Source port של NAT

[Rיקושט]

Source port של NAT

יש לי בעיה עם כמה סוגי נתבים שבמצעים NAT. אני לא יודע כל כך איך לגשת לבעיה או איך לחפש אותה אפילו. אני לא מבין למה הנתב שלי (alcatel 510) משנה את הsource port כאשר הוא יוצא החוצה. אם אפליקציה מסוימת יוזמת תקשורת מאחורי NAT בפורט 5000/TCP אני רוצה שהsource port ישמר כאשר הוא יוצא מהNAT, במקום זה הוא יוצא מפורט רנדומלי בטווחים של 10000-20000. ראיתי את זה קורה בכמה נתבים מסוגים שונים, ולעתיקים שדרוג של firmware עזר לבעיה. גם כאשר אני שם את המחשב מאחורי הNAT בDMZ הוא עדיין יוצא בפורטים שונים. מישהו יודע איך לחפש עזרה בנושא? או יודע איך לכוון את האלקטל שיפסיק להשתמש בפורטים שונים מהמקור? נ.ב יש רק מחשב אחד מאחורי האלקטל. תודה.

 

[rattlehead]

אאל"ט זה בגלל פעולת הNAT.

כל חלוקת הNAT מתבצע ע"י שינוי הפורט. ברגע שמחשב ברשת רוצה לצאת לאינטרנט הנתב מכניס אותו לטבלת הניתוב שלו, משנה לו את הIP לIP החיצוני ואת הפורט לפי מיקום התקשורת בטבלת הניתוב. ברגע שהמחשב החיצוני מחזיר תשדורת לנתב - הנתב בודק את הפורט אליו חזרה התשדורת וכך יודע לאיזה מחשב פנימי להעביר את המידע (הצלבה עם טבלת הניתוב) יכול להיות שגירסאות העדכון השונות גורמות לנתב לבחור את הפורט הנוכחי ורק אם הוא כבר תפוס להחליף פורט. אאל"ט, יש באלקטל את אופציית הIP Spoofing. אולי היא תעזור?

 

[Rיקושט]

כן, אני יודע איך NAT פועל

אבל האפליקציה המסוימת שלי לא מסתדרת עם שינוי הsource port שממנו הגיע החיבור (אני מדבר על הצד שנמצא בPublic IP) אין שום connection אחר שתופס את הפורט שאני רוצה, זה נראה כאילו החליטו שהsource port כשיוצא מהNAT יתחיל ב10000 והלאה. טמטום. הDHCP Spoofing לא טוב לי, אני צריך שיתוף של כמה מחשבים וspoofing יגביל אותי לאחד.

 

[mizu]

לא טמטום בכלל.

זה מתחייב, למעשה. תאר לעצמך מה היה קורה אם היו שני מחשבים שמשתמשים בדיוק באותה אפליקציה ועם אותו פורט. מה היה עושה הנתב? איך הוא היה יכול להבדיל בין המידע שחוזר, ולדעת למי להפנות אותו? בעיות של אפליקציות שעובדות בפורטים דינאמיים או שתלויות במספר פורט קבוע הן טבועות בעצם קיומו של ה-NAT. בדיוק למקרים כאלה הומצא פרוטוקול ה-UPnP. בתקווה, בקרוב כל הנתבים יתמכו בו (רובם כבר תומכים) וכנ"ל האפליקציות. עד אז, אין ברירה מלהכין מודול מיוחד שיתאים לכל אפליקציה את ההתנהגות שתגרום לה לעבוד כמו שצריך. תתפלא כמה כאלה יש, בלי שתדע בכלל, בתוך כל נתב. אגב, מכיוון שאמרת שיש לך רק מחשב אחד מאחורי מודם אלקטל שמבצע NAT, אז עדיף לך (בהרבה) לעבוד בצורת bridge עם PPPOE ולא בתצורת נתב. אני בטוח שאלקטל תומך בזה. בתצורה הזאת אין צורך ב-NAT, ולכן אין בעיות NAT. בנוסף, אם אתה מתעקש על נתב, יכול להיות שהגדרת static NAT תעזור (הפניית -כל- התעבורה מכתובת מסויימת לכתובת אחרת בלי התבוננות בפורטים). אני לא מכיר את הנתב הספציפי הזה, אז אני לא יודע איך הוא מתנהג. מיזו

 

[Rיקושט]

------->

כמובן שאם יש עוד אפליקציה שמשתמשת באותו הsport הייתי מצפה שהוא ישתמש בפורטים רנדומלים, זה מובן. אבל עובדה שיש נתבים שכן שומרים על הsport כל הדרך אם יצאתי במחשב ב5000 אני אצא גם מהNAT ב5000. מה שיושב מאחורי הנתב זה לא בדיוק מחשב, זה מכשיר. הוא לא יכול להתחבר בPPPoE ובקושי בDHCP (אז הייתי עושה dhcp spoofing). static NAT זה בעצם one to one NAT (האמת היא שזה פשוט NAT, כי פורטים זה בכלל PAT) וה510 לא תומך בזה (גם במצב של הפניה עיוורת - DMZ - זה לא עובד) וגם UPnP לא יעזור לי במקרה הזה (ה510 תומך UPnP). אני לא יודע איך לחפש את הבעיה הזו בgoogle כי כל התוצאות בדר"כ מצביעות על כל מיני בעיות רגילות של NAT ושום דבר שקשור להתנהגות הנתב מהבחינה שלי.

 

[rattlehead]

לא רשמתי את זה כדי ללמד אותך...

ואני לא בא בשום צורה מתנשא כלשהי (תתפלא כמה אנשי IT לא ממש יודעים איך NAT פועל) ולענייננו - אין לי אלקטל אז אני לא ממש יכול לבדוק את הנושא, אבל נסה את פקודת nat bind

nat bind application=<APP_NAME> port=<PORT_NUMBER>​

מקסימום.. תחליף נתב. שמעתי שלינוקס עושה עבודה מצויינת

 

[Rיקושט]

לא חשבתי שאתה "מלמד" אותי

מצטער שזה נשמע ככה. בכל אופן, לא זכור לי שאצלי בבית הייתי הבעיה הזו (ושם יש לי לינוקס בתור נתב) אז אני מניח שהmasq עושה עבודה טובה. הפקודה nat bind שייכת לאן? לcli של האלקטל?

 

[rattlehead]

אז הכל בסדר ../images/Emo8.gif

הפקודה אכן שייכת לCLI. בעבר קראתי קצת על הראוטר (נסיונות כושלים לחבר VPN של סימנטק דרכו... אולי אעלה את השאלה שוב בפורום הזה

) והבנתי שאפשר לקנפג "אפליקציות בעיתיות שלא עובדות טוב עם NAT" (הגדרת היצרן ד"א). הפקודה הולכת יד ביד עם nat bindlist יכול להיות שיש אפליקציות מוגדרות מראש - תעיף שם מבט.

 

[ariev]

אגב, כך לא פועל NAT אלא PAT

NAT אמיתי זאת פעולת החלפת כתובות IP ב-IP ללא שינוי הפורטים (בסיסקו זה כשמגדירים NAT ללא OVERLOAD) PAT זה בעצם התהליך של הסתרת כמה מחשבים מאחורי IP בודד לשאלתך, האם ניסית להגדיר את המחשב הבודד כ-DMZ HOST? או אולי NAT סטטי?