On Wed, May 26, 2010 at 06:12:30PM +0300, Pavel Gulchouck wrote:
On Wed, May 26, 2010 at 04:47:26PM +0200, Mike Petrusha writes:
Во-первых, часть сервисов из-за ната работает криво или не работает вообще, а те, что работают - работают медленно.
Сижу за натом и никаких неудобств не испытываю. Конечно, если кто хочет поднимать vpn или прочие туннели - тому нужна статика. Но таких ведь очень немного. Всякие skype, torrent, sip, онлайновые игрушки и пр. нормально работают через нат. Откуда могут взяться тормоза, если натящая железка справляется?
Классический пример с torrent'ами: ты сидишь за nat'ом и раздаешь какой-нибудь MPLS_Traffic_Engineering.pdf. Я тоже сижу за nat'ом и хочу с тебя этот файл скачать. Вопрос: у меня это получится ? Ответ: пока этот же файл не потребуется какому-нибудь пользователю с белым ip - не получится. А ждать такого пользователя можно очень долго - это вам не порнуха ;) Плюс, даже если такой пользователь находится, но при этом у тебя 10Mbit, у меня 10Mbit, а у него всего 128kbit да и то через спутник - файло через него будет ехать о-о-о-чень долго, несмотря на то что оба NAT'а вполне справляются. То же самое с sip'ом - без какого-нибудь media-relay с белым адресом мы с тобой поговорить не сможем.
NAT выполняет две основных функции: экономия белых IP и безопасность. Обе мне кажутся достаточно важными.
Безопасность, собственно, выполняет не столько NAT, сколько встроенный в него stateful firewall.
MP> Такими сервисами я лично не пользовался, но вполне могу себе представить MP> чаты/файл-сервера и т.п., на к-рых банят по IP. И если за этим IP - тысяча MP> пользователей, то наверное это сложно поддерживать.
О, наконец-то понял. Однозначная идентификация пользователя по ip-адресу! Да, эта причина становится всё более актуальной со временем. И тут, действительно, нужен не просто белый, а статический IP каждому. Чтобы никакой анонимности.
Ну что ж, IPv6 - наше будущее...
IPv6 stateful firewall'ов не отменяет.