Vlákno názorů k článku Už definitivní nabídka ADSL? od Michal Krsek - Pokud byste cetl referencni nabidku poradne, zjistil byste,...

Pokud byste cetl referencni nabidku poradne, zjistil byste, ze verejne adresy jsou POUZE pro zakazniky business tarifu :-(

Jinak myslim, ze RIRem se skutecne zadna organizace v CR v nejblizsi dobe nestane. RIR je totiz organizace vyznamu RIPE NCC, APNIC, ARIN ci dalsich. LIR se muze maximalne presunout do vyssi tridy (small -> medium -> large), ale pokud vim, tak v CR by to moc LIRum nehrozilo :-)

Jeste k tem platbam. Stacilo by si precist referencni nabidku, a zjistil by jste, ze adresy pro sve zakazniky si bude dodavat kazdy ISP zvlast ze sveho vlastniho IP prostoru, registorvanych prostrednicvim RIPE a spol. A ty pak bude CTc tunelovat jeho siti. A jake adresy (pro nas skryte) si bude CTc pouzivat v jeho siti je jeho vec, klidne at si tam rozjede 10.0.0.0/8. A jak uz tu bylo zmineno, i IPv6 adresy rozdava RIPE a spol., takze stejne musite byt clenem, naopak tim ze si otevrete IPv6 alokace, se mozna dostanete do vetsi kategorie RIR, takze budete prispivat vic.

Ja bych jeste dodal k tomu IRC... nepripojite se na servery, ktere chteji IDENT reply, protoze ji od Vaseho PC samozrejme nedostanou :-(

Podle me je NAT hovadina (slusne receno) a u takoveto sluzby by ji NIKDO nemel nabizet :-/

Opravdu si myslite, ze end-to-end konektivita, zakladni paradigma Internetu je "cosi navic"?

Vase hlaska o IPv6 je nesmyslna. Provider (i Telecom) "plati" RIPE uplne stejne, at jiz cerpa adresni prostor z IP nebo IPv6.

Podle nabídky budou, ale za příplatek (?) bude možné získat překlad 1:1, tj. v praxi získáte plnohodnotné připojení, které je dosažitelné z inetu.

imho s tím port translation nemáte tak úplně pravdu. S NAT nikdy nemůžete adresovat port, je to pouze "address translator". Když něco umí port translation ať už tomu říká jakkoliv tak sice jde přeložit i jenom adresa, ale pak je to jak jít s kanónem na vrabce - hlavní záběr je že může přeložit adresu a/nebo port a tak přesměrovat provoz z určitého portu na jiný třeba na stejné IP (využívané třeba pro VPN)
Ale jinak je to fakt nabídka na hovno, existují sice berličky, ale jsou opruz a hlavně třeba nic neřeší rozchození třeba obyčejného http za NATem, takže sbohem osobní stránky. Na druhou stranu souhlasím, že je to věc navíc, tedy mělo by se za ní platit (je to tak de-factu všude ve světě), kdyby chtěl být Telecom co k čemu, tak by zapracoval IPv6 a pak by nemusel za adresy platit a nabízet to opravdu volně. Takhle nejenom že nesmyslná cena odradí homeusery, tak nesmyslné parametry odradí i firmy, takže to je řešení pro nikoho.

To vubec nevadi ze u nas nebude ADSL v nabidce hned, ale pozdeji urcite a o kolik to Telecom slevni?O 200Kc?Vzdyt je to smesne jak s nami zachazeji.Kdyz to vidi jak to je proc to neslevni?Nekde na teletextu jsem cetl ze to to pokryje jejich naklady.Tomuto tvrzeni neverim a zda se mi to nepravdepodobne.

Ted jsem nejak vypadl ja...:-0

Mam sit 1 pocitacu, vsechny maji pevne privatni IP adresy, jak chcete v tomto pripade pouzit SNAT?

Argument s nahazovanym spojenim prilis neberu... - TCP protokol je stavovy a rozpad jednoho clanku po ceste obecne nemusi znamenat vubec nic (na rozdil od IPX - Novellisti na koaxech by mohli vypravet), pripadne kratkodoby vypadek, takze pokud Iface shodim/nahodim, pri dalsim ACK/NAK se mi relace ustanovi do puvodni podoby...

Aha, tohle mne nenapadlo, přeci jen neshazuji rozhraní tak často. Ale uznávám, že je to o důvod víc, proč dát přednost SNAT, pokud to jde.

Jak jsem psal o několik příspěvků výše, nekorektní je to, že při změně stavu interfacu up-down-up jsou všechna TCP spojení při použití pravidla typu MASQUERADE ztracena, u SNAT pravidla nikoli. Snad nemusím psát, proč pro dialup s dynamickou adresou je to praktická věc, naopak u statické adresy je to nežádoucí.

To ovšem vůbec neodpovídá na můj dotaz. Mně je samozřejmě jasné, v čem je NAT problematický. Ale v tom není rozdíl mezi targety MASQUERADE a SNAT. Rozdíl vidím jen v tom, že SNAT mi dává o něco větší možnosti kontroly. Kolega Pavel B. ale naznačil něco ve smyslu, že v případě statické adresy by se neměl používat target MASQUERADE, protože je to nekorektní vůči TCP. Rád bych proto věděl, co tím přesně myslel.

Ehm... pokud reknete, ze Masquerade neni korektni vudci TCP, tedy nevim, proc nereknete rovnou vudci IP, tak muzete vsechny NATy hodit do kyble a jiz v roce 1995 mit IPv6... (kez by!)

Posledni poznamka - ano port WWW serveru zustane zachovan, my (ja) jsme ale nemluvili o DST portu, ale SRC portu... DST_IP:DST_PORT zadny 'preklad' nemeni, protoze nic nevi, co uzivatel chtel (vyjimkou (a jedinou!) jsou pouze 'transparentni proxy')

PS: V te dokumentaci jsem nasel pouze potvrzeni mych tvrzeni, zda se Vam to opacne?

No protoze TCP a cely Internet spociva na zakladnim paradigmatu komunikace end-to-end... Ostatne, dokazal byste korektne autentizovat klienta, pokud by byla po ceste MASQ ci jen blba proxy? (ono to totiz nejde, pokud soucasti klientskeho certifikatu je IP adresa odesilatele/vlastnika) - ostatne IPsec (se zapnutym AH) je dalsi situace, ktera je v NATu neresitelna (a IMHO je to dobre!) a proto rikam, ze mame jit v nekorektnosti NATu az na uroven IP (do ktereho je IPsec zabalen - ostatne TCP, UDP, ICMP, IPsec jsou jen protokoly IP s ruznymi cisly - viz napr. /etc/protocols) - implementace a navrh mnozstvi protokolu nad IP (tedy nad celou infrastrukturou) je daleko slozitejsi (zbytecne!) a mnohdy zhola nemozna...

Asi mám pomalejší chápání, mohl byste, prosím, vysvětlit, co je na použití MASQUERADE na statické adrese nekorektního vůči TCP?

Konečně jste se podíval do dokumentace! Českou jsem neviděl, a anglická je přesnější.

- pouziti MASQUERADE na statickou adresu sice pouzit lze, ale nemel byste - neni to korektni vuci TCP

- port range se specifikuje u pravidel typu masquerade pomoci --to-ports xxx-yyy. Viz man iptables.

- Ano, port www serveru zůstane zachován.

Nedalo mi to a pohledal jsem, pokud Vam dela problem anglictina, jsou nadsenci, kteri netfilter NAT HOWTO prelozili (aspon castecne) do cestiny... Doporucuji http://www.netfilter.org/documentation/HOWTO/cz/NAT-HOWTO.html, konkretne v kapitole 3 je jasne uvedeno: Masquerading je speciální forma SNAT takze SNAT nerovna se (neni stejny!) MASQUERADE.

2) V kapitole 6 se dozvite, ze i to --to muze byt rozsah adres a nikoli konkretni adresa...

3) V teze kapitole se doctete, ze MASQ je spec. pripad SNAT a melo by byt pouzito pouze pro dynamicke adresy (ale to neznamena, ze je to podminka nutna!)

Zejmena usmevne je:
Implicitní mapování zdrojových portù

I kdy¾ pro spojení není po¾adováno provádìní NAT, mù¾e nastat pøeklad zdrojových portù, jestli¾e jiné spojení bylo mapováno pøes nové. Uva¾ pøípad s masquerading, který je celkem bì¾ný:

1. WWW spojení je navázáno z nìjakého poèítaèe 192.1.1.1, port 1024 na www.netscape.com, port 80.
2. Na toto spojení je aplikováno masquerading pomocí Linuxového poèítaèe tak, aby pou¾ívalo jeho zdrojovou IP adresu (1.2.3.4).
3. Linuxový poèítaè navá¾e spojení s www.netscape.com, port 80 z 1.2.3.4 (adresa výstupního rozhraní), port 1024.
4. NAT zmìní zdrojový port druhého spojení na 1025, aby spolu nekolidovala.

Pokud nastane implicitní mapování zdrojových portù, tak jsou porty rozdìleny do tøí tøíd:

• Porty pod 512,
• porty mezi 512 a 1023
• porty nad 1024 vèetnì.

Port nebude nikdy implicitnì mapován do jiné tøídy. - zda-li zustava zachovan stejny port pro WWW server si vydedukujete sam...:-r (opet ase mylka) Mimochodem, jak se da range portu explicitne vyzadat - to je pro mne novinka (ptam se, nenasel jsem to)? Fakt, ze ze site komunikuje vice pocitacu je bezny a ze pouziji porty vzestupne rovnez... takze porty proste zachovany byt ve valne vetsine pripadu nemohou... jedine, co je zachovano je trida...

PS: Nemohla by se Lupa naucit aspon TAG cite?

Predpokladam, ze se uz mnozi z Vas s timto webem setkali, ale prece si neodpustim tento link:


http://www.internetprovsechny.cz

zajimalo by me, jestli budou NATovat i pripojeni sluzbou adsl profi???

diky

s.mart

Ehm a kdo rika, ze u Vas bude ADSL vubec k nabidce?:-) Nemate se tedy proc rozcilovat, stejne si to nemuzete koupit...

Myslím, že mně nerozumíte, ani jste nerozuměl příspěvku, na který jste reagoval a který poukazoval na to, že na linuxu je *pojem* masquerade spojen s překladem při dynamicky přidělované adrese. Vy můžete mít jiný názor na význam slova masquerade (masq, demasq atd...), já se držím toho, co linux/2.4 jako takový považuje za masquerade.

Takže znovu upřesňuji:
1) SNAT a MASQUERADE je v linuxu(2.4) STEJNÝ druh překladu
2) target MASQUERADE má pouze tu speciální vlastnost, že takové pravidlo nevyžaduje zadaní ip adresy --to , neboť si jí vyžádá ze zadaného interfacu. Druhý rozdíl je v tom, že pokud se toto rozhraní překlopí do stavu down, všechna spojení jsou zrušena.
3) Opět zdůraznňuji, že SNAT i MASQUERADE se chová stejně a přiděluje porty stejně. Range portů si ale můžete explicitně vyžádat. Přidělování jen vyšších portů snad platilo v dobách ipchains, kde to mělo nějaký smysl.

Tohle neni snad mozne ja tohle sluduju uz dlouho,a je to teda pekne na nic.Proc sakra to nedaj treba za 1000Kc mesicne se vsim vsudy vzdyt by si to potom vzalo i vice lidi.Ja bydlim v male vesnici kde nejde nic natahnout zadnej internet.Teda vlastne de, ale jenom pristroj me bude stat 10000Kc a potom jeste velke mesicni poplatky za internet, protoze je to uplne mimo.Me je teda 17 a nemam tolik penez abych si to mohl dovolit platit skoro 2000Kc. Rad si zahraju na internetu hry a tak pokud to bude jeste k tomu sdilene pro vice uzivatelu tak to bych si opravdu uzil.Takove jednani opravdu nechapu.Asi to tak vypada ze zustanu na modemu:-((

1. Ja jsem psal, ze masquerade pouziva porty na 61000, nikoli NAT!

2. To, ze jste si napsal pravidlo, ktere maskaraduje cely Iface je hezke, ale to neni pravda obecny postup! Stejne dobre mohu maskaradovat konkretni adresu z lokalni site... A s tou znamosti IP adresy - to je samozrejme blbost, protoze jak jinak byste chtel delat relaci spojeni a masq/demasq?

3. Posledni pravidlo ovsem neni NAT 1:1, takze je k danemu tematu irelevantni - spise se podoba zminenemu clusteru - tedy sam vyvracite to, co jsem uz v predchozim vyvratil ja.. - tedy jak jinak byste chtel pomoci masquerade (1:M) delat 'virtualni' cluster... (clovik tvrdil, ze to jde jen jednim smerem)

Nevím jak starou linuxovou implementaci máte na mysli, ale v té současné (iptables v kernelu 2.4 a vyšší) platí:

- NAT se snaží zachovat porty (tj. není pravda, že používá jen porty nad 61 000)

- Iptables skutečně používají pojem "masquerade" pro NAT na dynamickou adresu, tj pravidlu není poskytnuta adresa, neboť není známa, ale interface:

> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

kdežto u statické adresy je tato uvedena přímo bey použití masquerade:

> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

No ten IPsec, zejmena pokud vyuziji AH protokol by mne fakt zajimal, pripadne L2TP...:-) - to zase MS Windows jinak nerozdejchaji pri pristupu na server...

Jinak mne by zajimalo, vzhledem k 'zajimave' cene Profi 1024 - cena je vice nez dobra i oproti bezdratum - nabidka smeruje pro firmy, ne(?) (BTW rezidencni nabidky jao 128kbps/1GB za 3 kila mne nezajimaji) - jak je to treba s vlastni podsiti registrovanou i RIPE, bude schopen IOL routovat na patricny interface?

PS: Narazim opet a zase - sluzba jak je postavena je pouzitelna maximalne pro firmy, ktere maji jen velmi zakladni potreby... - velmi rychle utecou jinam jen co poznaji, co Internet muze obnaset...

NAT jehoz podmnozinou je masquerade muze byt implementovan ruzne, popsal jste nejakou implementaci, bohuzel ani Linuxova to neni, protoze MASQ prideluje porty nad 60000 (presne nevim, mozna 61000) - alespon v normalnim jadre... Jak jste myslel to, ze NAT vyzaduje pevnou adresu a MASQ se spokoji s dynamickou? Ja myslim, ze jste uplne vedle... stejne jako u MASQ muzete zadat masku /32 a maskaradovat pouze konkretni IP adresu, stejne tak muzete MASQ /24 ci jiny suffix... - to same muzete samozrejme i u [S|D]NATu a co vice... muzete to poslat tunelem uplne jinam a tam to rozbalit... - ostatne takto se nekdy skryvaji 'nevhodne' prenosy - napr. akademicka sit a komercni provoz...:-)

Nejak nechapu tu cast s dynamickou a pevnou IP. Pri natu src na Xlate_src je prece uplne jedno, kde a jak jsem ji ziskal. Priklad - S-box od sofaware se statefull inspection firewallem provadi nat s IP ziskanou od DHCP, primarni urceni pro xDSL.

ad PS: pooly mohou mit ruznou velikost a presto jde o staticky NAT - dynamicke je pridelovani IP adres. Nemuzou pochopitelne vsechny vnitrni IP ven soucasne, ale preklad je 1:1 - po dobu leasnuti je IP moje.

Co takhle IPSec VPN pres ADSL ala Telecum?

dan

To si tedy nemyslim, ze bych to zamotal. Jen jsem to nechtel zbytecne komplikovat, takze pooly byly jak jsem napsal priklad.

U traslace portu mate nepochybne obecne pravdu. Tedy obecne. Ovsem v pripade Cisco PIX je PAT to same co dynamicky nat, proto jsem to taky tento priklad uvadel, takze se nenechte zmast ;-)

Pokud vim, NAT se snazi zachovat puvodni port pokud je to mozne, kdezto maskarada prideluje porty z rozsahu tusim nad 5000. NAT taky vyzaduje pevnou IP - muze byt i rozsah, kdezto maskarada si poradi i s dynamickou, ale pouze s jednou. Alespon po Linuxem je to tak.

PS: NAT 1:1 a "nejlepe o stejnem rozsahu" pokud to chci 1:1, tak je jasny, ze musim mit odpovidajici pocet IP na obou stranach.

Mě šlo skutečně pouze o Messages, dál jsem neuvažoval, nikdy jsem další služby nevyužíval.. Čili základní prvek icq funguje normálně, důmyslnější služby tohoto sw Vám nepojedou. Pro např. přímý přenos souborů samozřejmě nemůžete být za maškarádou.

2 stroje z Vašeho příkladu můžete skutečně přímo spojit tak leda vlastním utp kabelem :o))

No tak ted jste to tedy radne zamotal...

NAT 1:1 je translace adresy A na adresu B - tedy vymena IP SRC nebo IP DST v hlavicce IP packetu za jinou (pripadne obe)... zadna dalsi podminka neni...ta translace se muze provest kdekoli, po ceste nebo u cile/zdroje.

1:M NAT je masquerade, mozna to nazyva Checkpoint jako hide NAT, rozhodne to vsak neni PAT - PORT address translation, procpak tam asi to port je? Ruzne PATy je mozno delat i bez NATu.... Masquerade je 1:M, z libovolneho smeru, tedy neni pravda, ze pouze odchozi - odchozi se pouziva vetsinou ve firmach, ale jak byste delal napr. cluster?

NAT 1:1 je prosta translace adres, tedy napr. ze dvou IP poolu nejlepe o stejnem rozsahu.
1:M maskarada = hide NAT (Checkpoint) = port address translation PAT (Cisco) je dynamicka translace napr. vice privatnich IP za jednu verejnou IP. Lze pouzit pouze pro odchozi spojeni, protoze se dynamicky prideluji porty.


dan

No, prave ze nijak :) Zapomel jsem tam pripsat - predpokladam, ze to vsici vedi - ze pasiv muze komunikovat pouze s aktivem.

Spatne je na tom to, ze neotevrete connection z netu k vam. Takze muzete zapomenout treba na hry (hostovan) atd.

d.

Nepredpokladejte a laskave si to nejprve nastudujte/overte nez se zacnete prit...

Na prepravu rovnez slouzi kolobezka, pouzivate ji? To jako nema na silnici co delat?

Hmmm... jak spojite dva klienty v DC kdyz budou oba v pasivnim modu?'-)

Treba takove DC chodit bude v pasivnim rezimu, protoze tam se klient pripojuje na HUB. V aktivnim ne, protoze to vyzaduje IP forwarding. Site fungujici ciste P2P fungovat nebudou, respektive budou v ramci NATu - privatni site.

Jak bylo receno, ICQ pri send msg komunikuje neprimo pres server - proto jde poslat msg i uzivateli, ktery je offline. Protoze se ulozi na server. Ale pri pokusu o komunikaci P2P - zaslani souboru, audio - telefon a pod. musite mit nastaveny IP forwarding nejakeho rozsahu portu a ty stejne porty si nastavit v ICQ. Jinak to za NATem proste nejde.

No, vy evidentne patrite k tem odbornikum, co si mysli, ze termin "internet" je synonymem pro termin "WWW s postou", ze ano ?

Chci se zeptat, jak to bude běhat na p2p sítích? Vyplatí se vůbec v tomto ohledu investovat do aDSL basic, anebo je jediná možnost na slušné fungování pouze s aDSL profi. Díky.

Nemyslím send message, ale open chat ...

řek bych, že v ICQ nic než chatování ani nedělám. To jako nemá fungovat?

Tak si zkus v ICQ s někým otevřít chat nebo přijmout/poslat soubor ...

možná by chtělo vysvětlit, jakým způsobem aplikace komunikují (ICQ, MS Messenger, apod.).

Předpokládám, že PC komunikujících uživatelů NEnavazují spojení přímo mezi sebou. Sám je provozuji přes bránu, kde je NAT.

Overbooking 1:50 na 192kbps a ještě k tomu za NAT za 1500,- měsíčně ? VTIP ?

1:1 NAT = Network Address Translation - tedy relace jedna ku jedne... CTc tim neziska zadnou vyhodu oproti prideleni verejnych IP adres

1:M NAT = Masquerade - a tady tvrdim, ze bez aplikacnich proxy serveru (jak pro ICQ, tak pro dalsi protokoly vyssi vrsty - rekneme relacni) nemate sanci pro plnohodnotny beh... netvrdim, ze poslani packetu nejde pomoci ICQ through Masquerade, tvrdim, ze poslani packetu je jen mala podmnozina ICQ protokolu...

Clovece rozumite vubec IP protokolu? Session je hezka vec, ale jak byste sojil dva stroje, kdyz budou oba za NATem 1:M? Neznam jedineho sebevraha, ktery to prozene pres treti (verejny) server.. - na to proste stroje/linky nemaji...

ICQ samozřejmě funguje, protože klient si po spuštění na serveru otevře session, kterou po dobu práce udržuje...takže i v NAT cache je stále transparentní cesta ke klientovi..

Znáte, smekám, souhlasím!

Spatneho je na tom vsechno.
a) nici podstatu internetu - end-to-end connectivity.
b) nezkutecne stizi detekci abuse OD uzivatelu ADSL - jakozto administrator nekolika ceskych IRC serveru vim zcela presne o cem mluvim - je vysoce pravdepodobne ze NAT ip budu muset, ac nerad, zcela zakazat. (pokud nebudou mit nejaky autorizacni server, ktery mi rekne z jake IP to spojeni jde)
c) uz se tesim na tunelovani IPv6 prez TCP ... (a procez jiz 2 komercni ISP v cechah IPv6 maji, myslim ze to zacina byt vcelku aktualni)

JV

Ano, ale zase budeme mít mail a web rychlejší za cenu sice nechutnou, ale o něco méně nechutnější než dřív.. :o))

...a prosím v tomto případě bych o NATu ve smyslu vyšší bezpečnosti raději ani nehovořil. (Jsou lepší metody, bez vedlejších účinků, jsou dokonce zdarma). Pokud nebudete připojen k inetu vůbec, hackeři Vás také neohrozí, ale..

Nebude fungovat:

1. online hry
2. internetova telefonie
3. online video (konference apod.)
4. obecne jakekoliv prichozi spojeni

= presne to k cemu je urcen broadband internet

Jak je to reseno nevim, jenom vim ze to funguje :) (Pouzivano na sitich CzFreeNet a TesMedia). Mozna byste mohl objasnit co minite pojmy 1:1 NAT a 1:M NAT.

Skutecne, pak si to nechte patentovat... jak muze byt provaden NAT v okamziku, kdy neni znamo kam dorucit? (jak rikam, 1:1 no probelma, ale proc by to CTc delal => 1:M a to je problem...)

Nevim proc by nesel pouzivat instant messaging. Min. ICQ a Jabberu necini NAT nejmensi problemy. Ale souhlasim ze soucasna nabidka je CENOVE mizerna :(

No kdyby to byl NAT 1:1, proc ne, ovsem to by pak postradalo smysl budovat to s NATem, protoze vyhodu CTc neziska... Fakt by mne zajimala presna definice poskytovane sluzby CTc v netransparentnim pristupu, nemusim byt velky exot, ale uz jen ICQ, kvalitni P2P, NetMeeting, ruzne Real audio, video, streaming apod. je zivotne na konektivite host-to-host (ostatne to je podstata Internetu) zavisla...

Mam dojem, ze stahovaci jsou trochu jny segment nez 192/64... takze v podstate ani na ty nejzakladnejsi sluzby, ktere maji smysl, kdyz je clovek furt na drate (instantni messaging apod.) nepujde rozumne pouzivat, takze komu je to vlastne urceno?

Sice to ztizi praci hackerum z vnejsku, ale nikoliv lidem kteri budou ve stejne siti pro kterou se bude NATovat.

Uzivatele to napriklad pripravi o moznost telefonovani prez internet.

Pripoustim vsak ze uzivatelum kteri si jen stahnou maily a prohlidnou si par stranek je to jedno.

co je na tom spatneho?
jen to ztizi praci hackerum a to je pozitivni, uzivatele to o nic nepripravi

Uz jsem se smiril s tim, ze si uzivatele sami delaji preklad adres. Co mi ale prijde jako totalni zhovadilost, je fakt, ze OPERATOR ma tu drzost nabizet uzivatelum pripojky pouze za prekladem adres. A dokonce to udelat tak, aby to NIKDO nemohl prodavat jinak.

Ach jo ...