Jump to content

Нужны ли ALG-и в ISP NAT44?

s.lobanov
 Share

Нужны ли ALG-и в ISP NAT44?  

41 members have voted

  1. 1. Нужны ли ALG-и в ISP NAT44?

    • Да, нужны. Отписываемся какие и почему они нужны
      22
    • Не нужны. И без них всё работает, никто не жалуется
      15
    • Не знаю что такое ALG и знать не хочу
      4
    • Используем несколько NAT-ов, с ALG-ами (для отдельных абонентов) и без них (для остальных)
      0

Recommended Posts

Dimka88

Dimka88

Posted
Posted

Нужны ipv4 и уже скорее всего ipv6. Сам по себе NAT для ISP это не только проблема с оборудованием для провайдера, но и многое негативное, вытекающее от недостаточной уникальности в идентификации клиентов для всяких сервисов. Его надо не дорабатывать, а всячески стараться убирать. Это моё мнение и оно может быть ошибочным для каких то случаев.

s.lobanov

s.lobanov

Posted
  • Author
Posted

Есть некоторые клиенты пользующие pptp.

 

Есть контрпример. NAT на IOS-XE с включенным pptp ALG(по умолчанию), в какой-то момент времени заглючил (на IOS-XE вообще часто глючат ALG-и), после выключения pptp ALG, клиент, использующий pptp с внешним сервером заработал.

 

Т.е. ALG-и вроде бы и нужно, но например, ftp-клиенты, почти все шлют сразу PASV, SIP-клиенты что я видел, тоже работают без ALG-ов без проблем с популярными сервисами

 

За ней идет FTP.

 

вот какие современные клиенты не шлют PASV сразу же? Штук 6, что я нашёл за 5 минут шлют PASV

 

Нужны ipv4 и уже скорее всего ipv6. Сам по себе NAT для ISP это не только проблема с оборудованием для провайдера, но и многое негативное, вытекающее от недостаточной уникальности в идентификации клиентов для всяких сервисов. Его надо не дорабатывать, а всячески стараться убирать. Это моё мнение и оно может быть ошибочным для каких то случаев.

 

это всё лирика. сейчас ситуация такова, что даже внедрив ipv6, вам всё равно нужен nat44 чтоб выходить на ipv4 ресурсы

[anp/hsw]

[anp/hsw]

Posted
Posted

после выключения pptp ALG, клиент, использующий pptp с внешним сервером заработал.

pptp ALG нужен не для того, чтобы работал pptp-клиент через NAT, а для того, чтобы работало БОЛЬШЕ ОДНОГО клиента через один и тот же внешний адрес.

для pptp просто нужен GRE демультиплексер, т.к. GRE штатных средств распознавания множественных подключений к одному IP не имеет.

т.е. без ALG второй подключившийся клиент либо не получит поток GRE вообще, либо получит какие-то пакеты в перемешку с пакетами уже работающего (как клиентское ПО этот случай отработает - хз).

pppoetest

pppoetest

Posted
Posted
' timestamp='1448004143' post='1203187']pptp ALG нужен не для того, чтобы работал pptp-клиент через NAT, а для того, чтобы работало БОЛЬШЕ ОДНОГО клиента через один и тот же внешний адрес.

+1

  • 1 month later...
GrandPr1de

GrandPr1de

Posted
Posted

бекапы сливать удобно по ftp :/

в фоне скриптами само льется

а что есть альтернативы когда вопрос о безопасности не стоит?

и да, многие до сих пор сидят на HTTP который "небезопасен донельзя" и никого это не останавливает :)

s.lobanov

s.lobanov

Posted
  • Author
Posted

Кто-то еще использует ftp?! :)

 

конечно. Лично я не доверяю серт. центрам потенциального противника и не считаю https со "стандартным" набором CA безопасным. Тем более, что прецеденты были уже. Или вы не в курсе?

 

поэтому шифрую и подписываю данные своими ключами и нисколько не брезгую небезопасным транспортом таким как ftp или http

pavel.odintsov

pavel.odintsov

Posted
Posted

Вы правда верите, что потенциальному противнику ваши данные нужны больше, чем местному хакеру Васе, который засниффит Вашу карточку и купит себе хабара на иностранных сайтах? Да еще и спасибо скажет - какой молодец без httpS :)

Ivan_83

Ivan_83

Posted
Posted

Хз упарыватся по https/TLS.

Это херня средней надёжности/безопасности, в локалке оно и нах не надо, в инете - иногда может помочь.

Единственный макстхэв это при хождениях через публичную вафлю, в остальных случаях перехват ближе к фантастике.

DimaM

DimaM

Posted
Posted

а SIP без alg у клиентосов нормально работает

 

SIP сейчас в основном шифрованный - тут никакие ALG уже не помогут :)

А если серьезно, то вроде проблемы и нет.

Провайдер SIPNET, например, вообще рекомендует ALG отключать, так как по их словам "SIP ALG в маршрутизаторах, как правило, работают некорректно"

  • 3 weeks later...
Sonne

Sonne

Posted
Posted

а SIP без alg у клиентосов нормально работает

 

SIP сейчас в основном шифрованный - тут никакие ALG уже не помогут :)

А если серьезно, то вроде проблемы и нет.

Провайдер SIPNET, например, вообще рекомендует ALG отключать, так как по их словам "SIP ALG в маршрутизаторах, как правило, работают некорректно"

 

Кака раз пару раз приходилось отключать.

  • 1 year later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.