Vazeni pratele, nedavno jsem narazil na zajimavy
problemek. Da se z NATovaneho paketu zjistit,
ze byl NATovan? Jinak receno, da se zjistit,
ze dany pocitac maskaraduje nejakou sit?
Dik Honza
No, z maskarady ano, zdrojovy port se toula mezi 61000 a 65000, u bezneho nemaskovaneho spojeni je mezi 1024 a 5000 (linux, u win jsem v zivote nevidel tak vysoky port jako je 4000). U SNAT je to uz vetsi problem, porty jsou vetsinou stejne. Nejjednodussi je, pokud na masine bezi identd. Na dotazy na maskovana spojeni odpovida chybovym hlasenim, na spojeni primo z masiny vrati jmeno uzivatele, kteremu spojeni patri. Trosku slozitejsi metoda by asi spocivala v pokusu vnutit do spojeni vadny paket, ktery by prosel NAT kodem, ale maskovany stroj by vratil chybovou ICMP zpravu. Ve 2.2 kernelu (tedy maskarada) nebyly tyto chybove zpravy zpetne maskovany, takze v nich bylo skutecne ip maskovaneho pocitace. Jak je to v NAT kodu 2.4 jsem zatim nezkoumal. Otazkou ale zustava, nakolik je mozne takovy vadny paket protlacit.
