Очень интересно как это реализовать? при обращении к ослиному серверу, создавать проброс? а как отличать ослиный сервер? вести список всех ослиных серверов? Может я не знаю чего, просветите?

В общем НАТ он и в африке НАТ. Если НАТ делается адсл модемом, за которым 2 устройства - пробрасывайте порты сколько угодно, если за НАТом десяток равноценных хостов - схема нежизненспособна.

serg, вот про детали я уже ничего не знаю, это надо у топикстартера уточнять

_________________
Вирус не в душах - вирус в телах. Но тела способны порабощать души.

Рыбный день #19: Техподдержка: как правильно готовить кошек

См. мой предыдущий пост про фифо и пары. У ослиных серверов более-менее узкий диапазон портов, можно смело считать соединение изнутри наружу с dport=4242 ослиным и ставить в фифо.

Нет, я думаю, идея жизнеспособна. Тут вопрос скорее организационный. Я не строю иллюзий, что вам, т.е. провайдеру, это все надо.

такой метод называется костыли. Рекоммендуйте подобное нашим конкурентам пожалуйста

Порты у осла, больше 1024, по этому менять правила НАТа, ориентируясь на него - глупость, особенно с учетом наличия ФТП, РТП, РТЦП и т.д.

К тому же подобные костыли можно реализовать лишь на РС-роутерах...

Уж какой есть. Кстати, даже у ваших конкурентов нет одновременно серых адресов, резки сессий и резки полосы. Обычно что-то вроде 2 из 3-х


А что там менять? Еще раз, медленно: исходящая сессия на определенный диапазон портов запоминается и внутренний адрес используется при пробросе, если имеет место входящий пакет с флагом SYN с запомненного внешнего адреса и порт на внутреннем узле входит в тоже узкий диапазон портов. Эти условия могут совпасть только при определенных обстоятельствах. Даже если будет ложное срабатывание, на стороне клиента порт просто не обслужится и внешний узел отвалится. При чем здесь фтп, и реалтайм-протоколы вообще не ясно. Вы уже научились пробрасывать active-mode FTP и RTSP? Поздравляю.


Это да. Или на железе, для которого можно собрать и залить модуль.

http://www.ozon.ru/context/detail/id/1354276/
http://www.ozon.ru/context/detail/id/2881910/

Либо же давай обсудим prepaid за частную консультацию.

Их можно только реализовать работать они не будут. В часности разработчики pf для synproxy очень здорово изголялись с MSS для tcp. Роутер встанет колом просто через некоторое время использования вышеупомянутого "fifo".

Вы просто сразу не поняли мой исходный пост и начали гнуть пальцы перед незнакомым дядей, что, впрочем, продолжаете делать без всяких оснований. Не виляйте попой, а отвечайте за слова. Вам дать ссылку на то, что такое FIFO?
http://www.ozon.ru/context/detail/id/114200/


Не смешите. Я по средам не подаю.

Начнёшь реализацию для FreeBSD TCP/IP стека? А оргазационные вопросы, которые ты упомянул, отпадут за долго до этого.

Такое возможно делать лишь у себя дома, не один нормальный провайдер такого делать не будет, надеюсь понятно почему?



При том что порты все > 1024 т.е. не входят в список well-known ports, следовательно могут быть использованы кем угодно. FTP/RTP/RTSP это лишь примеры протоколов который запросто могут занять данные порты.

Причем здесь фрагментация TCP? Достаточно двух правил в pf, или iptables, правда действия по ним будут чуть менее стандартными. Заканчиваются-то они все равно форвардом или дропом. Кстати, вы изначально глазки закатывали не по поводу фифо, помните?

ну давай роди дружок эти парочку правил для 10 клиентов за NAT'ом.



я и продолжаю, дядя.

Да понятно, понятно. Зачем расшибаться в лепешку и делать сервис, который будет только отнимать бабло, позволяя юзерам осваивать трафик по-полной. Давайте дальше просто гипотетически поговорим, мне пока идея все еще нравится. По крайней мере это не большие костыли, чем, допустим, проброс active-mode ФТП.


Ну и пусть себе займут. Мы же не вмешиваемся в политику форварда исходящих сессий TCP. Просто запомнили, что определенная сессия была на определенный порт, не расходуя особенно память... А-а понял. У вас на рутере может уже обслуживаться порт 4662, вы этого боитесь? Ну так вы не вывешивайте сервер фиг знает на каких нестандартных портах. Более того, если предположить на рутере наличие такого сервера, можно эту схему разделить на два userland-приложения. Смотрите, только сразу не смейтесь, а попытайтесь понять:
1) В iptables или pf сидит правило, которое в syslog пишет исходящие запросы на ослиные порты. Тем самым мы не вмешиваемся в работу NAT и файрволла вообще никак.
2) На порту 4662 рутера висит сервер, который на syslog реагирует (совершенно легально, как у меня это делает psad, например) и запоминает адреса в фифо. Он же принимает входящие на этот порт и тупо дублирует их на юзеров из частных адресов. Это можно сделать с минимальнейшим оверхедом. Правда, опять при условии, что у железки есть нормальный syslogd, и на нее можно повесить самодельный серверок-приблуду.

Абсолютно делетанский подход. Мало того, что на роутере может и не быть HDD, так мы же себе еще и ямку вырываем в виде элементарного DOS'a.



нельзя. Где те 2-а заветных правила?

10 -- это Ваш ответ на вопрос, сколько может быть клиентов за НАТом? А почему не 11? Пальчики, которые Вы так любите гнуть, закончились? Снимите ботиночки. Я сразу сказал, что надо будет модуль писать, модифицирующий поведение стандартного фильтра пакетов. Но модификация будет минимальной.


А вы их верните в рабочее положение, я вам даю шанс дополнительно повеселиться. См. пост выше про реализацию проброса без вмешательства в исходники pf/ipfilter/что там еще стоит. Вас научить писать правила, которые пишут адреса в syslog? На общественных началах могу это сделать.