R
вот активный хост нат трансляции есть
ну там есть нюансы, это ICMP Query или ICMP Error
Size: a a a
2020 August 26
R
ICMP Query должен иметь ID
R
при получении ICMP Error сообщении надо посмотреть есть ли такая TCP/UDP сессия, если нет - то дропнуть пакет
FA
как же у них порренты то работают?
мне кажется с торрентами проблема отпала при любом нате лет так 10 назад
FA
при получении ICMP Error сообщении надо посмотреть есть ли такая TCP/UDP сессия, если нет - то дропнуть пакет
наверное должен, но по факту это всё от реализации зависит, вот нельзя говорить в общем случае
R
А как Symmetric NAT в этом помогает?
FA
т.е. помимо того что должен, конкретные товарищи наложат ограничения по железу, по памяти, по всему чему угодно, сверху придёт админ ещё своих ограничений наложит и всё это с тем что реализация стеков у разных хостов может быть разная
R
ну вот этот случай с ICMP
FA
А как Symmetric NAT в этом помогает?
Симметрик нат отбросит соединения с внешнего адреса которого нет в табличке существующих трансляций
FA
т.е. запрос просто не долетит
FA
извне
R
Симметрик нат отбросит соединения с внешнего адреса которого нет в табличке существующих трансляций
ну то есть в Full Cone "злоумышленник" должен положить в ICMP Payload корректный TCP/IP header в котором будет TCP/UDP порт, публичный IP и правильный протокол L4 который есть в таблице трансляций
R
ну да, в симметрике такая фильтрация более чётко отработает
R
это прям серьезная проблема?
FA
это прям серьезная проблема?
по нашему опыту именно эксплуатации Full Con - да. Там же не один злоумышленник. Иногда бывали ситуации когда идёт непрерывный (несколько недель) очень быстрый скан адресов из пула по очень разнообразным параметрам. До такой степени что таймеры жизни сессии не успевают отсохнуть, т.е. минуты.
И это не обязательно ICMP или что-то другое, очень много например открытых 22 и 23 и 80 портов и или тот же NTP, т.е. то что ответит всегда. И это не только компьютеры: телевизоры, приставки, утюги в том числе. Т.е. если разрешить любому внешнему соединению проходить сквозь NAT и доходить до абонента, то в какой-то момент набор параметров совпадёт чтоб де факто ненужное соединение поддерживалось открытым
И это не обязательно ICMP или что-то другое, очень много например открытых 22 и 23 и 80 портов и или тот же NTP, т.е. то что ответит всегда. И это не только компьютеры: телевизоры, приставки, утюги в том числе. Т.е. если разрешить любому внешнему соединению проходить сквозь NAT и доходить до абонента, то в какой-то момент набор параметров совпадёт чтоб де факто ненужное соединение поддерживалось открытым
FA
тогда новые абоненты будут получать новые адреса из публичного пула и там застревать, смысл же в экономии, т.е. адреса должны освобождаться, а они не освобождаются
R
Экономия есть, вместо 1 Public IP = 1 абонент, примерно 50 абонов на один адрес
FA
Экономия есть, вместо 1 Public IP = 1 абонент, примерно 50 абонов на один адрес
50 абонентов это очень жестоко, мы пришли к тому что не больше 4 на один адрес
R
Многие роутеры пингуют интернет раз в минуту чтобы показать юзеру что доступ в инет есть ( иконка на роутере), поэтому я не совсем понимаю про какое освобождение вы говорите
R
50 абонентов это очень жестоко, мы пришли к тому что не больше 4 на один адрес
более 1К портов на абона, имхо норм