > setkax B klassa pod MASQ: > > > A immenno vot kakaja oshibka vyletaet chasten'ko: > > > Ne nashol k soszaleniu kopiu ee no sut' v tom > chto on > > > pishet chto vse svobodnye IP porty usze > ispolzovany > > (32xxx > > > primerno) i vse bolshe nichego rabotat' ne > moszet. > > > > > Это особенность функционирования MASQ - переброс > соединений > > на верхние порты > > для машины на которой он поднят - при нескольких > сотнях > > машин во внутренней сетке это запросто может уперется > в > > вышеописанную проблему. > > Пример: > > > > сетка 5 машин .... > > > > netstat -M | wc -l дает от 10 до 100 то есть для 5 > сотен > > это > > будет от 5000 до 50000 соединений ... идея понятна ? > :) > > > > это частично лечится установкой прокси для доступа в > Inet > > > > > A v NAT tosze takaja sze problema ili on po > drugomu s > > etim > > > spravljaetsja? > > > > хотя full NAT и предполагает наличае диапазона IP на > > внешнем интерфейсе > > но это не решает вышеописанной проблемы кардинально > ... > > > > Я бы всетаки смотрел в сторону proxy... > > ...или получить диапазон легальных адресов пошире. > > Согласен, прокси однозначно, причем только для HTTP и FTP, > и желательно кэширующий (лучше всего сквид), а прямой выход > прикрой файерволом. Выход через нат или маскарадинг лучше > давать выборочно, тем кому нужны другие протоколы, > предварительно напугав пользователя и сняв с себя > ответственность. Кроме решения проблемы с ограничением > числа одновременных соединений ты получишь логи доступа, > экономию трафика за счет кэширования, повышение > безопасности - не всякий троян умеет туннелится через > прокси по HTTP, да и ты в логах увидишь куда он лезет. Да, > при этом желательно не устанавливать у пользователя defualt > route - опять же от троянов. На прокси можно прикрыть > скачивание отдельных типов файлов.
Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi oshibke kotoraja u menja vstrechaetsja chasto na local setkax B klassa pod MASQ:
A immenno vot kakaja oshibka vyletaet chasten'ko:
Ne nashol k soszaleniu kopiu ee no sut' v tom chto on pishet chto vse svobodnye IP porty usze ispolzovany (32xxx primerno) i vse bolshe nichego rabotat' ne moszet.
A v NAT tosze takaja sze problema ili on po drugomu s etim spravljaetsja?
Proxy04.06.01 14:27 Автор: XR <eXtremal Research> Статус: The Elderman
> Tut bylo usze koe chto ob etom no xochu dobavit' ob odnoi > oshibke kotoraja u menja vstrechaetsja chasto na local > setkax B klassa pod MASQ: > A immenno vot kakaja oshibka vyletaet chasten'ko: > Ne nashol k soszaleniu kopiu ee no sut' v tom chto on > pishet chto vse svobodnye IP porty usze ispolzovany (32xxx > primerno) i vse bolshe nichego rabotat' ne moszet. > Это особенность функционирования MASQ - переброс соединений на верхние порты
для машины на которой он поднят - при нескольких сотнях машин во внутренней сетке это запросто может уперется в вышеописанную проблему.
Пример:
сетка 5 машин ....
netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен это
будет от 5000 до 50000 соединений ... идея понятна ? :)
это частично лечится установкой прокси для доступа в Inet
> A v NAT tosze takaja sze problema ili on po drugomu s etim > spravljaetsja?
хотя full NAT и предполагает наличае диапазона IP на внешнем интерфейсе
но это не решает вышеописанной проблемы кардинально ...
Я бы всетаки смотрел в сторону proxy...
...или получить диапазон легальных адресов пошире.
> > Tut bylo usze koe chto ob etom no xochu dobavit' ob > odnoi > > oshibke kotoraja u menja vstrechaetsja chasto na local > > setkax B klassa pod MASQ: > > A immenno vot kakaja oshibka vyletaet chasten'ko: > > Ne nashol k soszaleniu kopiu ee no sut' v tom chto on > > pishet chto vse svobodnye IP porty usze ispolzovany > (32xxx > > primerno) i vse bolshe nichego rabotat' ne moszet. > > > Это особенность функционирования MASQ - переброс соединений > на верхние порты > для машины на которой он поднят - при нескольких сотнях > машин во внутренней сетке это запросто может уперется в > вышеописанную проблему. > Пример: > > сетка 5 машин .... > > netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен > это > будет от 5000 до 50000 соединений ... идея понятна ? :) > > это частично лечится установкой прокси для доступа в Inet > > > A v NAT tosze takaja sze problema ili on po drugomu s > etim > > spravljaetsja? > > хотя full NAT и предполагает наличае диапазона IP на > внешнем интерфейсе > но это не решает вышеописанной проблемы кардинально ... > > Я бы всетаки смотрел в сторону proxy... > ...или получить диапазон легальных адресов пошире.
Согласен, прокси однозначно, причем только для HTTP и FTP, и желательно кэширующий (лучше всего сквид), а прямой выход прикрой файерволом. Выход через нат или маскарадинг лучше давать выборочно, тем кому нужны другие протоколы, предварительно напугав пользователя и сняв с себя ответственность. Кроме решения проблемы с ограничением числа одновременных соединений ты получишь логи доступа, экономию трафика за счет кэширования, повышение безопасности - не всякий троян умеет туннелится через прокси по HTTP, да и ты в логах увидишь куда он лезет. Да, при этом желательно не устанавливать у пользователя defualt route - опять же от троянов. На прокси можно прикрыть скачивание отдельных типов файлов.
Прекрасно и с НАТ'ом все решается - выставлением правильного (не очень большого) time-out'а на idle-соединения...12.06.01 20:07 Автор: Rusik Статус: Незарегистрированный пользователь
> > > Tut bylo usze koe chto ob etom no xochu dobavit' > ob > > odnoi > > > oshibke kotoraja u menja vstrechaetsja chasto na > local > > > setkax B klassa pod MASQ: > > > A immenno vot kakaja oshibka vyletaet chasten'ko: > > > Ne nashol k soszaleniu kopiu ee no sut' v tom > chto on > > > pishet chto vse svobodnye IP porty usze > ispolzovany > > (32xxx > > > primerno) i vse bolshe nichego rabotat' ne > moszet. > > > > > Это особенность функционирования MASQ - переброс > соединений > > на верхние порты > > для машины на которой он поднят - при нескольких > сотнях > > машин во внутренней сетке это запросто может уперется > в > > вышеописанную проблему. > > Пример: > > > > сетка 5 машин .... > > > > netstat -M | wc -l дает от 10 до 100 то есть для 5 > сотен > > это > > будет от 5000 до 50000 соединений ... идея понятна ? > :) > > > > это частично лечится установкой прокси для доступа в > Inet > > > > > A v NAT tosze takaja sze problema ili on po > drugomu s > > etim > > > spravljaetsja? > > > > хотя full NAT и предполагает наличае диапазона IP на > > внешнем интерфейсе > > но это не решает вышеописанной проблемы кардинально > ... > > > > Я бы всетаки смотрел в сторону proxy... > > ...или получить диапазон легальных адресов пошире. > > Согласен, прокси однозначно, причем только для HTTP и FTP, > и желательно кэширующий (лучше всего сквид), а прямой выход > прикрой файерволом. Выход через нат или маскарадинг лучше > давать выборочно, тем кому нужны другие протоколы, > предварительно напугав пользователя и сняв с себя > ответственность. Кроме решения проблемы с ограничением > числа одновременных соединений ты получишь логи доступа, > экономию трафика за счет кэширования, повышение > безопасности - не всякий троян умеет туннелится через > прокси по HTTP, да и ты в логах увидишь куда он лезет. Да, > при этом желательно не устанавливать у пользователя defualt > route - опять же от троянов. На прокси можно прикрыть > скачивание отдельных типов файлов.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
