LINUX.ORG.RU

NAT - это само по себе плохо. Прикрыть вы можете сколько угодно, всю подсеть. Но к ним не будет человеческого доступа из интернета. Сам всю жизнь мучаюсь с провайдером, у которого NAT.

vurdalak ★★★★★ ()

Это зависит только от производительности шлюза.

Alan_Steel ★★ ()
Ответ на: комментарий от vurdalak

Но к ним не будет человеческого доступа из интернета.

А зачем обычным (не провайдерским) юзерам, в обычной, среднестатистической компании нужен доступ «из инета»?

Это не нужно, так что ничего плохого в NAT нет, только хорошее. Опять же, если есть цель пробросить порты или IP'ы - то тут тоже никаких специальных знаний не нужно - все работает.

zgen ★★★★★ ()

Подскажите, какое оптимальное количество пользователей можно «прикрыть» одним реальным ип адресом(NAT)?

Любое количество (исходя из производительности шлюза) которое NAT устраивает, как вид доступа в инет.

zgen ★★★★★ ()
Ответ на: комментарий от silw

реальники стоят копейки у любого нормального провайдера

В моем городе (Харьков) есть три провайдера. У одного все порты, кроме 775, 80 и еще нескольких, перекрыты; у другого скорость и качество обслуживания ~0; у моего же нет услуги «реальный ip».

vurdalak ★★★★★ ()
Ответ на: комментарий от madcore

Не все протоколы без костылей работают через нат.

На вскидку только SIP приходит в голову. Торенты обычным конторам не cдались, ftp работает.

Еще примеры можете вспомнить?

zgen ★★★★★ ()
Ответ на: комментарий от vurdalak

Речь ессно не о провайдерах, иначе придется признать, что вы правы.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

у одного из мск была проблема с vpn через нат. Но, по словам админа, проблема была в кривости порта pf под freebsd.

silw ★★★★★ ()

При количестве одновременных соединений более шестидесяти тысяч, на внешнем адресе перестанет хватать портов.

В остальном, зависит от производительности железа и оси шлюза и толщины канала.

anonymous ()
Ответ на: комментарий от zgen

>Еще примеры можете вспомнить?

H323, из того, с чем сталкивался.
А бывает ведь так, что локалка за своим натом, и провайдер тоже натит...

madcore ★★★★★ ()
Ответ на: комментарий от silw

>у одного из мск была проблема с vpn через нат. Но, по словам админа, проблема была в кривости порта pf под freebsd.

pptp? В линуксе для его трэкинга аж специальный модуль в iptables.

madcore ★★★★★ ()
Ответ на: комментарий от anonymous

При количестве одновременных соединений более шестидесяти тысяч, на внешнем адресе перестанет хватать портов.

Ничего подобного. Один и тот же порт может быть использован при соединении к разным хостам. Вот кол-во соединений с одного хоста на ОДИН порт действительно ограничено.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Ничего подобного. Один и тот же порт может быть использован при >соединении к разным хостам. Вот кол-во соединений с одного хоста на >ОДИН порт действительно ограничено.


Вот ключевые слова которые хотел услышать.
До этого я понимал что количества source портов около 60000 (на 1 реальном ip)и их перестает хватать

PS Я не жадный на ip кому надо - за символическую плату в пол доллара в месяц тот получает реальный ip, но таких 2 чел из 100.

PPS Какой все таки разумный предел юзеров на 1 ip чтоб большинство серверов не отторгали connlimit-ом?

isup ()
Ответ на: комментарий от madcore

m.>Но, по словам админа, проблема была в кривости порта pf под freebsd.

Дело не в кривости. Просто pf не умеет натить сложные протоколы.

Впрочем, исключительно для ftp там есть довольно забавный юзерспейсовский костыль ftp-proxy.

В линуксе для его трэкинга аж специальный модуль в iptables.

Для H.323 тоже есть, не поверишь =)

anonymous ()
Ответ на: комментарий от anonymous

>>В линуксе для его трэкинга аж специальный модуль в iptables.

Для H.323 тоже есть, не поверишь =)


Но работал он криво, поверь)

madcore ★★★★★ ()
Ответ на: комментарий от isup

чтоб большинство серверов не отторгали connlimit-ом?

У некоторых(файлопомойки) вообще лимит в одного юзера. Но т.к. я никогда из себя провайдера не строил то не знаю какие пределы разумны. У нас в офисе человек 70 сидели через нат, гугл постоянно требовал ввести капчу что мы не боты. Как щас с этим не знаю.

А вот целое государство на одном айпишнике(или сетке, непонятно): http://sterlegrad.ru/world/238-wikipedia-zabanila-celoe-gosudarstvo.html

true_admin ★★★★★ ()
Ответ на: комментарий от silw

GRE - это кусок г-на, простите за выражение. С ним были проблемы испокон веку, и прямой IP вовсе не гарантия его прохождения через промежуточные маршрутизаторы даже без NAT. Даже 10 лет назад еще безо всякого модуля в IPTABLES он работал. Где-то. А где-то не работал. Проверяли тогда еще накладывая патч на traceroute для трека GRE

P.S Есть кошерный кроссплатформенный openvpn который ходит как угодно, через что угодно и просто работает.

zgen ★★★★★ ()
Ответ на: комментарий от true_admin

У нас в офисе человек 70 сидели через нат, гугл постоянно требовал ввести капчу что мы не боты. Как щас с этим не знаю.

У меня сидит раз в 5 эдак больше и никто ничего не требует.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

У меня сидит раз в 5 эдак больше и никто ничего не требует.

Мы пришли к выводу что seo-отдел просто затрахал гугл, вот он и стал банить.

true_admin ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.