_Маскарадинг

[George]

Цитата:

Ну не суть..усложним задачу! Имеем комп с 2-мя сетевыми интерфейсами. Назовём его большой брат (ББ). Итак eth0 ББ смотрит в город. Садим на eth1 в ББ ноут. eth1 настраиваем как eth0..маскарадим т.е. Ноут видит сетку, заходит на форум..етс. Что увидит сервак если к примеру с самого ББ я начну заливку с сервака чего-то, к примеру по ftp, а с ноута начну ещё чё-нить делать на сетевых ресурсах сети?

Если я все правильно понял - то все будет хорошо в этом случае. Для сервера будет 1 IP и один мак... Если, конечно, маскарадинг правильно настроен.
Для винды "netsh /?". NAT поднимается без проблем.

[Pitty]

[QUOTE=Messiah][QUOTE=Pitty]Я постоянно провожу подобный натурный эксперимент.
Проверено уже раз 5.

Цитата:

Проверил, действительно воркает. Действительно просто. Дело усложняется тем, что не видишь происходящего на серверном узле. В этом отношении для меня не совсем прозрачна работа виртуал_приват_нетворк suicide Ну не суть..усложним задачу! Имеем комп с 2-мя сетевыми интерфейсами. Назовём его большой брат (ББ). Итак eth0 ББ смотрит в город. Садим на eth1 в ББ ноут. eth1 настраиваем как eth0..маскарадим т.е. Ноут видит сетку, заходит на форум..етс. Что увидит сервак если к примеру с самого ББ я начну заливку с сервака чего-то, к примеру по ftp, а с ноута начну ещё чё-нить делать на сетевых ресурсах сети?

Насколько я помню, это называется NAT. Ничего сервер не увидит. Он увидит только то, что ББ кроме заливния/сливания по ФТП решил ещё открыть пару сокетов: будь то 80 порт или, допустим DС++. единственная проблема - из сети нельзя напрямую обратиться к ноуту: любое взаимодействие будет только по инициативе самого ноута. Не совсем понял вот эту фразу:

Цитата:

eth1 настраиваем как eth0..маскарадим т.е.

. Если второй адаптер настроить также как адаптер, смотрящий в сеть, имхо, ничего работать не будет, т.к. это будут две разные сети.

[Messiah]

Цитата:

Сообщение от George

Если я все правильно понял - то все будет хорошо в этом случае. Для сервера будет 1 IP и один мак... Если, конечно, маскарадинг правильно настроен.
Для винды "netsh /?". NAT поднимается без проблем.

Аха..короче надо читать книгу "Командная строка ХР" Как то забывается, что она всё таки хоть и в усечённом варианте по сравнению с *nix, но всё же есть.

[Messiah]

Цитата:

Сообщение от Pitty

Насколько я помню, это называется NAT. Ничего сервер не увидит. Он увидит только то, что ББ кроме заливния/сливания по ФТП решил ещё открыть пару сокетов: будь то 80 порт или, допустим DС++. единственная проблема - из сети нельзя напрямую обратиться к ноуту: любое взаимодействие будет только по инициативе самого ноута.

Да, всё это логично и в осях понятно. Несколько напрягает проведение натурных экспериментов отчасти "вслепую" дабы не принести никому неприятностей..самому в их числе тоже. Оттого и консультационные перестраховки.NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation. Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене обратного (source) адреса при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами source/destination могут также заменяться номера портов source/destination.
Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к Интернету) часто применяется также destination NAT, когда, например, обращения извне сетевым экраном транслируются на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT). NAT выполняет две важных функции. Позволяет сэкономить IP-адреса, транслировав несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньше, чем внутренних).
Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
Недостатки. Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протоколов FTP или H.323).
Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.

[Vulzscht]

Цитата:

Сообщение от Pitty

единственная проблема - из сети нельзя напрямую обратиться к ноуту: любое взаимодействие будет только по инициативе самого ноута.

не совсем верно
да, в самом просто варианте нат обеспечивает вывод локалки в инет
т.о. все пакеты из локалки со статусом NEW,RELATED,ESTABLISHED проходят, а обратно пропускаются только RELATED,ESTABLISHED
но можно сделать и обратный процесс
например, на ноуте стоит Апач (ну на йух он кому нужен на ноуте не знаю, просто для примера). На роутер (ПК, стоящий на столе) приходит запрос на соединение с Апачем, притом на самом ПК он не настроен, но добавлено правило, что если трафик приходит на порт 80, то его отправляем в локалку на конкретный айпишник (ноут). Т.о. происходит взаимодействие Интернет->локальный сервер, а обратно трафик проходит по правилу для простого ната (но надо учитывать еще обращение к серверу из локалки, если конешно она не состоит только из сервера )
но тут требуется пропускать пакеты NEW, а это уже не так безопасно

[Messiah]

Цитата:

Сообщение от Vulzscht

не совсем верно
да, в самом просто варианте нат обеспечивает вывод локалки в инет
т.о. все пакеты из локалки со статусом NEW,RELATED,ESTABLISHED проходят, а обратно пропускаются только RELATED,ESTABLISHED
но можно сделать и обратный процесс
например, на ноуте стоит Апач (ну на йух он кому нужен на ноуте не знаю, просто для примера). На роутер (ПК, стоящий на столе) приходит запрос на соединение с Апачем, притом на самом ПК он не настроен, но добавлено правило, что если трафик приходит на порт 80, то его отправляем в локалку на конкретный айпишник (ноут). Т.о. происходит взаимодействие Интернет->локальный сервер, а обратно трафик проходит по правилу для простого ната (но надо учитывать еще обращение к серверу из локалки, если конешно она не состоит только из сервера )
но тут требуется пропускать пакеты NEW, а это уже не так безопасно

+10.. это то что и требовалось.

[savage]

Цитата:

Сообщение от Pitty

Я постоянно провожу подобный натурный эксперимент. Лабораторная работа: "Шаманство с бубном при установке винды на комп с 2мя сетевухами".
1. Имеем: маму с 2мя сетевухами, мак адрес одной из них забит на роутере, но эта иногда имеет тенденцию поглюкивать. Мак адрес второй роутеру не известен.
2. При установке винды имеем желание подрубить к сетке именно ту сетевуху, которая показала себя как стабильно работающая, но вот незадача: настраиваем все как положено и полная тишина. Соединение есть, в таблице arp даже что-то фигурирует, но пинга нет и вообще никаких других признаков жизни.
3. Делаем фокус: на вышеуказанной страничке забиваем адрес первой сетевухи во вторую и вуаля - все работает, даже перезагружаться не надо (он зе флай).
Проверено уже раз 5. В первый раз провел наверное часа 3, переустановил еще раз винду, прежде чем доперло в чем дело.

ЗЫ. А что такое маскарадинг? Напридумывали умных слов, а справочник подарить забыли...
*пошел чистить валенки.

Извини, Шаман, я кажется что то пропустил. Сетевуху ты настроил и что, все машины из внутренней локалки повалили во внешнюю?
З.Ы. MASQUERADE - используется для преобразования сетевых адресов, т.е. изменение исходящего IP адреса в IP заголвке пакета.

[Messiah]

Цитата:

Сообщение от savage

Извини, Шаман, я кажется что то пропустил. Сетевуху ты настроил и что, все машины из внутренней локалки повалили во внешнюю?
З.Ы. MASQUERADE - используется для преобразования сетевых адресов, т.е. изменение исходящего IP адреса в IP заголвке пакета.

Не то что повалили, табунами пошли и где то даже побежали. не побоюсь этого слова.

[Messiah]

Цитата:

Сообщение от savage

Извини, Шаман, я кажется что то пропустил. Сетевуху ты настроил и что, все машины из внутренней локалки повалили во внешнюю?
З.Ы. MASQUERADE - используется для преобразования сетевых адресов, т.е. изменение исходящего IP адреса в IP заголвке пакета.

Я так скажу, что строго говоря маскарад (masquerade) и трансляция адресов (NAT) не являются синонимами. Маскарад - замена адреса на адрес машины, выполняющей маскарад. Трансляция адресов - замена адреса на любой указанный. Вон оно чё, Михалыч... (С)

[Pitty]

Цитата:

Сообщение от Vulzscht

не совсем верно
да, в самом просто варианте нат обеспечивает вывод локалки в инет
т.о. все пакеты из локалки со статусом NEW,RELATED,ESTABLISHED проходят, а обратно пропускаются только RELATED,ESTABLISHED
но можно сделать и обратный процесс
например, на ноуте стоит Апач (ну на йух он кому нужен на ноуте не знаю, просто для примера). На роутер (ПК, стоящий на столе) приходит запрос на соединение с Апачем, притом на самом ПК он не настроен, но добавлено правило, что если трафик приходит на порт 80, то его отправляем в локалку на конкретный айпишник (ноут). Т.о. происходит взаимодействие Интернет->локальный сервер, а обратно трафик проходит по правилу для простого ната (но надо учитывать еще обращение к серверу из локалки, если конешно она не состоит только из сервера )
но тут требуется пропускать пакеты NEW, а это уже не так безопасно

В курсе. Я имел ввиду простейший случай... Такая фича, вроде бы, во многих роутерах называется port tunneling.