 |
|
|
ru.nethack- RU.NETHACK ------------------------------------------------------------------- From : Maksim Rusakevich 2:5030/172.81 10 Jan 2003 19:44:58 To : Ilya Teterin Subject : фильтрация приватных адресов на роутерах -------------------------------------------------------------------------------- 04 Jan 31 12:46, Ilya Teterin wrote to Sergey Ternovykh: IT> Может, меня замучили глюки, но я до сих пор уверен, что NAT работать IT> не будет, если в таблице роутинга отсутствует маршрут на внутреннюю IT> подсеть :) А если маршрут есть, то пакет, пришедший на хост с любого IT> интерфейса, пойдет по этому маршруту, если специально не добиваться IT> другого. Давайте разберемся. Есть приватная сеть, есть интернет, между ними роутер с NAT. Если машина из частной сети хочет в Интернет, то на внешнем интерфейсе маршрутизатора выполняется трансляция адресов. При этом рутер запоминает, что он ее сделал. И по какому порту. Обратный пакет должен содержать адресом назначения ip адрес внешнего порта маршрутизатора (интернетовский) и верный порт. Маршрутизатор вспоминает, что он делал трансляцию и производит обратную подмену. И только затем наступает черед маршрутизации. В нашем примере таблицы маршрутизации (статической) вообще нет. Так как сеть является непосредственно подключеной к маршрутизатору. Теперь о зарезервированных ip (типа 192.168.. или 10...). Узловые маршрутизаторы инета не будут рутить такие адреса. Пакеты с такого адреса будут, а обратно нет. Именно потому, что нет маршрута к такой сети. NAT обеспечивает в некотором роде безопасность сети. А Ростелеком и файервольчиком прикрыт, наверняка. И нат не на маршрутизаторе настроен, а на файерволе. Я думаю, что здесь облом. Если будет серьезное обсуждение - настрою NAT, кину настройки и логи. IT> Кстати, приведенная выдержка из RFC, похоже, касалась routing IT> protocol, а не работы с пакетами. Так что это место нельзя считать IT> рекомендациями любому роутеру делать сабдж. В RFC есть высказывание IT> "пакеты с приватными адресами не должны бегать по интернету", но IT> обеспечивать это имхо должен гейт приватной сети, а не все IT> маршрутизаторы на свете :) Приватных сетей с одинаковыми ip тысячи. Hо путь на них не знает ни один маршрутизатор интернета. Они никуда не уйдут. Резать эти адреса - нет проблем, ресурсов это не жрет. Все это касается только динамического NAT, со статическим все честно, но там ты все равно стучишся на внешний интернетовский адрес, не зная, что машина стоит в локале с другим ip. Пиши, не забывай старика Макса. --- Фидорасы - это пользователи FIDO по RAS-у (с) * Origin: Митьки всегда будут в... (2:5030/172.81) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.nethack/39313e1f152e.html, оценка из 5, голосов 10
|
|
|