Мы спорили о http://netlab.e2k.ru/forum/index.php?showt...ndpost&p=247135, это ты проспорил

На счет не качает - см. пункт 2 в http://netlab.e2k.ru/forum/index.php?showt...ndpost&p=247353

retro
Я так понимаю, что Application Layer Gateway - это настройки специальных модулей рыутера, которые не просто "открывают" какие-то порты, а следят за тем, какие соединения разрешать и при каких условиях. Т.е. анализ текущих соединений и на этой основе разрешение (или запрещение) установки других соединений...

Что же до "открывания" портов... Это надо идти в настройки NAT и настраивать destination-NAT для муловых портов. Source-NAT же должен быть включен для всего диапазона портов.

Sergey Overkill

я думал ты только музыку знаешь

Ну конечно, я это прогнал... Говорю же, что не соображаю уже. Все внимательно перечитал сам. Вот последняя поправка ко всему этому.
1) Когда я делаю форвардинг по тем самым портам, открытым по умолчанию (НЕ трогая стандартные порты мула!), т.е. ставя и у мула те же, что и на раутере, то получаю High ID, но без скачивания со своей стороны.
2) Когда я не делаю форвардинг (а зачем его делать, если они и так открыты туда-сюда? Ведь это

достаточно спорно, но в любом случае 80 открыт в обоих направлениях, кроме того, и 123, и 21, и еще, как минимум парочка - которые я и ставлю в настройках мула), то НЕ получаю High ID, и не получаю скачивания.
3) Когда у мула я ставлю его родные порты без всякого форвардинга, получаю Low ID, но качает вполне прилично.
4) Весь сыр-бор был из-за того, что если

5) Если я уже иду вручную открывать порты для мула, то что мне мешает сделать их нормальными, а не маятся дурью, пытаясь заставить его работать на других портах???
6) Разговор был, как обмануть прова или админа, а не как настроить нормально раутер.
7) Зачем нужно High ID на 80 порту (и можно ли его таковым назвать), если мул не качает, а только отдает?

This post has been edited by retro on 07-04-2004, 22:06

Sergey Overkill

Что такое ALG (Application Layer Gateway)?

.........и т.д. т.д. т.д.

retro
Нет, всё же нужно отделить мух от котлет. У компьютера IP не реальный? Тогда для правильной работы чего-либо совершенно недостаточно открытости (или незакрытости) в файерволе определённого порта. Всё идёт через NAT. И в этом случае под "открытостью" порта вовнутрь нужно понимать включенный port forwarding (или более по-научному - destination-NAT по определённому порту).

А вот тут, как мне понимается -

- говорилось о компьютере сидящем на реальном IP, но слегка прикрытым файерволом (на некоем рыутере, допустим).

2retro : Мы так будем долго спорить, но обмануть админа, прова или раутер - никак нельзя по определению Если порты закрыты одним из выше указанных товарищей - хоть убейся, ничего работать не будет - не умеет мул работать через закрытый порт, что тут спорить-то?
На счет 7) - определение HighID это не то, что ты сможешь качать (особенно через закрытые порты), а что твой порт доступен и другие пользователи ослосети могут найти тебя на сервере и БЕЗ сервера с тобой начать разговор, как я уже писал - LowID клиенты работают через сервер - не данные идут через сервер, а сообщения для тебя идут через сервер...

Эх, хорошо начали - с сетевого ликбеза для "чайников". Но, унесло вас в высокие сферы, нам не доступные...

retro
Ну вот, значит Application Layer Gateway - это именно то, что я и думал. Специальные умные модули, которые отслеживают различные соединения, характерные для протоколов неких апликаций, соответственно NAT'я их (как внутрь так и наружу), когда и как требуется.

К примеру, FTP. Такой модуль будет следить за попытками установить TCP соединение с внешним хостом по 21 порту, после чего будет NAT'ить внутрь входящие соединения на любой порт из диапазона 1024-65536, идущие с того же внешнего хоста с 20 порта. Ну это упрощенно, а как там на самом деле - не знаю...

Соответственно, если ты знаешь, какие порты используются некой апликацией, и ты врубаешь поддержку этой апликации в Application Layer Gateway, а на самом деле пытаешься гонять мула на этих портах, то вовсе не факт, что модуль, поддерживающий эту некую апликацию, будет всё форвардить твоему мулу. Ведь этот модуль форвардит соединения только при каких-то условиях, характерных для работы апликации, для поддержки которой он задуман.

Sergey Overkill

Что ты имел ввиду? Реальный IP может быть только у компа, выходящего в интернет напрямую, без раутера.  

Раутер и NAT одно и то же. Вернее, NAT - одна из функций (необходимая, но не единственная). То, о чем ты пишешь более подходит под комп с 2-мя сетевухами, вот там, действительно настраивается так. У такого компа два IP - реальный (в нете) и внутренний. Для компа, выходящего в нет через раутер, такого понятия, как "реальный" IP, не существует.

Неправильно понимаешь.
Это самое и имелось ввиду.

А мне кажется, что не будет. И не должно быть. В FTP клиенте я вручную ставлю порт (по умолчанию 21, но в основном, когда мне присылают юзер-пароль, обязательно сообщают какой-нибудь абсолютно дикий номер порта, который я и ввожу в клиенте).

P.S. Хотя с другой стороны может и будет... Интересно. Надо тоже попробовать!
Подождем, что скажут.

This post has been edited by retro on 07-04-2004, 23:01

retro
Э... Даже не знаю, что и сказать... Что такое "комп, выходящий в инет напрямую"? Это вообще как? Известно ли тебе, что инет, несколько утрируя - это огромная куча рыутеров объединённых в сеть?

Будет-будет - Sergey Overkill правильно сказал - есть хитрые фаерволы и раутеры - скажем не хочешь ты открывать порты для фтп, оставляешь только 21ый - по нему приходит некий ИП и твой фтп сервер с ним договорился (т.е. проверил пароль и тп) - в таком случае умный фаер считает, что этот ИП достойный и более его не блокирует, по каким бы портам дальше ФТП с ним бы не работало (т.е. какие разрешены для данной апликухи).... Но это очень умный файр\раутер нужен....

Смеюсь и плачу.

NAT в рутерах появился году так в 93-м. А то и позже. До того ни один железный рутер не умел делать NAT.
Вообще-то как раз ты у нас большой спец по вытаскиванию определений. Вот и вытащил-бы определение рутера. К NAT'у там отношения никакого.

Кстати, если уже зашла об этом речь, то обычно если что и объединяют, то firewall & NAT. А рутер оставляют чисто пакеты рутить. Ну или все-в-одном, что не так удобно.

Ладно товарищи спорить .
Дайте пожалуйста ещё пару ответов для чайников .

 Если я, к примеру, LowID: ослик подсоединяется через 4661 к серверу, даёт там о себе инфу + оставляет соединение открытым чтобы ждать вестей. Потом по этому 4661-му получает инфу, что юзер с ip XXX и портом 4662 созрел и хочет поделится, я подключаюсь (исходящий траффик идёт через мой произвольный порт 33196 за некоторыми исключениями, да?) к ip XXX и его порту 4662 говорю "я тут" и что дальше то? Он мне валит на 33196, больше некуда, ведь "достучаться не может", а я ему на 4662 "спасибо получил"?  
И, самое смешное, нифига не объяснено на первой странице что такое порт, написано только для чего порт      

Вот что такое корабельный порт - участок берега с прилегающим водным районом и комплексом сооружений и устройств... Если кто так доходчиво и вкрадце скачет так про компьютерный порт - я буду очень признателен, да, наверное, и не только я. Сразу говорю: "Только на трубопроводы не переходите пожалуйста " - это все понимают и, одновременно, нифига не понимают.

Сама система соединения не ясна. На комп инфа ведь валит кучей, а на каком основании сетевая(?) знает какой пакет в какой порт (направление?) сунуть?

This post has been edited by sat-ok on 08-04-2004, 02:20