Jump to content
Калькуляторы
Нужны ли ALG-и в ISP NAT44?  

41 members have voted

  1. 1. Нужны ли ALG-и в ISP NAT44?

    • Да, нужны. Отписываемся какие и почему они нужны
    • Не нужны. И без них всё работает, никто не жалуется
    • Не знаю что такое ALG и знать не хочу
    • Используем несколько NAT-ов, с ALG-ами (для отдельных абонентов) и без них (для остальных)
      0


Нужны ли ALG-и в ISP NAT44?

Нужны ipv4 и уже скорее всего ipv6. Сам по себе NAT для ISP это не только проблема с оборудованием для провайдера, но и многое негативное, вытекающее от недостаточной уникальности в идентификации клиентов для всяких сервисов. Его надо не дорабатывать, а всячески стараться убирать. Это моё мнение и оно может быть ошибочным для каких то случаев.

Share this post


Link to post
Share on other sites

Есть некоторые клиенты пользующие pptp.

 

Есть контрпример. NAT на IOS-XE с включенным pptp ALG(по умолчанию), в какой-то момент времени заглючил (на IOS-XE вообще часто глючат ALG-и), после выключения pptp ALG, клиент, использующий pptp с внешним сервером заработал.

 

Т.е. ALG-и вроде бы и нужно, но например, ftp-клиенты, почти все шлют сразу PASV, SIP-клиенты что я видел, тоже работают без ALG-ов без проблем с популярными сервисами

 

За ней идет FTP.

 

вот какие современные клиенты не шлют PASV сразу же? Штук 6, что я нашёл за 5 минут шлют PASV

 

Нужны ipv4 и уже скорее всего ipv6. Сам по себе NAT для ISP это не только проблема с оборудованием для провайдера, но и многое негативное, вытекающее от недостаточной уникальности в идентификации клиентов для всяких сервисов. Его надо не дорабатывать, а всячески стараться убирать. Это моё мнение и оно может быть ошибочным для каких то случаев.

 

это всё лирика. сейчас ситуация такова, что даже внедрив ipv6, вам всё равно нужен nat44 чтоб выходить на ipv4 ресурсы

Share this post


Link to post
Share on other sites

после выключения pptp ALG, клиент, использующий pptp с внешним сервером заработал.

pptp ALG нужен не для того, чтобы работал pptp-клиент через NAT, а для того, чтобы работало БОЛЬШЕ ОДНОГО клиента через один и тот же внешний адрес.

для pptp просто нужен GRE демультиплексер, т.к. GRE штатных средств распознавания множественных подключений к одному IP не имеет.

т.е. без ALG второй подключившийся клиент либо не получит поток GRE вообще, либо получит какие-то пакеты в перемешку с пакетами уже работающего (как клиентское ПО этот случай отработает - хз).

Share this post


Link to post
Share on other sites

' timestamp='1448004143' post='1203187']pptp ALG нужен не для того, чтобы работал pptp-клиент через NAT, а для того, чтобы работало БОЛЬШЕ ОДНОГО клиента через один и тот же внешний адрес.

+1

Share this post


Link to post
Share on other sites

ALG не юзаем, проблем с FTP не наблюдалось (ну может пару), PPTP уж тем более. Физикам оно не надо, юрикам публичный даем.

Share this post


Link to post
Share on other sites

Он же небезопасен донельзя и тормозен донельзя. Зачем, правда? :)

Share this post


Link to post
Share on other sites

бекапы сливать удобно по ftp :/

в фоне скриптами само льется

а что есть альтернативы когда вопрос о безопасности не стоит?

и да, многие до сих пор сидят на HTTP который "небезопасен донельзя" и никого это не останавливает :)

Share this post


Link to post
Share on other sites

Кто-то еще использует ftp?! :)

 

конечно. Лично я не доверяю серт. центрам потенциального противника и не считаю https со "стандартным" набором CA безопасным. Тем более, что прецеденты были уже. Или вы не в курсе?

 

поэтому шифрую и подписываю данные своими ключами и нисколько не брезгую небезопасным транспортом таким как ftp или http

Share this post


Link to post
Share on other sites

Вы правда верите, что потенциальному противнику ваши данные нужны больше, чем местному хакеру Васе, который засниффит Вашу карточку и купит себе хабара на иностранных сайтах? Да еще и спасибо скажет - какой молодец без httpS :)

Share this post


Link to post
Share on other sites

Хз упарыватся по https/TLS.

Это херня средней надёжности/безопасности, в локалке оно и нах не надо, в инете - иногда может помочь.

Единственный макстхэв это при хождениях через публичную вафлю, в остальных случаях перехват ближе к фантастике.

Share this post


Link to post
Share on other sites

а SIP без alg у клиентосов нормально работает

 

SIP сейчас в основном шифрованный - тут никакие ALG уже не помогут :)

А если серьезно, то вроде проблемы и нет.

Провайдер SIPNET, например, вообще рекомендует ALG отключать, так как по их словам "SIP ALG в маршрутизаторах, как правило, работают некорректно"

Share this post


Link to post
Share on other sites

а SIP без alg у клиентосов нормально работает

 

SIP сейчас в основном шифрованный - тут никакие ALG уже не помогут :)

А если серьезно, то вроде проблемы и нет.

Провайдер SIPNET, например, вообще рекомендует ALG отключать, так как по их словам "SIP ALG в маршрутизаторах, как правило, работают некорректно"

 

Кака раз пару раз приходилось отключать.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.