Re: [PECET] opoznienia na switchu

["PawelS pawel(at)wbcd(dot)pl" <fake@email.org>]

Mateusz Viste pisze:
> On Tue, 06 Nov 2018 18:10:53 +0100, PawelS pawel(at)wbcd(dot)pl wrote:
> > czyli, aby wysłać odebrany pakiet z "zewnątrz" i przesłać do host za
> > NAT,
> > dane połączenie musi zostać odnalezione w tablicy sesji NAT,
> > w przeciwnym razie translacja odwrotna nie będzie możliwa,
> > czyli powyższe próby "Grzesia" zakończą się odrzucaniem pakietów oraz
> > ewentualnym logowaniem pakietów, a takie wysyłanie pakietów może zostać
> > odebrane jak skan portów i również zablokowane.
> Ja być może niejasno napisałem, dlatego sprostuję: moja teoria wymaga 
> naturalnie by Krzyś wykonał kilka/kilkanaście (im więcej tym lepiej) prób 
> w kierunku Grzesia. W ten sposób Grześ ma jakąś tam szansę wpaść na 
> poprawną parę portów.
> Jeśli tylko jedna ze stron będzie kombinować, to oczywiście szanse na 
> powodzenie są żadne.
Wręcz przeciwnie napisałeś wszystko jasno:

[ User:LAN:IP:PORT   ] NAT:IP:PORT    ===> Remote:Port
[ Joe:10.0.1.1:1234  ] 30.0.3.3:3456  ===> 20.0.2.2:2345
[ Bob:10.0.4.4:1234  ] 40.0.4.4:4567  ===> 20.0.2.2

Ten wątek wydaje mi się ciekawszy, więc zacytuję artykuł od Romana:
> Introducing the Introducer
> [...]
> * Joe tries to send packets to Bob on address 40.0.4.4:4567. Because it's
> sent from the same internal address, the firewall re-uses the From address
> of 30.0.3.3:3456, and write that as the "from" address on a packet headed
> "to" 40.0.4.4:4567. A paranoid NAT will also add 40.0.4.4 as an allowed
> destination for this port.
> Bob's firewall sees an incoming packet on 40.0.4.4:4567,
> looks that up in its masquerading table, and forward
> the packet to 10.0.4.4:1234.
> Hey! Joe just sent a packet straight to Bob! 
> Bob does the same thing going the other way. Suddenly, with a little help
> from the introducer server out on the network, these friends can talk
> to each other. The cool thing is that whatever traffic goes on
> between these peers does NOT go through the central server.
> Other than letting the clients find each other ("matchmaking")
> the server gets out of the way.
Stąd wniosek, że NAT zapamiętuje tylko parę LAN:IP:PORT + NAT:IP:PORT
czy teoretycznie jak pojawi się trzeci użytkownik Ola
[ Ola:10.0.5.5 ] 50.0.5.5:7788 ===> Anywhere,
to Ola może również nawiązać połączenie z Joe lub Bob.

Trochę mi to psuje moje zrozumienie jak działa NAT
i jego tablica stanów połączeń, według to której
powyższy przypadek nie powinien zadziałać.