Strč prst skrz firewall (NAT Traverse)

Chcete se zvenčí připojit k počítači, který leží za NATem (má tedy pouze privátní IPadresu)? To přece nejde, řeknete si. Ale co když se snaží dva počítače, které oba leží za NATem, nemají tedy veřejnou IP a ani nemají forwardovaný port z brány? Pak to společnými silami zvládnou. Bez třetí strany (která má veřejnou IP). Stačí jim k tomu program NAT-traverse.

Říkáte si, to je přece blbost. Něco jako bootstrapping, tj. když se baron Prášil vytahoval z močálu za své vlastní tkaničky. Ale detailnější pohled do README nám celé tajemství osvětlí.

Pokusím se zde hlavní fintu interpretovat: První počítač, říkejme mu Anežka, leží stejně jako druhý (Barbora) za dvěma různými firewally, které jim dělají NAT (překládají IP adresy z veřejné na privátní a naopak). Anežka Barboru nevidí, vidí jen jení firewall, pro druhou stranu platí totéž. Oba firewally neforwardují žádné porty na mašiny za sebou.

A teď to přijde. Anežka vyšle několik UDP paketů na firewall Barbory, ten je zahodí. Barbora v tu samou chvíli pošle pár paketů na firewall Anežky, ten si ale už myslí, že jde o odpověd na Anežčino volání. Anežka pošle pár dalších paketů, Barbořin firewall si také už myslí, že jde o odpověď a pakety pošle dál. Hurá! Anežka a Barbora spolu komunikují!

Teď si mohou buď něco povádat přes stdin/stdout, nebo raději nahodil PPPd, netcat či nějaký VPN software, aby měli i "TCP"/IP spojení. TCP u uvozovkách, protože ve skutečnosti jede přes UDP, takže s vymoženostmi TCP (kontrola toku) nelze moc počítat. Pokud ale máme kontrolu toku i na další úrovni (PPPd, ...), tak je to snad ok.

Na takovéto lince pak můžete sdílet soubory, tahat SSH spojení, hrát hry... i když oba jsou za NATem.

Ještě bych zmínil podobné projekty. Před nějakou dobou jsem narazil na perlový skript Chownat, který mi ale osobně nefungoval... (asi jsem dělal něco špatně). NAT-traverse je také psané v Perlu a je prý docela stabilní. Pak ještě existuje program Hamachi, který znají spíš pařani a který pro inicializaci připojení využívá třetí stranu.

Komentáře

Neuvěřitelné, jaké ptákoviny jsou lidé schopni vymyslet, jen aby ještě více oddálili řešení problému… :-(

30.12.2005 15:24 miso | skóre: 36 | blog: iSCSI_initiator_howto | Praha
Rozbalit Rozbalit vše Re: Strč prst skrz firewall (NAT Traverse)

Poznas pre IPv4 nieco lepsie?

Project Satan infects Calculon with Werecar virus

30.12.2005 15:54 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Strč prst skrz firewall (NAT Traverse)

Není třeba, znám něco lepšího než IPv4. A přesně to jsem svým komentářem myslel. Dokud budou (skoro) všichni vymýšlet takto krkolomné konstrukce (které stejně z podstaty řeší jen pár specifických situací), nebude dostatečný tlak na poskytovatele, aby IPv6 začali nabízet (jako standardní službu). Takže všechny tyhle berličky (včetně maškarády samotné) mají z globálního hlediska spíše záporný přínos.

30.12.2005 18:07 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Strč prst skrz firewall (NAT Traverse)

Bohužel většina poskytovatelů na tlak nijak nereaguje. Zvlášť když dotyčný poskytovatel je jediný v dané oblasti.

Quando omni flunkus moritati

Strč prst skrz firewall (NAT Traverse)

Hodnocení: 92 %

Komentáře