Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: tragikomix 31. 07. 2023, 21:18:17
-
Dobrý den.
Rád bych se dozvěděl kolik "domácností" se v případě CGNATu tak běžně "schovává" za jednou IP adresou. Alespoň řádově.
Předem děkuji.
-
v radech 0 az 4.
-
A z čeho usuzuješ domácnost ? Nebo je už i v dom.připojkách?já čekal na mobilech cgnat
-
Přiznám se, že mobilní sítě mě nenapadly. Ale zajímá mě to taky. Kolik tak může být telefonů za jednou IP adresou.
-
Pokud pro kazdy telefon CGNAT vyhradi 512 portu, tak tech telefonu za jednou muze byt az ~120. Pokud 640 portu, bude telefonu az sto (vynechavam porty 1-1023).
-
A z čeho usuzuješ domácnost ? Nebo je už i v dom.připojkách?já čekal na mobilech cgnat
CGNAT je i v domácích přípojkách.
-
Pokud pro kazdy telefon CGNAT vyhradi 512 portu, tak tech telefonu za jednou muze byt az ~120. Pokud 640 portu, bude telefonu az sto (vynechavam porty 1-1023).
Tohle by platilo jen pro implementaci kde se pro telefon (nebo obecně pro klienta ve vnitřní sítí) musí vždycky vyhrazovat porty. To ale není jediná možná implementace - viz např. implementace SNAT v Linuxu, kde se po příchodu paketu z internetu na nějaký port zohledňuje i zdrojová IP adresa a port, a teprve podle toho se překládá cílová IP adresa do vnitřní sítě. Takže se jeden odchozí port dá klidně použít pro spoustu klientů ve vnitřní síti, za předpokladu že komunikují s různými cílovými IP adresami a porty (což je téměř vždy pravda - např. přístupy od různých klientů na tcp port 443 ip adresy odpovídající www.root.cz se typicky rozloží v čase, a jen ty co se nerozloží musejí dostat různé porty).
-
Z realu ... 1k+ ... to ze to pak vicemene spis nefunguje, je prece vpohode, lidi to neporebujou. IPcka se daji zpenezit, takze cim mene se jich pouzije, tim lip.
-
https://telekomunikace.cz/d/27668-ipv4-kolik-schovavate-CPE-za-jednu-verejku
... a nejspíš to není jediné vlákno v tom fóru
-
Pokud pro kazdy telefon CGNAT vyhradi 512 portu, tak tech telefonu za jednou muze byt az ~120. Pokud 640 portu, bude telefonu az sto (vynechavam porty 1-1023).
Tohle by platilo jen pro implementaci kde se pro telefon (nebo obecně pro klienta ve vnitřní sítí) musí vždycky vyhrazovat porty.
Je to tak. Ovšem právě tahle implementace hodně zjednodušuje logování, kdy se každý alokovaný blok portů jednou zaznamená do logu a není potřeba logovat všechna spojení od klientů (což v třeba případě použití Linuxového SNATu potřeba je, aby bylo možné dohledat který klient kdy použil port X na IP adrese Y).
-
Pokud pro kazdy telefon CGNAT vyhradi 512 portu, tak tech telefonu za jednou muze byt az ~120. Pokud 640 portu, bude telefonu az sto (vynechavam porty 1-1023).
Tohle by platilo jen pro implementaci kde se pro telefon (nebo obecně pro klienta ve vnitřní sítí) musí vždycky vyhrazovat porty.
Je to tak. Ovšem právě tahle implementace hodně zjednodušuje logování, kdy se každý alokovaný blok portů jednou zaznamená do logu a není potřeba logovat všechna spojení od klientů (což v třeba případě použití Linuxového SNATu potřeba je, aby bylo možné dohledat který klient kdy použil port X na IP adrese Y).
Jestli se má logovat jen přiřazení portů klientům (což se v čase může měnit), nebo ještě navíc i IP adresy a porty z internetu, to už není takový rozdíl (v Linuxu k dispozici například ulogd). Je to ovšem obrovský rozdíl s ohledem na to, kolik klientů dokážete obsloužit pomocí jedné veřejné IP adresy. Navíc to Linuxové řešení efektivně brání jednomu klientovi v blokování spousty portů které pak nejdou použít pro jiné klienty.
Obecně logovat jen přiřazení portů uživatelům je nedostatečné v případě že přijde příkaz od policie na dodání identifikace všech klientů, kteří v uvedené době komunikovali s konkrétní IP adresou v internetu (posílají to i bez uvedení zdrojového portu).
-
Co jsem slyšel, tak limit počtu uživatelů není technický limit CGNATů, ale interní limity velkých populárních internetových služeb. Údajně, když dáte za jednu adresu víc než 300 - 350 uživatelů, začne jim Google ukazovat CAPTCHA. Když přidáte ještě víc, začne rovnou psát:
We're sorry...
... but your computer or network may be sending automated queries. To protect our users, we can't process your request right now.
See Google Help for more information.
Když si stěžujete ISP, ten vám odpoví:
Dobrý den,
Bohužel toto mají jako nesmyslnou ochranu na googlu, pokud z jedné IP
adresy mají hodně dotazů. Nechápou, že za natovanou IP adresou je
větší množství lidí a vyhodnocují to jako podezřelý provoz.
Bohužel toto se nedá zatím z naší strany řešit i když se o to
snažíme, google je jeden z mnoha subjektů na internetu a je to jejich
rozhodnutí co vyhodnotí jako podezdřelý provoz a co ne. Od nás internet
funguje a to je zatím z naší strany vše co pro to můžeme udělat. Vy
můžete zkusit napadnout blokaci u google.
Takže změníte ISP za jiného, u kterého takové problémy nejsou.
-
Obecně logovat jen přiřazení portů uživatelům je nedostatečné v případě že přijde příkaz od policie na dodání identifikace všech klientů, kteří v uvedené době komunikovali s konkrétní IP adresou v internetu (posílají to i bez uvedení zdrojového portu).
Z pohledu dohledavani uzivatelu mezi tim je jen maly rozdil.
V pripade dynamickeho mapovani 1:1 musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni NAT session namapovanou na IP adresu X.
V pripade pridelovani bloku musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni pridel portu pro IP adresu X.
(V pripade pridelovani vetsich bloku samozrejme logujete nejen port "od-do", resp. "od+velikost pridelu", ale i IP.)
-
Co jsem slyšel, tak limit počtu uživatelů není technický limit CGNATů, ale interní limity velkých populárních internetových služeb. Údajně, když dáte za jednu adresu víc než 300 - 350 uživatelů, začne jim Google ukazovat CAPTCHA:
Hmm zajímavé. Ale možná bych měl alternativní hypotézu, tohle dělá Google také naprosto spolehlivě, když se na něj leze ze zabezpečenějšího prohlížeče, i když na daném IPčku není vůbec nic dalšího, párkrát mám pocit že i následně pro prohlížeč v defaultu.
Těžko odhadovat, jestli alespoň tahle část není něco jako "my vám to blokování šmírování znepříjemníme".
-
Pokud pro kazdy telefon CGNAT vyhradi 512 portu, tak tech telefonu za jednou muze byt az ~120. Pokud 640 portu, bude telefonu az sto (vynechavam porty 1-1023).
Tohle by platilo jen pro implementaci kde se pro telefon (nebo obecně pro klienta ve vnitřní sítí) musí vždycky vyhrazovat porty.
Je to tak. Ovšem právě tahle implementace hodně zjednodušuje logování, kdy se každý alokovaný blok portů jednou zaznamená do logu a není potřeba logovat všechna spojení od klientů (což v třeba případě použití Linuxového SNATu potřeba je, aby bylo možné dohledat který klient kdy použil port X na IP adrese Y).
Jestli se má logovat jen přiřazení portů klientům (což se v čase může měnit), nebo ještě navíc i IP adresy a porty z internetu, to už není takový rozdíl (v Linuxu k dispozici například ulogd). Je to ovšem obrovský rozdíl s ohledem na to, kolik klientů dokážete obsloužit pomocí jedné veřejné IP adresy. Navíc to Linuxové řešení efektivně brání jednomu klientovi v blokování spousty portů které pak nejdou použít pro jiné klienty.
Obecně logovat jen přiřazení portů uživatelům je nedostatečné v případě že přijde příkaz od policie na dodání identifikace všech klientů, kteří v uvedené době komunikovali s konkrétní IP adresou v internetu (posílají to i bez uvedení zdrojového portu).
Urcite jste myslel soudni prikaz a ne prikaz od policie ze ano ;-) Protoze to byste mohl docela tvrde narazit.
-
Obecně logovat jen přiřazení portů uživatelům je nedostatečné v případě že přijde příkaz od policie na dodání identifikace všech klientů, kteří v uvedené době komunikovali s konkrétní IP adresou v internetu (posílají to i bez uvedení zdrojového portu).
Z pohledu dohledavani uzivatelu mezi tim je jen maly rozdil.
V pripade dynamickeho mapovani 1:1 musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni NAT session namapovanou na IP adresu X.
V pripade pridelovani bloku musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni pridel portu pro IP adresu X.
(V pripade pridelovani vetsich bloku samozrejme logujete nejen port "od-do", resp. "od+velikost pridelu", ale i IP.)
No vidíte - stejně je potřeba logovat všechna spojení. Takže v logování není mezi tou naivní alokací portů a tou sofistikovanější implementaci v Linuxu vlastně skoro žádný rozdíl. Proč by tedy nějaký dodavatel CGNAT vůbec měl implementovat tu naivní alokaci portů pro jednotlivé klienty ve vnitřní síti, a tím mít mnohem větší spotřebu veřejných IP adres pro obsloužení většího počtu klientů? Existuje vůbec dnes nějaká taková reálně používaná implementace?
-
Neni potreba logovat kazde spojeni. Staci zalogovat datum a cas prideleni mapovani toho bloku portu (pripadne jeste uvolneni).
Implementace existuji a realne se pouzivaji. Napr. https://www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-28/nat-admin/21-28-nat-admin/m_natoverview.html#reference_B84136EA5C8947C092889E29BCBAD691
-
V roce 2009, kdy jsem něco podobného měl na starosti, se běžně na 1 IPv4 veřejnou adresu (tenkrát to byl NAT na clusteru linux serverů) překládalo kolem 1 tisíce domácích uživatelů. Hlavním problémem tehdejší doby byl spíš počet paketů za sekundu než počet připojených zákazníků.
Dnes bych čekal, že se usilí bude směřovat do IPv6….