| |
|
|
| | Иногда NAT не пропускает ip-пакет во внутрению сеть, если не существует для него трансляции. А почему? Что мешает пропускать все входящие ip-пакеты внутрь? | |
| |
|
|
| |
|
|
| |
для: dump
(23.12.2011 в 15:20)
| | | Имеется в виду, если нет получателя пакета или что-то другое? Какие-попала пакеты стараются не пропускать, потому что большое их количество - это плохо и снижает скорость работы сети. За это NAT и ценят, что он не просто передает данные, но и фильтрует их. Я так понимаю его можно настроить его так, чтобы он вел себя как вам нужно. | |
| |
|
|
| |
|
|
| |
для: cheops
(23.12.2011 в 16:04)
| | | Ну просто иногда NAT настраивается так, чтобы компьютер находящийся внутри локальной сети, мог первым послать пакет через NAT, при этом NAT создаёт для него трансляцию(которая видимо закрывается по тайм-ауту если не пришёл ответ с сервера). При всём этом входящие пакеты пропускаются только тогда, когда они соответствуют трансляции. Такое описание NAT довольно часто встречается. А как же в таком случае работают например скайп или аська, ведь они слушают входящие порты, значит не везде так NAT настроен...Как я понял, везде, где на домашнем компе работает аська, можно также использовать этот комп как и сервер, например.... | |
| |
|
|
| |
|
|
| |
для: dump
(23.12.2011 в 16:21)
| | | Когда вы запускаете аську, вы же на сервер обращаетесь, осуществляете там авторизацию, т.е. вы пакеты в любом случае начинаете слать. Причем если у вас разрыв соединения (а на пути у вас NAT) - вам снова нужно осуществлять вход. А вот если вы Web-сервер развернете, который только слушает - никто к вам не пробьется. | |
| |
|
|
|
| |
|
|
| |
для: Valick
(23.12.2011 в 20:25)
| | | >Когда вы запускаете аську, вы же на сервер обращаетесь, осуществляете там авторизацию, т.е. вы пакеты в любом случае начинаете слать.
Да, но ведь аська не только пакеты отправляет, но и принимает. Например, когда она в режиме ожидания принимает входящие сообщение, как она его может принять, если NAT почти у всех провайдеров, как я понял не пропускает входящие пакеты? | |
| |
|
|
| |
|
|
| |
для: dump
(24.12.2011 в 13:50)
| | | Если бы выходящие пакеты не проходили бы, вы бы могли только отправлять запросы и ничего бы не получали бы, не смогли бы просто пользоваться Интернет. Речь о другом. Входящие пакеты пропускаются только в том случае, если уже был исходящий пакет по этому адресу. Т.е. пользователь "говорит" NAT: хочу говорить с этим сервером. NAT начинает пропускать пакеты в обе стороны. А теперь другая ситуация: сервер "говорит", хочу поговорить с одним из твоих клиентов. А NAT ему в ответ: вы знаете у нас как-то не принято беспокоить клиентов, если они первыми разговор не начинают... откуда вы его знаете? У нас вообще-то IP-адрес динамически выдаются, т.е. получается вам все-равно к кому из моих клиентов обращаться? Вы вероятно думаете, что у них у всех сервера настроены? Что я провайдер не абонентов, а дата-центров? Вы это серьезно? Знаете, что, давайте я вам откажу.
Т.е. если вы кого-то запросили - вам зеленый свет, если кто-то к вам ломиться, а вы его не запрашивали - ему отказ. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.12.2011 в 14:04)
| | | А это регулируется на уровне ip или tcp(udp)? | |
| |
|
|
| |
|
|
| |
для: dump
(24.12.2011 в 14:39)
| | | Нет, на уровне протоколов это не предусмотрено... да они же старенькие, они вообще на такую огромную сеть не расчитаны, у нас не хватает IP-адресов, нам пришлось ввести доменные имена, железо изначально предназначено было для коротких сетей, нужное только только появляться начало. Это дико разросшаяся локальная сеть с кучей костылей. Это же все выросло взрывообразно... у нас Интернетом управляют поисковые системы, они с задачей не справляются, они властью злоупотребляют, у нас коммерческие отношения либо не работают, либо не регламентируются... у нас DDOS-аткам почти невозможно противостоять, здесь куча проблем. Это вышедший из под контроля проект с взрывообразным ростом, если вы ищите инженерную логику, её тут нет и быть не может - это попытки латать протекающую плотину (которая изначально была веревочным мостом через пропасть). Пока она не разваливается, хотя воду до сих пор приходится выдавать по талонам. | |
| |
|
|
| |
|
|
| |
для: dump
(24.12.2011 в 14:39)
| | | Я вам больше скажу, они вообще не расчитаны на HTTP, они не для этого создавались. HTTP работает неэффективно. Если бы 1970 представляли во что все это выльется, у нас бы были совершенно другие протоколы. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.12.2011 в 15:09)
| | | А вообще на практике многие ли провайдеры с помощью NAT ограничивают доступ к своим абонентам извне? | |
| |
|
|
| |
|
|
| |
для: dump
(25.12.2011 в 10:43)
| | | Некоторое количество есть, у их абонентов проблемы с отдачей трафика на торрентах. | |
| |
|
|
| |
|
|
| |
для: cheops
(25.12.2011 в 12:20)
| | | А как вы думаете, какое соотношение тех которые запрещают внешний входящий трафик и не запрещающих? И какие в основном запрещают? | |
| |
|
|
| |
|
|
| |
для: dump
(25.12.2011 в 13:24)
| | | Не могу сказать... даже приблизительно. Это надо связистов пытать или системных администраторов, кто к железу ближе, у меня всегда так получалось, что лично я провайдерских дел избегал. МВ теоретически такой информацией должен владеть, но он скорее всего в эту тему даже не заглянет, а если заглянет, то не будет выуживать информацию из мозга - его более архитектурно-значимые вещи всегда интересовали (каналы, кто кому платит, кто с кем воюет или дружит, а игры с портами - звонить сильно много потребовалось бы, чтобы выяснить что там сейчас и как...). | |
| |
|
|
