Детектирование NAT.

Боюсь никак.
Ради этого(?) и разрабатывалось.

Я вот тот тоже думал что никак..
А как такой спсоб:
1)Угадать один из используемых портов. За которым скрывается соединение.
2)Отправить туда пакетик с ttl=1, соответсвующим исходящим адреом и портом.
3) Если есть нат, то епридет сообщение о том что время жизни истекло. Если нет, то какое-нить другое сообщение.

Однозначного метода нет. Направления, куда можно копать:

1. Анализ пакетов на предмет одновременной работы хотя бы двух приложений, которых не может быть запущено на одной машине. Поясняю: если с машины идут пакеты от двух сетевых игр (например, Q3 и CS) одновременно, 100% дело не чисто.

2. Чайник мог забыть прочистить мозги применённому прокси на предмет X-Forwarded-For (классика) и т.п.

3. Анализ TTL пакетов (если NAT'ер не "восстанавливает" этот параметр, то TTL пакетов от машин за NAT'ом будет отличаться от TTL пакетов от самой машины). В-общем-то, почти то, что вы сказали, но с дополнением: ВЫ У СЕБЯ прописываете, что всем пакетам на "подозреваемого" следует установить TTL=1. Кто не знает, отваливается сразу.

4. Подозрительно большой трафик. Тоже не 100% метод, ибо может быть одна машина, на которой подняты все мыслимые качалки.

> А как такой спсоб:

В OpenBSD, например, NAT нормализует пакеты. Ничего ты там не увидишь. Более того, если мне не изменяет память, там NAT можно делать в бридже.

> там NAT можно делать в бридже.

Там в бридже не только NAT, но и полноценный файрволл можно... Красота, IP у машины нет, практически ничего нет, но пакетики режет как надо.

В Linux тоже можно

Вообще, на эту тему есть две замечательные статьи:

http://www.research.att.com/~smb/papers/fnat.pdf
http://www.sflow.org/detectNAT/

надо б в FAQ, ценная тема.

А естьк акие-нибудь готовые решения? Хотя бы для определенной реализации NAT?

> А естьк акие-нибудь готовые решения?

ну вот же, упомянуто sflow.

Security или General?

> Security или General?

Пожалуй, я добавлю в security, вроде бы, это сюда идеологически вернее.

как правило, детектят через tcp timestamps, но тот же pf modulate state это лечит

2Obidos: 1,3: А если у меня VMWare? Это тоже не допускается?

1. А как может один человек _одновременно_ играть в одну игру под вмваре и во вторую на хост-машине?

3. На хост-машине указываете, что пакетам от vmnet_какой_там TTL не менять, можно вообще Bridged Networking сделать (но тогда из-за включения promiscuos mode на сетевухе реально получить по голове с формулировкой "а он сниффер запускает").

Хотя, вопрос с вмваре -- весьма интересный. С одной стороны, имеем как бы два компьютера (виртуально), с другой -- один (физически). И мне кажется, что в этом случае нельзя приписать нарушение правила из договора типа "1 контракт = 1 компьютер". Компьютер-то один... Юристы, что тут можно сказать?

P.S. Я не отношусь к провайдерству, так что тонкости кухни не знаю, рассуждаю в основним теоретически плюс "примеры из жизни".

1. Почему обязательно игру? Мало других программ, не позволяющих два экземпляра, что-ли? Та же ICQ. Или в этом случае ограничиваем круг программ ещё сильнее?

Кроме того, а кто сказал, что у меня одновременно одна ВМ под VMWare работает? Я могу на двух ВМ играть в игруху, а не на ВМ и хост-машине.

3. Честно? Я вот прям сейчас поискал и не нашёл, где это такое в Win можно сделать.

> P.S. Я не отношусь к провайдерству,

Я тоже. И считаю, что если горе-провайдеру понадобилась такая фигня, то что-то не так в датском королевстве. Видимо, пытаются кого-то демпинговать себе в убыток, а пользователи загоняют в слишком уж большой минус :)

1. Я имел в виду то, что игра -- один из наглядных примеров "одноэкземплярной" программы.

3. В винде -- не знаю, если же хост-система -- linux или *BSD, то там более-менее очевидно.

> если горе-провайдеру понадобилась такая фигня, то что-то не так в датском королевстве

Типичный пример. Провайдер Х предлагает "безлимитный" тарифный план. Студент Вася покупает контракт и расшаривает его на общагу. Результат -- общага вскладчину сидит всем колхозом на одном контракте. Провайдер в убытке, довольное студенчество качает порнуху.

Ключевой момент тут -- тариф без учёта трафика. На "трафиковых" же тарифных планах провайдеру (если только там нет клинических имбецилов) по барабану количество юзеров под одним контрактом. Ещё один клинический случай -- "провайдер", получающий основную прибыль от факта _подключения_ юзеров (обычно это всякие домосетки пионЭрские).

> Провайдер Х предлагает "безлимитный" тарифный план.

Вот в этих кавычках-то всё и дело. Кидают клиентов, так нефиг жаловаться :)

У меня вот дома 3 машины в _личном_ пользовании (только одна терминальная). И что, провайдер начнёт мне палки в колёса вставлять, если я их все 3 подключу? _Одновременно_ пользоваться этими машинами может только один человек. А если я себе "кластер" из десятка машин там поставлю? А если он в один корпус собран и продаётся как одно неделимое целое (какая-то компания уже предлагает не то 10, не то 16-головые кластеры на Transmeta в корпусах чуть больше персоналки)?

Сказали безлимитный, значит безлимитный. Если пользователи начали много качать и вгонять в убыток, значит продешевили - поднимайте цены. Юридически, я ничего не нарушаю, подключая остальные свои машины.

Комкор и Стрим в таких случаях палки в колёса не вставляют. Ровно до тех пор, пока вы не начинаете перепродавать трафик третьим лицам, например, соседу.

Вот домосетки всякие -- эти в каждой бочке затычка.

> Ровно до тех пор, пока вы не начинаете перепродавать трафик третьим лицам, например, соседу.

Или я чего-то не понимаю, или это незаконно в России. Если, конечно, не получили лицензию на ведение подобной деятельности. Можно смело подавать в суд.

стрим еще как палки в калеса сует - там черным по белому написано если за 3 месяца в среднем вы выкачиваете более 20 гигов канал вам урезаем

при натировании udp/tcp обычно используются верхнии исходящии порты .. от 40000 где то .. при нормальной работе обычного хоста ситуация при которой столь высокие порты ипользуются не возникает ..

Всё ниже -- оффтопик. :(

Не "урезаем", а "оператор имеет право...". Кстати говоря, на данный момент известен лишь один товарищ (см. стримклаб.ру), которому канал порезали. Причём после звонка в ТП ("дяденьки, я больше не буду") восстановили.

Там же есть несколько примеров, когда кто-то выкачивал по 20-30Гб, ничего им за это не сделали.

Вообще, на том форуме сделали следующий вывод: данная фраза про урезание рассчитана на малолеток, из принципа "выкачивающих весь интернет". Ибо нормальный человек за первые три-четыре месяца даже на Нео выкачает практически всё, что ему нужно, потом закончится либо место на очередном винте, либо бабло на новый винт/болванки.

P.S. А куда 20Гб/мес девать? Порнуху качать? так её практически в любой домосетке (если та не в очередном дауне) как говна в выгребной яме. Ословодством заниматься? Так на нео исходящий трафик не считается даже при превышении входящего (инфа от "приближённого" к телу товарища), а в ослосети принято отдавать больше, чем качать (личеров и подобную им плесень не рассматриваем).

Менее типичный пример.

Есть масса людей, которым нужна локалка, почта и пара сайтов. (например, инет есть на работе).

Есть провайдер, который живет на (скрытую) абонентку ок. 200 р в месяц. Разрешить НАТ -- самоубийство. (при этом несколько компов можно вешать на 1 аккаунт, если с ними договориться).

При этом и условия подключения, и тарифы весьма пристойные, по московским меркам. Так что не все, кто кому-то что-то запрещают, делают это от жадности.