Search results for «[nat]» / Habr

alizar Jan 29 2021 at 15:01

Chrome заблокировал TCP-порты 69, 137, 161, 1719, 1720, 1723 и 6566

1 min

27K

Information Security *Antivirus protection *Browsers Software

Для защиты от уязвимости NAT Slipstreaming 2.0 браузер Chrome заблокировал доступ к сайтам ещё на семи портах: 69, 137, 161, 1719, 1720, 1723 и 6566.

Читать дальше →

+10

MagicGTS Dec 12 2021 at 12:38

Mikrotik RoS v7.1 NAT в IPv6

1 min

7.2K

Network hardware

Многие защитники чистого IPv6 топят за забвение NAT, я не разделяю их аргументы. Для реальных бизнес применений NAT все еще нужен и очень полезен.

Serverspace Dec 26 2022 at 11:12

С новым годом или как прошел 2022 год в облачном провайдере Serverspace

6 min

269

Serverspace corporate blog IT Infrastructure *IT-companies Microservices *

Привет, Хабр! Этот сумасшедший год подходит к концу, а новый – уже совсем близко. Поэтому поздравляем вас с наступающим новым годом. В этой статье подводим итоги, делимся статистикой популярности наших локаций и вспоминаем главные фичи и значимые события этого года.

Мы расскажем, какие были победы и сложности при запуске новых фичей, зачем мы переходим к микросервисам, как отделяли фронт от монолита и как в целом этот год повлиял на нас. В общем, немного похвалим себя и поделимся тем, что ждет дальше.

Если вы категорически против рекламной информации, вам эта статья не зайдет, здесь мы рассказываем только о себе и своих достижениях за год.

alizar Dec 18 2006 at 13:14

Специалисты изучают, как Skype обманывает файрволы

1 min

915

Lumber room

Битва сисадминов и разработчиков Skype продолжается с переменным успехом. Компания Heise Security опубликовала подробную инструкцию для системных администраторов с разъяснением, каким образом P2P-программе Skype удается работать из-за файрвола, вопреки настройкам системы безопасности.

Для этого разработчики Skype используют ряд специальных техник. Во-первых, программа обманывает файрвол, сообщая ему об уже установленном соединении, после чего начинает передачу UDP-пакетов. В заголовках этих пакетов, в отличие от пакетов TCP, содержится информация только об IP-адресе и порте, ничего больше. Во-вторых, для передачи «секретной» информации между собеседниками используется сервер Skype, а потом два ПК устанавливают между собой прямое соединение между UDP-портами, так что файрвол не может его блокировать.

Подобную технику под названием “UDP hole punching” для обмана файрволов используют и другие P2P-программы.

+13

GloooM Apr 16 2008 at 19:23

Установка и настройка VPN сервера с биллинговой системой AbillS на Ubuntu 7.10

7 min

17K

Configuring Linux *

Наверно всем известно, что ситуация с ценами на интернет в Москве и по России разительно отличается.
Для сравнения в Тольятти (Самарская область) безлимитный доступ на скорости 512кбит/с на месяц обходится в сумму 2300р.
В столице за эту же сумму можно наверно взять уже 20Мбит.

Так вот, как бы это дико не звучало, но я собираюсь, для уменьшения расходов, делиться этим каналом (512кбит/с) еще с несколькими людьми в локальной домовой сети =)

Провайдер дает доступ к интернету через свой VPN сервер.

Юзеры в локалке имеют доступ ко внутригородским ресурсам бесплатно и без контроля трафика.
Во внешку было решено выпускать их через VPN соединение с сервером в локальной сети.

Система была опробована и работает уже почти полгода, нареканий в работе никаких не поступило, все стабильно.

Конфигурация сервера: Pentium III 1000MHz, SDRAM 512Mb

Для уменьшения нагрузки на серве, было решено не использовать сжатие и шифрование, в связи с этим в клиентах требуется дополнительно снять галочку «требовать шифрование» в настройках VPN в Windows

В этой инструкции было решено собрать весь опыт по установке и настройке.
Изначально писал для себя, но думаю общественности тоже может быть полезно.

Читать дальше →

+18

ZakharS Jan 13 2009 at 16:55

Минусы бюджетных маршрутизаторов на примере Zyxel P334 EE

1 min

6.1K

Computer hardware

Недавно я писал о переходе к интернет-провайдеру Онлайм. После полутора месяцев работы впечатления остаются положительными. Разрывов со стороны провайдера пока не наблюдал. Однако хочу поделиться немного негативным опытом установки маршрутизатора. Статья опубликована изначально в моем блоге, но, возможно, хабрасообщество поможет с более правильным решением нижеописанной проблемы, если такое решение вообще есть.

Вначале у меня был подключен лишь один домашний компьютер, и все работало как часы. Когда понадобилось подключить второй, решил купить недорогой простенький маршрутизатор без Wi-Fi и прочих излишеств. Однако поленился почитать обзоры и положился на доброе имя Zyxel — об их продукции слышал всегда только хорошие отзывы. Особенно в плане надежности. Забегая вперед, скажу, что как раз с точки зрения надежности нареканий никаких не возникло. Я купил недорогой маршрутизатор Zyxel P-334 EE.

Так как в Онлайм все настройки TCP-IP автоматические, подключение маршрутизатора должно было быть простейшим — включил и работает. В принципе все так и было.

Читать дальше →

+26

204

Delsian Jan 16 2009 at 19:23

Идея стартапа — кто реализует?

1 min

576

Self Promo

Иногда очень хочется скрыть источник, из которого берется какой-либо контент — не обязательно для этого быть злостным пиратом или агентом Аль-Кайеды, достаточно простой конкурентной борьбы между двумя конторами.

как решить вопрос?

-4

OLS Feb 5 2009 at 11:18

Cisco: Порядок обработки пакетов «в сложных конфигурациях»

1 min

10K

Cisco *

Регулярно сталкиваюсь с проблемой вспомнить, в какой последовательности
идет обработка пакета в Cisco, соответственно также регулярно ищу сей документ.

Может быть будет полезен кому-то кроме меня:

Пакет Inside−to−Outside

if IPSec then check input access list
decryption − for CET (Cisco EncryptionTechnology) or IPSec
check input access list
check input rate limits
input accounting
policy routing
routing
redirect to web cache
NAT inside to outside (local to global translation)
crypto (check map and mark for encryption)
check output access list
inspect (Context−based Access Control (CBAC))
TCP intercept
encryption
queueing

Пакет Outside−to−Inside

if IPSec then check input access list
decryption − for CET or IPSec
check input access list
check input rate limits
input accounting
NAT outside to inside (global to local translation)
policy routing
routing
redirect to web cache
crypto (check map and mark for encryption)
check output access list
inspect CBAC
TCP intercept
encryption
queueing

Извлечено из Cisco Document ID: 6209

DZhon Mar 3 2009 at 23:01

Windows XP NAT

1 min

1.1K

Lumber room

Здравствуйте, хабрааксакалы :) Пытаюсь настроить интернет для общежития, пока не очень. Зная, что на ресурсе полно грамотных людей, прошу помощи в этом нелегком деле. В благодарность обещаюсь написать детальный пост с картинками и HOWTO-шной феерией о проблеме.

Читать дальше →

BlackFaun Mar 21 2009 at 18:21

Используем 2+ провайдера (вторая часть)

5 min

25K

Configuring Linux *

Продолжим настройку нашего шлюза, про который я говорил в предыдущей статье. Напомню, там мы настроили правила маршрутизации, теперь нам надо заняться iptables. Сейчас мы настроим сеть состоящую из шлюза и сервера. На шлюзе будет работать SSH и DNS, а сервер у нас будет виндовый на нем у нас RDP и SMTP. Сеть будет настроена таким образом, что через любой из внешних айпишников мы сможем подключаться к любому из серверов, а SMTP сервер будет выходить наружу через основного провайдера.

+24

dimavs Apr 8 2009 at 11:29

VPN с возможностью прохождения через файрвол/NAT

2 min

4.7K

Lumber room

NAT (Network Address Translation) обладает массой достоинств, но и не лишен недостатков, например, необходимости конфигурировать проброс портов (port forwarding) в случае если мы хотим иметь доступ к серверу, который находится за NAT раутером. Существует несколько способов прохождения через NAT (NAT traversal). В данной статье я попробую рассмотреть один из них, который основан на UDP hole punching (буквально — пробитие дырки с помощью UDP, прошу прощения за кучу терминов на английском, но я просто не знаю как их благозвучно воспроизвести по-русски).

Читать дальше →

bbk Jan 15 2010 at 18:39

Не совсем обычное VPN соединение обычными средствами

8 min

153K

Network technologies *

Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.

Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:

В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):

A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.

Читать дальше →

IlyaPodkopaev Feb 12 2010 at 20:12

Двусторонний NAT (PAT) на Cisco IOS или NAT NVI

4 min

62K

Cisco *

По просьбе коллеги (Fedia) я собрался с мыслями и решился написать статью про NAT NVI. Надо сказать, что вообще сама по себе трансляция адресов на роутере многократно рассматривалась, в т.ч. в статье «По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP». Тем не менее, описанный в ней механизм inside source и outside source NAT имеет некоторые ограничения.

Читать дальше →

+20

Uncle_Sam Mar 30 2010 at 08:21

Проходим сквозь стены NAT-ов

2 min

1.2K

Information Security *

Повсеместное распространение NAT казалось препятствует свободному обмену трафиком между компьютерами, находящимися за одним из них, и практически делает это невозможным, если оба компьютера скрыты за разными NAT серверами, естественно если вы не администратор обоих NAT серверов. Однако Samy Kamkar легко и непринужденно не только преодолел это, но и сделал программу которая позволяет преодолевать подобные препятствия. В настоящее время данная программа доступна только пользователям *nix подобных систем.

Pwnat — этот инструмент позволяет любому количеству клиентов, находящихся за одним NAT-сервером, соединяться с сервером стоящим за другим NAT, при этом никакой проброски портов на серверах не требуется и никаких прочих инструментов не используется. Серверу не надо ничего знать о клиенте который с ним соединяется. Проще говоря это такой прокси сервер, который стоит за одним NAT и работает с клиентами, стоящими за другим NAT, между ними нет никакого дополнительного посредника, никаких DNS-фокусов и никакого пива админам. Скажу честно — я тоже в это сначала не поверил.

Клиент может подключаться через такой сервер к любым ресурсам, либо только тем что ограничены сервером pwnat. Данный инструмент основан на построении UDP-тоннеля. Принцип работы весьма оригинальный и прекрасно описан автором, рекомендую ознакомиться, ибо решение данного вопроса оказалось весьма интересным и неожиданным. Давно не встречал ничего подобного.

Подводя итог скажу, следующее — данный продукт имеет весьма полезное значение как для решения отдельных задач, так и для того, чтобы знать о том, что способ сей существует. Если ваша работа связна с сетями, обязательно ознакомьтесь, поверьте — есть, что почерпнуть у автора программы из документации, английский там достаточно простой.

+63

134

nightfly Aug 26 2010 at 19:33

Краткий обзор ядерного NAT-а в FreeBSD

5 min

34K

*nix *

Распространенных вариантов NAT-а под FreeBSD есть довольно много. Это и natd, ipnat, pfnat, ng_nat либо как вариант «купи ASA 5550 и не выделывайся».

К сожалению, в последнее время мне попадалось очень мало хороших и главное доступных статей о ipfw nat который появился, если мне не изменяет память еще в 7.0.
Засим рассматривать под лупой сегодня будем мы именно его.

Истинным адептам pf под кат рекомендуется не заглядывать, чтобы не травмировать себя излишними знаниями.

Читать дальше →

+34

Wendor Oct 26 2010 at 13:43

Linux на службе у провайдера

4 min

12K

System administration *

Просмотрев большинство тематических постов на хабре был безмерно удивлён тому факту, что крайне скудно освещена тема использования ОС Unix/Linux на службе интернет провайдеров (Internet service provider). Данной статьёй я частично попытаюсь восполнить данный пробел.

Читать дальше →

+107

119

erazer Nov 24 2010 at 20:58

Большие потоки трафика и Linux: прерывания, маршрутизатор и NAT-сервер

6 min

57K

System administration *

Sandbox

Написано по следам публикации Большие потоки трафика и управление прерываниями в Linux

В нашей городской сети более 30 тысяч абонентов. Суммарный объем внешних каналов — более 3 гигабит. А советы, данные в упомянутой статье, мы проходили еще несколько лет назад. Таким образом, я хочу шире раскрыть тему и поделиться с читателями своими наработками в рамках затрагиваемого вопроса.

В заметке описываются нюансы настройки/тюнинга маршрутизатора и NAT-сервера под управлением Linux, а также приведены некоторые уточнения по поводу распределения прерываний.

Читать дальше →

+54

IlyaPodkopaev Nov 27 2010 at 15:24

NAT на Cisco. Часть 1

8 min

270K

Cisco *

Добрый день, коллеги!

судя по многочисленным вопросам на форуме (ссылка в конце поста), от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall'ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.

Читать дальше →

+36

IlyaPodkopaev Nov 29 2010 at 18:17

NAT на Cisco. Часть 2

4 min

41K

Cisco *

И снова добрый день, коллеги!

Продолжаю серию статей про NAT на Cisco, т.к. предыдущая статья все нашла некоторое количество положительных отзывов.

В этой статье мы рассмотрим, как и было обещано, inside destination NAT. Кому интересно — велкам под кат.

Читать дальше →

+19

kest Jan 7 2011 at 18:26

Настройка PPPoE с шейпингом трафика для небольшой сети

19 min

38K

Configuring Linux *

Sandbox

Однажды возникла задача настроить раздачу интернета на пару десятков компьютеров (офисные и домашние). Коробочные решения оказались либо платными, либо достаточно сложно настраиваемыми, поэтому было принято решение использовать собственное на базе Debian Linux. Опытом его поднятия я хочу поделиться с вами в этом посте, но приведенные здесь версии могли немного устареть с момента написания мануала «для себя», так что нужно проявить некоторую внимательность. Также, нужно учитывать, что приведенное решение далеко от идеального и профессионального. Оно поможет скорее тем, кому нужно быстро поднять у себя сервер, раздающий интернет. В конце у нас будет раздача интернета через PPPoE с назначением внутренних IP клиентам, шейпинг трафика, DNS сервер и простой мониторинг текущих сессий из консоли.

Читать дальше →

+32

2 3 4 5