Frozen Fido : RU.CISCO : Re: VIPnet

ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Victor Sudakov                       2:5020/400     14 Sep 2007  17:04:13
 To : "Mark A Bernadiner"
 Subject : Re: VIPnet
 --------------------------------------------------------------------------------

 Mark A Bernadiner wrote:
 
 [dd]
 
 >>
 >> Hасколько я понял, динамический отличается от статического тем, что
 >> хотя оба работают по UDP, но в динамическом режиме клиент периодически
 >> посылает пакеты, чтобы в nat/firewall поддерживать открытую дырочку.
 > 
 > ммм... помнится и в статическом тоже можно посылать...
 
 Тогда чем он отличается от динамического?
 
 > т.е. сказать в випнете статический, посылать периодически пакеты чтобы
 > в pix записть трансляции поддерживать и access-list не outside не ставить,
 > но какой в этом смысл??? это не прибавляет безопасности никак...
 
 Дело даже не в безопасности.
 
 > 
 >>
 >> > не знаю, может быть это как-то на том конце настраивается... х.з.
 >> > но на том конце они настраивают статический, видимо...
 >>
 >> > Кстати, это не с желехной дорогой? не этран ?
 >>
 >> Hет, пенсионный.
 >>
 >> > чтобы в access-list на outside не открывать можно сказать, в
 >> > випнете, чтобы он периодически посылал пакеты для поддержания
 >> > записей в таблице pix, естественно интервал такой посылки должен
 >> > быть меньше установленного в пиксе времени старения этой записи...
 >>
 >> Так что толку поддерживать запись
 >> inside          outside
 >> x.x.x.155/55777 y.y.y.190/1162
 >>
 >> если ответ на outside приходит _не_ на 1162.
 >>
 >> > но чем это будет лучше, чем прописать в access-list на outside??? в
 >> > принципе, думается, что ничем...
 
 Очевидно тем, что не будет привязки ко внутреннему приватному адресу.
 Ставь клиента на любую машину и работай.
 
 >>
 >> Дело даже не в листе. PIX не знает, что делать с пакетом, пришедшим на
 >> y.y.y.190/55777 вместо y.y.y.190/1162. И совершенно прав.
 >>
 >> > > шлет на 55777. Интересно, лечится ли это.
 >>
 >> > ну, видимо, так и должно быть...
 >>
 >> Hе должно так быть. Ты посмотри, как работает любой udp сервис,
 >> например DNS или NTP.
 > 
 > ;-) Hет никакой связи!
 > Пакеты посылает приложение на той стороне,
 > и делает оно это как его запрограммировали и/или настроили.
 > В существовании приложений которые посылают udp не с того порта на
 > который получают нет никакого криминала ;-)
 
 Сдуру, конечно, можно много чего сломать, но зачем намеренно делать
 приложение, которое не будет работать через обычный PAT ?
 
 То есть такие протоколы конечно есть, например tftp или sip, но они и
 являются головной болью при трансляции.
 
 Тем более что про VIPnet написано чёрным по белому:
 
 Nodes with Firewall Type set to "With dynamic NAT"
 
 This connection type is universal and can be used in most cases. The
 main goal of this connection type is to allow connections to network
 nodes located behind NAT translation or a firewall, whose routing
 table cannot be modified. This situation is typical for "simple"
 network devices like DSL or Wireless routers.
 
 > 
 > Когда я говорил, что так и должно быть,
 > я имел в виду, что у меня было именно так.
 > Можно предположить, что это настраивается на той стороне,
 > и, можно предположить, что эта настройка на той стороне именно для
 > статического режима.
 > 
 > Одним словом, настраивай для статического и не парься ;-)
 > девиз "каждому випнет-клиенту - отдельный реальный ip"  в действии.
 
 Давай считать, что у меня в данном месте нет технической возможности
 реализовать этот девиз. Один внешний IP адрес на всех, а внутри
 раздача по DHCP.
 
 -- 
 Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
 2:5005/49@fidonet http://vas.tomsk.ru/
 --- ifmail v.2.15dev5.4
  * Origin: Ulthar (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
VIPnet	Victor Sudakov	11 Sep 2007 13:23:49
Re: VIPnet	Mark A Bernadiner	12 Sep 2007 06:35:28
Re: VIPnet	Victor Sudakov	12 Sep 2007 07:58:27
Re: VIPnet	Victor Sudakov	13 Sep 2007 13:09:34
Re: VIPnet	Mark A Bernadiner	14 Sep 2007 07:42:28
Re: VIPnet	Victor Sudakov	14 Sep 2007 12:09:04
Re: VIPnet	Mark A Bernadiner	14 Sep 2007 14:37:41
Re: VIPnet	Victor Sudakov	14 Sep 2007 17:04:13
VIPnet	Anatoly Gerasimov	15 Sep 2007 11:03:02
Re: VIPnet	Victor Sudakov	17 Sep 2007 10:40:19
VIPnet	Anatoly Gerasimov	18 Sep 2007 05:43:27
Re: VIPnet	Victor Sudakov	19 Sep 2007 04:03:04
Re: VIPnet	Victor Sudakov	19 Sep 2007 08:52:45
VIPnet	Alex Semenyaka	19 Sep 2007 09:47:58
VIPnet	Slawa Olhovchenkov	19 Sep 2007 14:51:02
Re: VIPnet	Victor Sudakov	20 Sep 2007 09:20:27
VIPnet	Slawa Olhovchenkov	20 Sep 2007 12:26:52
Re: VIPnet	Victor Sudakov	20 Sep 2007 15:18:12
Re: VIPnet	Alexandr Goncharov	03 Oct 2007 07:39:20
Re: VIPnet	Dmitry Cherkashin	19 Sep 2007 04:04:14
Re: VIPnet	Victor Sudakov	19 Sep 2007 09:56:17

Архивное /ru.cisco/31364a3eca055.html, оценка 2 из 5, голосов 10