Vlákno názorů k článku Tak jsme na suchu! od sd - Pod timto honosnym nazvem skryva jedine. Cisco prelepujici...
-
sd (neregistrovaný)
Pod timto honosnym nazvem skryva jedine. Cisco prelepujici nalepkama linuxove masinky kterezto dokazou NATovat az 1Mpps/1M spojeni.
"Těžko si lze představit celoplošného operátora v libovolné středně veliké evropské zemi, který by vystačil pouze s 1024 adresami."
Ale to je kec.
Znate preci gprs/3G NAT vodafonu/tmobilu.
A z ceho tak prakticky soudim? V celku obycejne moderni PC zvlada 500kpps/500k spojeni, vcetne presmerovani tech co nemaji zaplaceno, pro segment Pilsfree kde je 3000 uzivatelu (operator o 15k uzivatelich, 3gb NIX, zhruba stejne zahranici). Neni problem takto na tom stroji protahnout 4gbps, ale to neni zrovna v tomto kontextu relevantni udaj.
Full-cone NAT omezuje pocet spojeni od vsech uzivatelu za natem na zhruba 64k (dolnich 1024 nepocitam) na jednu cilovou ip:port. Rekneme ze tato IP bude seznamu.cz:80, je realisticke predpokladat ze 5k uzivatelu na 1 NAT IP umozni minimalne 10 spojeni per user, v praxi az 100, mozna 500 diky agregaci klientely.
Aby jeden uzivatel neblokoval ostatni se da snadno zaridit (hashlimit na srcip:dstip:dstport=100).
Z teto spekulace lze dojit ze s 4mi ccky lze stabilne obslouzit alespon 5 milionu uzivatelu.
V pripade pilsfree to znamena ze drtiva vetsina z 15k lidi se schovava za jednim Cckem/10 IP adresami. A zdaleka v cechah nejsou jedini, czfree-like operatori maji v oblibe takto "prasit".
Nevidim problem v tom aby i "profi" operator mel takovych masin plne 2 rackove stojany pro svych 100k uzivatelu.
-
Majklik (neregistrovaný)
To je hezké, ale vzhledem k tomu, že prvděpodobně sami velcí telko operátoři tlačí do Rady Evropy návrh legislativy pro nový regulační rámec, který krom jiného bude navrhovat zákaz používání CGN, tak levný hardware schopný unatovat půlku vlasti je řešení cca na 4 roky, než to uplatí, ehm, protlačí do platnosti. Bylo to teda definováno trošku vzletněji, ale důsledek je zákaz NATu pro veřčejné telko operátory (operátor veřejné telko sítě nesmí pouížvat techniku a prostředky, které ukrývají jendoznačný komunikační identifikátor koncového uživatele sítě nebo mění na identifikátor jiného subjektu). Celé je to primárně mířeno na stížení života nejrůznější hlasových agilních služeb (typu VoIP, kde vás VoIP operátor identifikuje vašim mobilním číslem místo daného VoIP operátora a podobné), ale vlastní IP se s tím sveze také.
Nu, aspoň to urychlí nástuop IPv6 u těch, co nemají nasysleno dostatek IPv4 adres.:-) -
sd (neregistrovaný)
To zni celkem drsne. Lidi za NATem nejsou ani zbla anonymni, stejne jako ti co maji od UPC/O2 dynamickou IP. Logovani DHCP, stejne jako vytvarena spojeni za NATem po nejakou snesitelnou dobu (rekneme 3 mesice) mi prijde jako naopak korektni reseni ktere by melo byt na legislativni urovni (aby to nikdo nelogoval dele nez je treba :).
Pokud mi neco fizlove fakt chtej (vrazda), pomuze jim to, pokud je to naka blbost, po 3 mesicich promlceno.
To s tema VOIPama tezko rict. Snad jen legendarni:
"The more you tighten your grip, Tarkin, the more star systems will slip through your fingers." ―Princess Leia
Aneb pokud se budou do volny souteze srat na takto nizkem levelu a nebudou mit korektni support pro SIP, uvolni tim prostor Microsoftu s lumii ktera bude mit wifi a Skype za super duper lechce monopolni, ale stale levnejsi ceny.
-
aaaaaaaa (neregistrovaný)
U NATu zalezi na providerovi a jeho nastaveni. V jednom mensom meste ma 1 garazovy provider wifi sice s WPA2, ale preshared key, takze nikto nema problem sa pripojit ako chce a kde chce v ramci mesta. Formalne funguje logovanie tak, ze je v zmluve povinnost nahlasovat "providerovi" MAC adresu kazdeho pripajaneho zariadenia, ale to nerobi nikto, koho poznam. A u takehoto NATu ma jednoducho nikto lahko nenajde, lebo aj bez zmeny MAC adresy je problem zistit, komu ta MAC adresa vlastne patri.
-
Aktuálně mám jen na svém domácím routeru cca 60 otevřených TCP spojení, a to mám teď lehce aktivní (jabber, pošta, a teď root) cca jeden počítač a zapnutý jeden chytrý telefon. Jen reloadnutím facebooku to číslo vyskočilo na ~120. Pustění skype - nárust o 140 spojení. Puštění prohlížeče s pár záložkama - cca 500 otevřených spojení. A to v tom nejsou žádné případné torrenty, spamboti a podobné věci, co mívají lidé puštěné. Mě z toho vyplývá, že za jednu IP adresu dáte maximálně tak 16-64 zákazníků (a to u těch 64 budete muset být hodně drsný).
Těch 1024 IP adres je ještě hodně optimistické číslo, protože jednak nemůžete využít úplně všechny porty a jednak potřebujete i nějaké IP adresy na vlastní infrastrukturu a taky o nějaké přijdete díky rozdělení na menší podsítě (minimálně adresa podsítě, síťová maska a gateway).
Já bych si troufl tvrdit, že přes veškeré vaše spekulace, které počítají pouze propustnost NATu, původní tvrzení stále platí.
Takže ten váš "profi" operátor může plnit stojany mašinama jak bude chtít, ale stejně mu to bude pořád k ničemu, když na druhé straně nebude mít dostatek adres a portů.
-
sd (neregistrovaný)
Vsechna ta spojeni jsou na jeden cilovy stroj? Jste si jist ze nejste v nejakem zombie botnetu :)
Dokonce i ten torrent kontaktuje kazdeho peera pouze jednim spojenim.
Prosim vysvetleni jak vas priklad "bezneho uzivatele" ovlivnuje cone nat. Jediny priklad kdy jsem na limit narazil byl apache benchmark co vytvori vice jak 100 spojeni na server :)
Hash tabulky jsou velke, procesory rychle, hardware levny :)
-
sd (neregistrovaný)
Problem je ze tvuj server nepodporuje nat-pmp ci upnp co interakci s NATem resi. Pokud s tim ma server problem (proc? utorrent to umi :), lze si pomoci berlickou. Napriklad v linuxu pro minecraft server:
$ natpmpc -a 25565 25565 tcp 3600
Mi otevre port pro 25565. Samozrejme to neni idealni, protoze kdokoliv z okolnich uzivatelu si ten port muze zabrat taky. Velmi podobna situace jako dynamicka IP na modemu. Na casual hrani vic nez dostatecne, velke servery beztak potrebuji hosting.
Pokud provider neposkytuje alespon dynamickou verejnou IP, nebo portforward pres pmp/upnp (a nebo alespon pres telefon/web xycht), rychle od nej pryc, protoze na lidi sere a zajimaj ho jenom babicky na facebooku :)
-
sd (neregistrovaný)
Abych jen doplnil - rozdeleni netreba. Vsechny NAT GW mohou klido prdo sedet v jednom sdilenem /22 segmentu a vesele si povidat po BGP s core routerem kde sou spojovacky. Vim to protoze to tady tak je.
Jedine misto kde je potreba plytvat adresami je spojovacka mezi AS, coz je tradicne /30 (4 IP). Jejich pocet spoctete na prstech ruky i pro hodne velke operatory.
Na co narazim s cilovym strojem. Vsichni co machrujou s netstatem si neuvedomuji ze jeden zaznam NATu je kombinace:
srcip:srcport:dstip:dstport. Z toho plyne ze limit je na *zdrojove* strane, tam dojdou porty pro cilovou kombinaci ip:port. Vice jak 100 spojeni na jeden cil je ve vetsine pripadu beztak na hranici DOS utoku.
A mimochodem, vsechny prohlizece limituji pocet ESTABLISHED spojeni (FIN-WAIT se do limitu nepocitaji) na kazdou cilovou IP. Chrome 6 (https://code.google.com/p/chromium/issues/detail?id=85323), Firefox tusim 3. Na limit cone natu proste nemate sanci narazit.
-
"Full-cone NAT omezuje pocet spojeni od vsech uzivatelu za natem na zhruba 64k (dolnich 1024 nepocitam) na jednu cilovou ip:port. Rekneme ze tato IP bude seznamu.cz:80, je realisticke predpokladat ze 5k uzivatelu na 1 NAT IP umozni minimalne 10 spojeni per user, v praxi az 100, mozna 500 diky agregaci klientely."
Zrovna Full-cone NAT omezuje prave pocet odchozich spojeni <b>kamkoliv</b> protoze mapuje iAddr/iPort na eAddr/ePort bez ohledu na dstAddr/dstPort. Predpokladam, ze jste spise myslel Symmetric NAT.
Kazdopadne nemyslim, ze lze na prikladu Pilsfree dokazat, ze by male mnozstvi adres stacilo velkemu operatorovi, ktery nabizi vice typu sluzeb vcetne pomerne specifickych pro velke firemni zakazniky. Mimochodem site sdruzene v NFX maji adres mnohokrat vice.
-
sd (neregistrovaný)
Ano, mate pravdu, jedna se o symmetric NAT. Poucuju tady a sam v tom mam bordel - ty terminy v anglictine mi nejak v hlave evokuji presny opak (u nas cesky rikame 1:1 nat a 1:N nat).
Sub-alokace v ramci NFX maji ale podobna pravidla jako RIPE. Tzn ti velci s vetsi siti, co plati vice si vyhadaj vic. Ale i tak je adres celkove zalostne malo. Neexistuje neco jako spolecny pool, jednou se to prideli nejakemu sdruzeni a basta.
Adres ma pilsfree asi tak petkrat min nez by bylo treba pro verejnou IP pro kazdeho uzivatele. Coz kupodivu prilis nevadi, protoze v prumeru to bude tak paty az desaty uzivatel co ma vubec tuseni co to nejaka verejna adresa je.
