On Wed, May 26, 2010 at 07:36:57PM +0400, Alexandre Snarskii writes: AS> On Wed, May 26, 2010 at 06:12:30PM +0300, Pavel Gulchouck wrote:
On Wed, May 26, 2010 at 04:47:26PM +0200, Mike Petrusha writes:
Во-первых, часть сервисов из-за ната работает криво или не работает вообще, а те, что работают - работают медленно.
Сижу за натом и никаких неудобств не испытываю. Конечно, если кто хочет поднимать vpn или прочие туннели - тому нужна статика. Но таких ведь очень немного. Всякие skype, torrent, sip, онлайновые игрушки и пр. нормально работают через нат. Откуда могут взяться тормоза, если натящая железка справляется?
AS> Классический пример с torrent'ами: ты сидишь за nat'ом и AS> раздаешь какой-нибудь MPLS_Traffic_Engineering.pdf. Я тоже сижу AS> за nat'ом и хочу с тебя этот файл скачать. Вопрос: у меня это AS> получится ? Ответ: пока этот же файл не потребуется какому-нибудь AS> пользователю с белым ip - не получится. А ждать такого пользователя AS> можно очень долго - это вам не порнуха ;) Плюс, даже если такой AS> пользователь находится, но при этом у тебя 10Mbit, у меня 10Mbit, а AS> у него всего 128kbit да и то через спутник - файло через него будет AS> ехать о-о-о-чень долго, несмотря на то что оба NAT'а вполне справляются. Да, это понятно, но быстрая раздача непопулярных торрентов со своего открытого IP пользователям нужна редко. Btw, а торренты не используют что-то типа STUN? Не пытаются соединиться по UDP напрямую, когда оба за натом (при помощи сервера на этапе установки соединения)? Понятно, что это не всегда возможно, но во многих случаях должно получиться.
NAT выполняет две основных функции: экономия белых IP и безопасность. Обе мне кажутся достаточно важными.
AS> Безопасность, собственно, выполняет не столько NAT, сколько встроенный AS> в него stateful firewall. Да, вопрос можно переформулировать: нужны ли пользователю входящие соединения? Я считаю, что в подавляющем большинстве случаев не нужны и, наоборот, вредны. Когда нужны входящие, SMTP на внешние релеи, vpn и т.п. - это уже не совсем домашнее абонентское включение, оно должно по отдельному тарифному плану проходить, и такой пользователь будет осознавать, что его компьютер открыт для всех вирусов, хакеров и DoS-атак снаружи. А если входящие закрыты - тогда и смысл в белых IP теряется, всё равно два таких пользователя не смогут передать файл или поговорить голосом без помощи внешнего релея. Если давать пользователям белые IP, не закрывать им входящие, следующие шаги в этом направлении - оставлять им SMTP куда угодно, не изолировать пользователей друг от друга, не ограничивать source mac/ip на пользовательском порту, не закрывать dhcp response от пользователей... Бывает и такое, конечно, но IMHO это не повод для гордости. С другой стороны, тоже понятно: пользователю даётся свобода; фильтрация его трафика - дополнительная услуга, которая требует дополнительных ресурсов; вирусы и ботнеты - проблема пользователей; исчерпание IPv4 - проблема RIR-ов; при NAT вычислить пользователя по IP крайне проблематично (для этого нужно вести лог всех соединений всех пользователей, и всё равно возможна ошибка из-за рассинхронизации часов) - всё это приводит к тому, что NAT постепенно остаётся только в корпоративных сетках, а что будем делать, когда закончатся IP-адреса, будем думать потом. :) -- Паша.