0
Mõnes sõnumsidesüsteemis saadavad/ võtavad kaks sõnumside klienti otse vestluses või üksteiselt vastu pakette. häälkõne. Arvan, et selle aluseks olev mehhanism (nt TCP): need klientprogrammid avavad kuulava TCP-pesa ja ütlevad sõnumiserverile/koordineerivale IP/PORT paarile. Seejärel toovad klientprogrammid sõnumi-/koordineerimisserverist teise osapoole IP/PORT-i. Ja üks neist (oletame, et A) käivitab seejärel TCP teisega (ütleme B) B vastuvõetud IP/PORT paariga.
Millal passiivne klient B (mis eeldab TCP pakett SYN) mitte NAT-i või puhverserveri taga, see on suurepärane. Aga kui B on NAT-i või puhverserveri taga, on IP/PORT paar tegelikult avalik võrguliides NAT või puhverserver.
Seega on minu küsimus järgmine: kui NAT või puhverserver saab TCP SYN-i, siis milline on selle vastus? Kuidas nad edastavad TCP SYN-i selle taga olevale vastavale hostile/protsessile?
2 vastust
Sorteerimine:
Tegevus
0
Kahtlen, et su esialgne oletus on õige. Tõenäoliselt avanevad mõlemad aktiivsed ühendused serverisse ja server suunab andmed nende vahel. See on palju lihtsam ja teie kirjeldatud probleemid kaovad.
0
See küsimus esitati selgelt juba ammu, kuid siiski...
Vestlus- ja hääl-/videokõnesid käsitletakse tavaliselt väga erinevalt. Vestluse puhul kasutad tõenäoliselt XMPP protokolli, kus mõlemad otsad loovad ühenduse serveriga ja vahetavad selle kaudu andmeid. XMPP on 4. kihis TCP-l, kuna töökindlus on tähtsam kui latentsusaeg. Kuna kliendid on need, kes ühenduse avavad ja säilitavad, ei teki sel juhul NAT-iga probleeme.
- osa, kus arutate võrku (IP-aadress ja port) ja signalisatsiooniks vajalikke koodekeid kõne seadistamiseks (tuntud kui SDP – Session Description Protocol)
- meediaosa, kus vahetate tõhusalt hääl-/videosisu kahe abonendi vahel.
Signaal liigub tavaliselt üle TCP, kasutades protokolle üle kõrge tase, nagu SIP (session Initiation Protocol). See teade läheb serveri kaudu. Meedia liigub üle UDP, kasutades kõrgema kihi protokolle, nagu RTP (Real Time Transfer Protocol), ja see osa sõnumist liigub tavaliselt võrdõigusvõrgu kaudu. Ühte UDP-porti saab kasutada nii ühe kõne-/videokanali liikluse edastamiseks kui ka vastuvõtmiseks. Lisaks soovite tõenäoliselt kõne ajal teavet kõne kvaliteedi kohta, et saaksite näiteks pakettakadude vältimiseks/vähendamiseks kasutatavat ribalaiust vähendada. Selleks peate kasutama RTCP-d (regulatsiooni kontrolli protokoll). sõidukit reaalajas). Sel juhul on NAT-i läbimine kriitiline! Kuna ükski klientidest ei tea oma avalikke IP-aadresse, vajate oma serverit sisevõrk(avalikus internetis), mis võiks öelda "nagu väljastpoolt näete", st NATi taga. Eriti. WebRTC maailm see server tunneb ICE-d. Kui partner teab, kuidas see Internetist nähtav on, paigutab ta selle teabe signaalsõnumi SDP-osa sisse, et teine ots saaks selle Interneti kaudu jõuda. Pidage meeles, et NAT-i kasutav ruuter võib vajada ka täiendavat konfiguratsiooni, et jälgida hääle ja video jaoks kasutatavaid UDP-porte (liikluse NAT-i suunamiseks Internetist teile tagasi).
Lõpuks on nendel juhtudel ka muid lahendusi, kuid see sõltub teie seadistusest. Kui kirjutad tarkvara Sest lõppkasutaja siis kehtivad eelnevad selgitused Kui aga kirjutad tarkvara ettevõtete turule, siis lahendusi nagu lisaserver(tuntud kui EDGE) teie servas ettevõtte võrk, on levinud lähenemisviis.
Ma võiksin sellest tunde kirjutada, aga alustamiseks peaks sellest piisama... :)
Ühendus arvutiga ühendatud kohalik võrk Internetiga saab teha selliseid tehnoloogiaid nagu NAT ja puhverserver. Mis need on?
Mis on NAT?
NAT on tehnoloogia, mis võimaldab ühendada kohtvõrku ühendatud personaalarvuteid Internetti, kasutades mehhanismi IP-aadresside (või portide) tõlkimiseks LAN-i välisesse võrguruumi. Iga kohtvõrku ühendatud arvuti esitab päringuid NAT-teenusele, mis teisendab need teatud Interneti-teenustele adressaatideks.
NAT-tehnoloogia kasutamine hõlmab reeglina eraldiseisva seadme kasutamist võrguseade- ruuter, server või näiteks tulemüür.
Isegi kui mitu arvutit on samal ajal NAT-tehnoloogia abil Internetiga ühendatud, näeb võrguserver päringuid ainult ühelt IP-aadressilt – sellelt, mis on installitud seadmesse, milles NAT-algoritme rakendatakse.
Kõnealusel tehnoloogial on kaks peamist tüüpi – Source NAT ja Destination NAT.
Esimene hõlmab paketi allika jaoks määratud aadressi asendamist edastamise ajal sellest paketist sihtarvutisse Internetis ja vastavalt sellele asendades paketi tagasisaatmisel kohtvõrgus sihtarvuti jaoks määratud aadressi. Vajadusel võivad muutuda ka LAN-i arvuti pordi numbrid.
Sihtkoha NAT-tehnoloogia hõlmab LAN-i saadetud pakettide tõlkimist väliskeskkond- näiteks võrguserverist konkreetsesse arvutisse kohalik IP-aadress, mis pole vastavale võrguserverile ligipääsetav.
Skeemi kasutamise peamine eelis LAN ühendused Internetti NAT-i kaudu - vastava teenuse sätete tsentraliseerimine. Igas kohalikku võrku ühendatud arvutis pole vaja mingeid erisuvandeid määrata.
Mis on puhverserver?
Puhverserver on tehnoloogia, mis võimaldab ühendada ühe või teise võrku ühendatud arvutid võrguteenused aktiveeritud spetsiaalse lüüsi kaudu eraldi rakendused. See tähendab, et LAN-i kuuluvate arvutite ühendamiseks kõigi nende puhverserveriga peate määrama ühenduse sätted. Puhverserveri tehnoloogia on sisuliselt tarkvarateenus, laaditud eraldi server LAN või mõnes Interneti-serveris.
LAN-iga ühendatud arvutid taotlevad juurdepääsu võrguressurssidele mitte otse, vaid puhverserveri IP-aadressi ja pordi kaudu. See kontseptsioon määrab puhverserveri ja NAT-i sarnasuste olemasolu selles mõttes, et võrguserver edastab sisu üksikute arvutite nõudmisel puhverserveri sätetes määratud ühisele IP-aadressile. Muidugi võivad puhverserverid mõnel juhul määrata ühendatud arvutitele kordumatuid väliseid IP-aadresse, kuid nende kokkulangemine algsete IP-aadressidega, mille all arvutid on LAN-is registreeritud, on praktiliselt võimatu.
Võib märkida, et on olemas puhtalt võrgupõhiseid puhverservereid, mida kasutatakse just selleks, et varjata tahtlikult Internetti ühendavate arvutite IP-aadresse. Nende tööpõhimõte on üldiselt sarnane kohtvõrku installitud puhverserverite toimimist iseloomustavale põhimõttele.
Proxy-tehnoloogia kasutamise üks peamisi eeliseid on veebisisu vahemällu salvestamine (külastatud veebilehtede elementide ja allalaaditud failide salvestamine serveri mällu), mis võimaldab teil kiirendada Interneti-juurdepääsu üksikutest arvutitest. Muud puhverserveri eelised on järgmised:
- teostada juurdepääsu kontrolli üksikud kasutajad LAN Internetti, sisu ja veebisaitide aadresside filtreerimine,
- installida puhverserveritesse viirusetõrjetarkvara, mis analüüsib väljuvaid ja sissetulev liiklus, mis võib märkimisväärselt parandada võrgu turvalisust.
Paljud eksperdid peavad puhverserveritehnoloogiat funktsionaalsemaks kui NAT, kuna see võimaldab rakendada mitmesuguseid juhtimisalgoritme juurdepääs võrgule peal programmi tasemel.
Võrdlus
Peamine erinevus NAT-i ja puhverserveri vahel on pakkumise tehnoloogilistes põhimõtetes samaaegne juurdepääs mitme LAN-is asuva arvuti Internetti.
Kui me räägime NAT-ist, siis see standard juhtimine võrguühendused hõlmab suhteliselt enama kasutamist lihtsad algoritmid- kui paketti Internetti saatva arvuti aadress muutub NAT-seadme aadressiks, mis võimaldab viimasel vastuspaketi vastu võtta ja sihtkohta toimetada. Saadetud ja vastuvõetud pakette ei kohandata.
Puhverserveri tehnoloogia hõlmab enama kasutamist keerulised mehhanismid pakettide vahetamise tagamine kohtvõrgus asuvate arvutite ja võrguserverite vahel. Näiteks puhverserveri kasutamisel saab sisu vahemällu salvestada, filtreerida ja viiruste suhtes kontrollida.
Olles kindlaks teinud, mis vahe on NAT-i ja puhverserveri vahel, salvestame peamised järeldused väikesesse tabelisse.
Tabel
| NAT | Puhverserver |
| Mis neil ühist on? | |
| Mõlemat tehnoloogiat kasutatakse organisatsioonilistel eesmärkidel samaaegne ühendus mitme kohalikku võrku ühendatud arvuti Internetti | |
| Võrguserverid saavad päringuid NAT-seadme või puhverserveri IP-aadressidelt, mis tegelikult ei ühti nende arvutite IP-aadressidega, milles need päringud genereeritakse | |
| Mis vahe neil on? | |
| NAT-seade muudab paketti Internetti saatva arvuti aadressi oma (või seadetes määratud) aadressiks, muutmata päringu struktuuri, misjärel, olles saanud paketi võrguserverist, edastab selle selle sihtkoht ka muudatusteta | Puhverserver, olles saanud arvutilt päringu, mis saadab paketi Internetti, suunab selle kindlaksmääratud IP-aadressi kaudu ümber võrguserverisse, misjärel toimetab paketi vastuvõtmisel selle muudatusteta või filtrite abil kohandamata sihtkohta. (vajadusel kontrollitud viirusetõrje mooduliga) |
| Tehnoloogia ei nõua täiendavate registreerimist võrgusätted LAN-i eraldi arvutites | See tehnoloogia nõuab võrgule juurdepääsuks kasutatavate programmide seadistamist igas kohtvõrgu arvutis |
Proovime näitena kasutada UserGate'i, kuigi mul pole seda käepärast, teen seda mälu järgi, nii et vabandage, kui mõni üksikasi vahele jääb.
Määrate UserGate'ile kasutaja - näiteks: Vasya. Märgid autoriseerimisviisi: ütleme: IP-aadressi järgi registreerid - 192.168.0.66, volituses saad lisaks täpsustada, et see võtaks suurema turvalisuse huvides arvesse ka MAC-aadressi, et need Vasjad ei paljuneks. .. Kui Vasya ainult sirvib lehekülgi ja palju muud, siis võib-olla piisab sellest, kui midagi alla laadida, HTTP ja FTP puhverserverid ning NAT ei pea olema lubatud (see kehtib ainult UG kohta, millest me siin räägime), loomulikult peaks Vasya brauser; kasutage järgmist märkeruutu: HTTP jaoks kasutage puhverserverit ja puhverserveri aadressi: 192.168.0.55 ja porti 8080 (või seda, mille määrasite oma UG sätetes) ja oletame, et FTP jaoks port 21. Kõik Vasya on seotud. Kuid võib-olla soovib Vasya saata ja vastu võtta kirju ka näiteks saidilt mail.ru... minge vahekaardile NAT, märkige ruut - kasutage kuskil, muudel seadete vahekaartidel tühjendage POP ja SMTP aktiveerimiseks ruut, sest , vaikimisi on need keelatud, vastavad üksused muutuvad aktiivseks, seejärel: minge Vasina seadetesse konto ja märgi sisse, et tal on lubatud, pane linnuke POP ja SMTP peale. Oleme Vasya jaoks NAT-i lubanud POP-protokollid ja SMTP. Kui see kurikuulus Vasya seab oma postiprogramm, siis see näitab tavalised seaded mail.ru-lt kirju vastu võtma ja vaikselt teie kirjad vastu võtma, nagu oleks ta otse Internetiga ühendatud. Kui teil on vaja lubada muid protokolle, peate need käsitsi registreerima. Ilma kasutades NAT-i peame samadel eesmärkidel korraldama postivärava Vasinosse meili klient registreerige lüüsi tee ja seadistage lüüs ise või korraldage portmapping (ümbersuunamine), näete, ütlesite, et NAT on jama, kuid see säästab teid tarbetust ringijooksmisest ja erinevatest keerulistest seadistustest. Eeldame, et oleme esimese ülesandega varem tegelenud. Otsige ise, kus see või see seade täpselt asub, kordan, et mul pole UserGate'i silme ees.
Teine ülesanne, vastupidi, on pakkuda teisele kasutajale, kes helistaks mulle modemi kaudu ( sissetulev ühendus) juurdepääs minu Internetile kohtvõrgu kaudu. Sel juhul saan modemite kaudu ühendades ip 192.168.5.1, valijale annan 192.168.5.2 (meie mask on 255.255.255.0).
Loome teise kasutaja: olgu selleks Misha. Autoriseerimine sisselogimise ja parooliga, kuna IP on kogu aeg erinev.
IN lisaseaded UG me näitame - kasutage vanempuhverserverit: ja sisestage sinna oma kohaliku võrgu puhverserveri aadress, kui seda muidugi kasutatakse. Kuid üldiselt tuleb sel juhul kohapeal vaadata.
Olen tavaline LAN-klient (ip 192.168.0.55 mask 255.255.255.0). Internetti pääsemiseks on mul kaks kanalit: üks meie kohaliku võrgu kaudu, teine modemi kaudu (sissehelistus). Modemile ligi pääsedes saan välise IP 84.53.206.121 (näiteks).
Minu esimene ülesanne on pakkuda sissehelistamisega Interneti-juurdepääsu samale kliendile kohalikus võrgus nagu mina (tema ip on 192.168.0.66 mask 255.255.255.0).
Minu enda arvamus: see, mida sa teed, on täielik häbi, sest... korjate võrku auke ja rikute turvarežiimi, ilma et teil oleks piisavalt teadmisi ning teie administraator on lihtsalt loll ja endine õpilane C klassi õpilane, kui ta lubab tavakasutajatel seda Internetis teha. Tuleb laksu anda ja adminn vallandada. Tavalise administraatorina poleks teil isegi õigusi ilma tema teadmata midagi masinasse installida, eriti puhverservereid ja NAT-i.
on selline asi nagu DHCP server, otsib klient automaatselt saadaval server ja saab IP ja NAT edastab teatud sellele määratud kohalikud aadressid, lisaks on veel selline asi nagu MAC aadressiga sidumine.Ja kui NAT-il pole vahet, millist IP-aadressi määrata, aga te ei pea kliendis seadistusi tegema ega määrama, kus NAT asub...
kõige tõenäolisemalt sellele, kes leiab esimesena... või mis on selgesõnaliselt märgitud... see on häda, kui kõik saavad installida kõike ja kõikjal, nii saate üldiselt kõik segi ajada ja võrgu kontrolli alt välja viia , seda saab kirjeldada ühe sõnaga - MESS, peab võrgul olema üks juht, kes selle võrgu poliitikat jõustab. Ja ülejäänud on populistlikud muinasjutud, nagu bolševike oma: iga kokk saab riiki juhtida. Vaatamata sellele, mida ma selles lõimes vastasin, on minu suhtumine sellesse kõigesse äärmiselt negatiivne ja pole vaja kuritarvitada teie administraatori pehmust või kogenematust. Ja kui kavatsete oma võrku sellist moderniseerimist ette võtta, peate vähemalt selgelt aru saama, mida teete, kuidas, miks ja milliseid tagajärgi see võib kaasa tuua. Ärge solvuge, see pole midagi isiklikku. Aga kujutage ette olukorda, kus bussis on iga reisijaiste varustatud rooli ja juhtpedaalidega, ma ei tahaks selles bussis olla.siis millisele arvutile klient ligi pääseb, kui NAT võrgus on näiteks kaks masinat?? (Igaüks saab installida sama UserGate'i või WinGate'i NAT-iga)
