Vlákno názorů k článku Čínský alternativní klient pro Skype od Creckx - S internetovou telefonií to bude špatný dokud tu...
-
Creckx (neregistrovaný)S internetovou telefonií to bude špatný dokud tu bude strašit stařičký IPv4 protokol. Nebýt toho tak nikdo nemusí vymýšlet nějaké supernody a prolejzačky přes NAT. Skype jinak nepoužívám, nebudu a alternativní klient na tom nic nezmění. Supernody jsou hnus, zvlášť, když se k tomu někdo "nutí". Lepší řešení vidím v telefonování v Jabber sítích. Jelikož je Jabber decentralizovaná síť tak by Jabber servery měly být schopné obsloužit svoje usery za natem.
-
i když s tebou souhlasim, tak si nedovedu představit, že bych v naší firmě zrušil NAT a vystavil skoro všechny počítače s windowsama přímo. myslim, že by to celá firma nerozdejchala... až bude jednou IPv6 tak rozhodně routery zůstanou. Jak jinak bych měl kontrolu nad tím co se na síti děje? trochu se děsim doby, kdy každej BFU doma bude ze svýho počítače dělat bůhvíjakej superserver...
Ale co se týče komunikace VoIP, tak to určitě přínos bude. -
J (neregistrovaný)Pokud ten NAT neplni zaroven funkcni FW nebo je blbe nastaven, tak velmi snadno.
Staci na nej dorucit paket, jehoz adresat bude v privatni siti a odesilatel v te verejne. Router ja znamo nerozlisuje => paket vesele doruci. Adresatovi je to take jedno a odpoved doruci zcela zpravne na svoji defaultni GW, tady nastava mensi, ovsem snadno osetritelny problem - puvodnimu odesilateli dorazi odpoved ne od privatniho adresata, ale od verejne IP NATu. Pokud s tim ale pocitam, neni zadny problem v komunikaci vesele pokracovat dale. Respektive prave si mi podarilo navazat pripojeni => je zaznam v NAT tabulce => dalsi komunikaci vedu uz na sdeleny port a verejnou IP.
Podobne muzu vesele zjistovat organizaci vnitrni site a spoustu dalsich uzitecnych informaci. Takze NAT neni co se zabezpeceni tyce vubec knicemu. -
CIJOML (neregistrovaný)Asi nejlepsi reseni je:
#*******************************
#Nastavime default politiku na DROP
#*******************************
"$IPTABLES" -P INPUT DROP
"$IPTABLES" -P FORWARD DROP
"$IPTABLES" -P OUTPUT DROP
########################
#povolena odpoved na vse, co se na server dostalo
"$IPTABLES" -A OUTPUT -j ACCEPT
########################
#**************************
#GLOBALNI
#**************************
#Jsou vsechny nove pakety syn?
"$IPTABLES" -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
#Nemam rad fragmenty paketu
"$IPTABLES" -A FORWARD -f -j REJECT
#CLIENT
CLNTMAC="00:60:B3:xx:xx:xx"
CLNTIP="45.3"
"$IPTABLES" -A FORWARD -m mac --mac-source "$CLNTMAC" -s "$CELANET"."$CLNTIP" -m state --state NEW -j ACCEPT
"$IPTABLES" -A FORWARD -m state --state ESTABLISHED,RELATED -s "$CELANET"."$CLNTIP" -j ACCEPT
"$IPTABLES" -A FORWARD -m state --state ESTABLISHED,RELATED -d "$CELANET"."$CLNTIP" -j ACCEPT
"$IPTABLES" -t nat -A POSTROUTING -o "$ADAPTER" -s "$CELANET"."$CLNTIP" -j SNAT --to "$VENKIPSERVER" -
abyssal (neregistrovaný)Z principu potrebujete urcitu spolupracu oboch stran, ale zavisi ktora vam vyhovuje najlepsie, moznosti:
1. mate ssh ucet na unixovom stroji s verejnou IP
Z pocitacu vo vnutri siete, ku ktoremu sa chcete pripojit, pustite
ssh -R 1234:localhost:22 username_na_verejnom_stroji@stroj_s_verejnou_ip
(predpokladam, ze vam bezi ssh na porte 22)
Ked sa potom zvonka prihlasite na ten stroj s verejnou IP zvonka, date
ssh -p 1234 username_na_privatnom_stroji@localhost
(ono je dost mozne, ze to zarve, ze sa zmenil ssh kluc ak je kluc localhostu v ~/.ssh/known_keys[2], v tom pripade ho treba zmazat)
Ak sa chcete pripojit k pocitacu v privatnej sieti bez nutnosti najprv sa prihlasit k pocitacu s verejnou IP, pridajte do toho command-line -N, tak bude port forwardovany pre vsetkych, co sa k nemu pripoja, na pripojenie zvonka ku stroju vnutri date z lubovolneho stroja:
ssh -p 1234 username_na_privatnom_stroji@stroj_s_verejnou_ip
(tu to urcite zarve, ze sa zmenil kluc)
Este sa moze stat, ze tunel po case vyhnije (spadne), takze na tom stroji s privatnou IP je dobre si dat do cronu test, ci existuje PID toho ssh procesu vytvarajuceho tunel, ak neexistuje, treba ho znova spustit (v mojom pripade nepomohlo ani ked som pouzival keep-alive pakety, so znovaotvaranim tunela to islo super).
2. UDP hole punching
Pred par tyzdnami tu vysiel clanok "Prelez, preskoc a podlez NAT", pozrite sa tam, ale je to IMHO pracnejsie ako najst si shell na stroji s verejnou IP (ak zagooglite, najdete sluzby, co to ponukaju zadarmo). -
abyssal (neregistrovaný)Naposledy som to skusal hladat asi pred rokom. Pamatam si, ze to dalo celkom zabrat, bolo treba vyskusat viacero sluzieb (problemy s preplnenostou, nefunkcnostou, atd), skuste nejak nahodne vyberat z tohoto zoznamu (http://www.ductape.net/~mitja/freeunix.shtml), tusim tak som to robil ja. Inak tento vyzera celkom dobre: http://www.rootshell.be/. Bohuzial si uz nepamatam, ktory som si vybral, jedine mam vo fotografickej pamati jak vyzerala stranka ;-)
-
M (neregistrovaný)Prozatim nevim o tom ze by nejaky operator v siti Jabber tuto sluzbu nabizel, ale jde to samozdrejme. Fungovalo by to uplne stejne jako v jabberu funguji dnesni transporty do siti ICQ, MSN, YahooIM, atd... Obrovskou, ba primo kolosalni, vyhodou vsak je to, ze v jabberu tento transport takovy transport do "normalnich" telefonnich siti muze provozovat vice subjektu a vzajemne si konkurovat ... stejne tak je mozne mit jabber ucet spolecny s email uctem treba na gmail.com (doufam ze casem to zavede i seznam.cz, ktery se googlem rad nechava inspirovat :-) ... v tomto pripade bych to jen uvital) a s timto uctem si muzete zaregistrovat transporty mimo tento server, tudiz neexsituji snad zadna omezeni konkurencniho prostredi ... skoda, velka skoda je, ze si tyto vyhody neuvedomuji sami spotrebitele, a nevyzaduji je - to ma za nasledek bohuzel to, ze do otevrenych siti se firmy nehrnou, radeji zbastli uzavreny konkurencivzdorny protokol a budoucnost svych prijmu si pojisti skutecnosti ze konkurenci nebudou muset ve "sve siti" nikdy resit.
-
VS (neregistrovaný)Můžete použít JabPhone (https://www.jabphone.com/), funguje pro Google Talk a kompatibilní. Je to z USA, takže ceny do USA, Kanady a pod. jsou výborné, ČR je proti místním službám na SIP dražší. Po registraci Vám dají 30 usc na testy. SMS jsem zkoušel jen do ČR, fungovala, jen cena je na ČR moc drahá (20 centů), zřejmě proto, že SMS vůbec jsou v USA málo používané a dost drahé. Když jsem po spuštění služby zkoušel telefonovat, kvalita byla dobrá.
-
vhor (neregistrovaný)Stanice si většinou svou IPv6 adresu složí z prefixu (sítě) a z MAC adresy své ethernetové karty. MAC adresa pak tvoří součást IPv6 adresy např. mého notebooku bez ohledu na to, do které sítě na světě se připojím. Takže by mě teoreticky mohlo být možné podle toho identifikovat a zaznamenávat, jak se pohybuji, to máte pravdu.
Na druhou stranu autoři s tímhle počítali a každá stanice má možnost si ke své "hlavní" ipv6 adrese odvozené od MAC adresy vygenerovat ještě jednu, ve které MAC uvedená není. A tuhle adresu může používat pro spojení, které iniciuje sama (např. http, smtp, pop...). Druhá strana pak může zjistit síť, ale už ne který počítač v síti to je a nevidí ani jeho MAC adresu. To mi přijde jako ekvivalent toho, když je ipv4 počítač schovaný za adresou NATu.
Třeba i WinXP tohle implementované mají a myslím, že tu anonymní adresu navíc ještě po 24 hodinách mění.
Kromě toho stanice samozřejmě přijímá spojení zvenčí na svou hlavní ipv6 adresu (ať odvozenou od MAC nebo nastavenou adminem), např. ty voip hovory = jasná výhoda vůči ipv4 NATu.
ČLÁNKY DO MAILU