Router

[gohan]

ne sei sicuro?
Il mac address è a livello 2!
Le porte fanno parte del protocollo IP a livello 3!
Ogni IP può avere massimo 65535 porte

[leon84]

Quote:

Originally posted by "gohan"

ne sei sicuro?
Il mac address è a livello 2!
Le porte fanno parte del protocollo IP a livello 3!
Ogni IP può avere massimo 65535 porte

Anche io sapevo questo

[Dreadnought]

Il router fa tutto dal livello 2 in poi.

Ogni connessione viene mappata su una porta ma diepende anche dalla dsetinazione. La destinazione generalmente la identifichi con il mac address, non con l'IP, è l'unico modo, altrimenti come fa un ip esterno al router che fa nat a capire a che indirizzo interno mandare il pacchetto?

Edit: i socks appunto funzionano tutti con il mac address.

[gohan]

ti consiglio di riguardarti la teoria sul routing!
Il NAT maschera la rete interna e all'esterno risulta che esista il solo router.

I socks sono un'altra cosa!

[Dreadnought]

Non c'entra molto, era per farti un esempio, so perfettamente come funziona la NAT, e non è quello che hai appena detto che è il masquerading

NAT = network address translation io ho N ip pubblici e li associo ad N+X IP privati uno ad uno. Questa è la vera difinizione che non è più utilizzata.
PAT = port address translation io ho una connessione dall'esterno e per ridirigerla all'interno la rimappo verso la interfaccia di destinazione a cui è associata la porta. Per fare ciò posso usare layer 3 (IP) oppure per avere più efficienza layer2 (Ethernet) con i mac address.

Oggi per NAT si intente NAT + PAT, ma quello che stai dicendo tu è masquerading, ovvero ho un ip pubblico che maschera N ip privati, e non si possono avere connessioni che entrano dall'esterno se non mappando le porte a mano, oppure attuvando NAT(1:molti) + PAT.

Come speri che facciano NAT e masquerading su tutta fastweb con solo [65536-1024-(altre porte riservate)] se si mettono solo sul payer IP? Ovvio che devi usare i mac addres che sono univoci e non ti danno problemi, ma per fare ciò non si servono switch unmanaged, ma switch layer2 e layer3 e conseguenti router che gestisono WAN interne private, non un routerino per fare la rete di casa come il mio Zyxel.

[gohan]

il masquerading lo puoi fare con più IP pubblici, molti router lo fanno

[haendel]

Quote:

Originally posted by "Dreadnought"

Il router fa tutto dal livello 2 in poi.

Ogni connessione viene mappata su una porta ma diepende anche dalla dsetinazione. La destinazione generalmente la identifichi con il mac address, non con l'IP, è l'unico modo, altrimenti come fa un ip esterno al router che fa nat a capire a che indirizzo interno mandare il pacchetto?

Edit: i socks appunto funzionano tutti con il mac address.

Scusa ma il pacchetto contiene il mac solo a lvello della rete locale, fuori da questa non lo contiene più, viaggia tutto a livello di ip e porta.

Fastweb non maschera tutti i clienti con un solo ip, infatti assegna ip pubblici a livello di quartieri/rioni a seconda della popolazione.

Non ho mai sentito che il mac venga utilizzato nel nat o pat.

[Dreadnought]

Non so se avete inteso, ma il masquerading si fa solo in locale, non dal lato pubblico. Le connessioni a livello Ip si identificano con i numeri progressivi. Mentre a livello di rete interna è molto più semplice utilizzare i mac address che sono univoci, anche perchè il mac address è parte del pacchetto ethernet,

Non hai mai sentito dell'utilizzo mac address per fare NAT?
Ogni router ha il suo modo di far nat, non c'è mica uno standard, ogni produttore ha le sue tecnologie, l'importante è che tutto sia trasparente, il problema è che invece molti router non permettono tutti i tipi di connessione.

Il modo più eficiente per capire univocamente verso quale indirizzo interno stabilire o rigirare una connessione è con il mac address, scusate come volete fare sennò?
Mappare una porta a caso per ogni connessione che arriva? Ma immaginate il casino che viene fuori con un programma come edonkey che apre in media 200-400 connessioni e una sottorete con 1000 PC?
Finite le porte all'istante.
Con i mac address per ogni porta potete stabilire tante connessioni, tutte con numeri di sequenza differenti ed inzializzate, ovviamente, dall'interno ed incapsulando il pacchetto IP.

Anche i protocolli OSPF e RIP nei router sono poco conosiuti, ma generano traffico trasparente alle nostre macchine ogni volta che viene modificata la configurazoine della rete.

[gohan]

sta di fatto che con un solo IP pubblico un router può gestire un massimo di connessioni in uscita pari al numero di porte libere, in uqnato non può avere più di una connessione in uscita sulla stessa porta di origine sulla interfaccia esterna. Non ho mai detto che il pronlema si presenti nella parte interna della rete, ma sull'esterna

[Dreadnought]

Gohan, il masquerading è il NAT 1:molti, non lo si fa con più Ip pubblici, ma uno solo, altrimenti è NAT normale n:m dove n (mumero IP pubblici) > m (IP privati)

Ricordate che il NAT è poco utilizzato nelle piccole reti e viene anche troppo nominato. Un IP "NATTATO" spesso è solo sotto masquerading o sotto un firewall.

[gohan]

il mio router permette di fare un NAT con più IP pubblici per la navigazione e contemporaneamente gestire anche il NAT 1:1

[Dreadnought]

Quote:

Originally posted by "gohan"

sta di fatto che con un solo IP pubblico un router può gestire un massimo di connessioni in uscita pari al numero di porte libere, in uqnato non può avere più di una connessione in uscita sulla stessa porta di origine sulla interfaccia esterna. Non ho mai detto che il pronlema si presenti nella parte interna della rete, ma sull'esterna

No, non è assolutamente vero.
Per quale motivo?!

Ma poi di porte libere dove?
Sulla interfaccia IP interna del router?

Scusa io su una porta qualsiasi posso accettare un bel numero di connessioni, non una.

Quote:

Originally posted by "gohan"

il mio router permette di fare un NAT con più IP pubblici per la navigazione e contemporaneamente gestire anche il NAT 1:1

Un conto è quello che un router può fare, un'altro è configurarlo in modo che lo faccia, oppure semplicemente avere una subnet di IP publici.

Anche io ho 4 IP pubblici con la mia connex ADSL, ma preferisco fare masquerading + NAT 1:1 (che poi lo chiamano nat 1:1 ma è uno static route) e buttare via gli IP pubblici che non mi servono.

[m_zanini]

E' bello leggere un post come questo scritto da gente competente e capire 1/3 di quello che scrivete.
Meno male che avrò del tempo per rileggere e studiare.
Esiste un buon testo semplice da consigliare per capire meglio tutte queste cose, o bisogna seguire il corso di reti di calcolatori a ingegneria?
Mic

[gohan]

non ci stiamo capendo (infatti hai capito il contrario di quello che intendevo)
ES:un router quando riceve una richiesta di una connessione alla porta 80 di un server web da un client in rete, cerca di connettersi all'IP desiderato dal client e per fare ciò deve assegnare una porta come mittente per quella connessione (per esempio la 9421) e come porta di destinazione la porta 80 del server. Il server web risponderà al router sulla porta 9421, e così il router sa che deve ridirigere la riposta al client in rete.
Capisci bene che il numero di connessioni simultanee in uscita è limitato dalle porte sulla IF esterna del router.

[Dreadnought]

Capisco quello che vuoi dire, ma non capisci che un router su ogni porta ci fa quallo che vuole, basta che abbia potenza di calcolo e riesce ad aprire anche 100 connessioni in entrata e 100 in uscita.
Non è detto che per un IP interno X il router possa aprire solo la porta P e per un'latro ip Y può aprire solo una porta diversa da P.

ES: Io ho appena fatto 2 connessioni dall'interno di una rete sotto masquerading verso la 80 di hwupgrade e una verso l'FTP di NGI alla 2121, il mio router apre una connessione dalla porta 3456 verso la 80 del nostro forum, e riceve di conseguenza tutti i dati che mando, poi apre una connessione da una porta tipo 4567 verso una mia porta > 1024 per mandarmi i dati indietro. Tutto questo non toglie che il router non possa aprire ancora una 3456 verso la 2121 (può semplicemente distinguere questa connessione dalla prima leggendo i numeri sequenziali di ogni pacchetto oppure gli IP che sono differenti dalla connessione di prima) e la stessa cosa vale per la connessione di ritorno dal masquerading: verso vari PC della sottorete privata può aprire tante porta o una, tanto per il routing prima si guarda l'IP e poi la porta.

La trasparenza è garantita: il sito di HWupgrade vede una connessione aperta dal mio ip pubblico che maschera (quello del router) dalla 3456 alla sua 80 e l'ftp di NGI vede una connessione dalla 3456 sempre dal mio IP del router, ma non gliene frega niente che da quella connessione sono inviati altri pacchetti, perchè tanto non li vedrà mai. E così non importa nemmeno ai router in mezzo al tragitto, perchè fino a che i paccheti viaggiano insieme (es da me a milano) hanno numeri sequanziali differenti e le connessioni sono distinte, quando poi i tragitti vengono divisi è perchè i 2 pacchetti IP che stanno all'esterno del pacchetto TCP hanno ip differenti.

Tanto le connessioni le distingui tra loro o con i mac address se agisci anche su layer 2 (ad esempio PPPoE o ethernet come FastWeb), oppure con gli IP di sorgente e destinazione oppure ancora con i numeri di sequenza.

Che poi alcuni router abbiano limitazioni sulle connessioni che possono aprire è molto probabile, soprattutto quelli come il mio zyxel che già quando lo carico con edonkey e kazaa arriva a 30% di CPU. Ma penso che un catalyst da qualche mgliaio di euro questi problemi non li abbia e che di porte ne apra quante ne vuole, soprattutto quando deve gestire 500Mbit in entrata e uscita con connessioni da qualche migliaio di sottoreti

P.S: non prenderlo come oro colato questo, ti sto solo dicendo che è del tutto possibile fare quello che ti dico

P.P.S: Zanini inizia con TCP/IP illustrated.

[gohan]

qui però si va un po' troppo sul teorico!
Io parlo di router che vengono usati da privati e aziende, e non da aziende di telecomunicazioni ( che non credo abbiano bisogno di masquerading)

[Dreadnought]

Si, se non è una rete come fastrweb si, però FW è tutta sotto masquerading/NAT.

[gohan]

la rte FW è mascherata solo verso l'esterno e si vedono anche i problemi che hanno gli utenti FW!

[leon84]

Cosa è il masquerading ? Qualcuno me lo spiega ?

[gohan]

è il mascherare la rete interna che ha ip privati con un solo IP pubblico che è quello del router; spesso viene detto solo NAT, ma il NAT serve anche per altre cose.