On Sun, 25 Aug 2019 16:40:18 +0200 (GMT+02:00), slawek wrote:

> Czy ktoś może w prosty sposób wytłumaczyć, dlaczego - przy ponad 7
> miliardach ludzi na Ziemi
> - liczba portów wynosi tylko 65 tysi a do tego większość z nich
> jest zarezerwowana dla kolesi
[...]
> Jaki problem jest w tym że na serwerze xyz port 80 to np. IRC?

Potrzebujesz postawic na jednym IP ponad 65k uslug sieciowych?

--
pozdrawiam
Roman Tyczka

do góry

> Potrzebujesz postawic na jednym IP ponad 65k uslug sieciowych?

A może jedną usługę na 100k otwartych połączeń?

Pytanie, czy to ma sens. I jeśli nie ma sensu tylko dlatego, że jest ograniczenie na
liczbę portów efemerycznych (bo inne względy nie stanowią przeszkody), to może być
temat do rozważań.

Ludzie potrafią zrobić serwis na tysiące wątków, to czemu nie portów? Nie żebym taką
praktykę polecał, ale wydaje się, że dzisiaj jedynym ograniczeniem powinna być
dostępna pamięć i szybkość przetwarzania. Jak się ktoś mieści w pamięci mając 100k
połączeń, to czemu mu tego zabraniać? Te dwa bajty na numer portu to zdecydowanie
zaszłość historyczna.

--
Maciej Sobczak * http://www.inspirel.com

do góry

On Mon, 26 Aug 2019 02:59:12 -0700 (PDT), Maciej Sobczak wrote:

>> Potrzebujesz postawic na jednym IP ponad 65k uslug sieciowych?
>
> A może jedną usługę na 100k otwartych połączeń?

100k połączeń wbitych może być na jeden port, zatem jaki tutaj widzisz
problem?

> Pytanie, czy to ma sens. I jeśli nie ma sensu tylko dlatego, że jest
> ograniczenie na liczbę portów efemerycznych (bo inne względy nie
> stanowią przeszkody), to może być temat do rozważań.
>
> Ludzie potrafią zrobić serwis na tysiące wątków, to czemu nie portów?
> Nie żebym taką praktykę polecał, ale wydaje się, że dzisiaj jedynym
> ograniczeniem powinna być dostępna pamięć i szybkość przetwarzania. Jak
> się ktoś mieści w pamięci mając 100k połączeń, to czemu mu tego
> zabraniać? Te dwa bajty na numer portu to zdecydowanie zaszłość
> historyczna.

Tak jak napisałem... możesz mieć (jeśli zasoby pozwolą) i milion połączeń
na port (choć tu już bym się obawiał prędzej ograniczeń ze strony struktur
danych w API podsystemu zarządzającego tymi połączeniami), zatem mając 65k
portów teoretycznie mogłoby być miliardy połączeń. Wystarczy?

--
pozdrawiam
Roman Tyczka

do góry

On Mon, 26 Aug 2019 15:11:16 +0200 (GMT+02:00), slawek wrote:

> Jest jedna usługa i jedno IP. Ale jeżeli wybiorę port 666 do
> ustawienia na nim echo to jak bardzo złamię zakaz IANA - co by
> nie było instytucji będącej organem Rządu Federalnego USA?! (BTW,
> IANA zastąpiono PTI, ale to nic nie zmienia.)
>
> Jest wyraźnie "shall not" - co według mnie tłumaczy się "nie
> wolno" tyle że grzecznie sformułowane.

A wg mnie "nie powinno się", a to dlatego, że ...

> A że według mnie powinno być "mój serwer moje porty" (czyli adres
> IP dostaje od jakiegoś Authority, ale co mam pod portami to tylko
> ja decyduję) nie ma znaczenia. Bo interesuje mnie jakie są
> reguły/przepisy, a nie jaka jest praktyka.

...połączenia sieciowe mają to do siebie, że uczestniczą w nim dwie,
odrębne i niezależne, jednostki. To z kolei wymaga przyjęcia pewnych
założeń, czasami zwanych "convention over configuration", które powodują,
że klient usługi np. telnetu, wie, że aby się połączyć z serwerem trzeba
się wbijać na port 23, a taki np. klient FTP wie, że musi się łączyć na
port 21, itd.
"Nie powinno się" oznacza tym samym, że jak sobie te porty zmienisz to
pojawia się problem wymuszenia na kliencie łączenia z innym, niż domyślny,
portem, co będzie kłopotliwe w zorganizowaniu, zatem "shall not" zmieniać
standardowych portów i mieć problem z bańki, gdy nie trzeba kombinować.

--
pozdrawiam
Roman Tyczka

do góry

slawek <x...@o...org> wrote:

> Skoro serwer jest mój - i nie ogłaszam "hej tu mam FTP" to nikt
> nie może oczekiwać że port 21 będzie otwarty, że port 21 to u
> mnie FTP, ani że to FTP dostarcza dostępu do jakiegoś filesystemu
> (bo np. generuje losową zawartość proceduralnie).

I tak się robi. Powszechną praktyką jest odpalanie sshd na porcie innym
niż domyślny, żeby uniknąć skanerów.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

do góry

On 2019-08-26 11:59, Maciej Sobczak wrote:
>> Potrzebujesz postawic na jednym IP ponad 65k uslug sieciowych?
>
> A może jedną usługę na 100k otwartych połączeń?
>
> Pytanie, czy to ma sens. I jeśli nie ma sensu tylko dlatego, że jest ograniczenie
na liczbę portów efemerycznych (bo inne względy nie stanowią przeszkody), to może być
temat do rozważań.
>
> Ludzie potrafią zrobić serwis na tysiące wątków, to czemu nie portów? Nie żebym
taką praktykę polecał, ale wydaje się, że dzisiaj jedynym ograniczeniem powinna być
dostępna pamięć i szybkość przetwarzania. Jak się ktoś mieści w pamięci mając 100k
połączeń, to czemu mu tego zabraniać? Te dwa bajty na numer portu to zdecydowanie
zaszłość historyczna.
>


Powinno się zakazać administracyjnie!
Dziś firefox na 4 GB, muli tak samo, jak netscape na 2MB, 25 lat temu :)

--

do góry

> > A może jedną usługę na 100k otwartych połączeń?
>
> 100k połączeń wbitych może być na jeden port

Nie.

https://en.wikipedia.org/wiki/Ephemeral_port

Podłącz N klientów do jakiegoś serwera i uruchom tam polecenie netstat. Zwróć uwagę,
ile jest wpisów z tym pierwotnym (nasłuchującym) numerem portu a ile pozostałych i
czym się różnią.

> zatem jaki tutaj widzisz
> problem?

Że w niektórych zastosowaniach może być tego za mało.

> Tak jak napisałem... możesz mieć (jeśli zasoby pozwolą) i milion połączeń
> na port

Pytanie pomocnicze: po czym system pozna, do którego bufora wrzucić dane nadchodzące
z każdego z tych miliona połączeń?

--
Maciej Sobczak * http://www.inspirel.com

do góry

On Mon, 26 Aug 2019 23:34:03 -0700 (PDT), Maciej Sobczak wrote:

>>> A może jedną usługę na 100k otwartych połączeń?
>>
>> 100k połączeń wbitych może być na jeden port
>
> Nie.
>
> https://en.wikipedia.org/wiki/Ephemeral_port

Porty efemeryczne są używane po stronie klienta, który nawiązuje połączenie
z serwerem na stałym porcie danej usługi. Co prawda w tym artykule na wiki
piszą, że serwer też "może" używać takich portów tymczasowo, ale ja z tym
się nie spotkałem i trochę mnie to zaskoczyło szczerze mówiąc.

http://www.tcpipguide.com/free/t_TCPIPClientEphemera
lPortsandClientServerApplicatio.htm

> Podłącz N klientów do jakiegoś serwera i uruchom tam polecenie netstat. Zwróć
uwagę, ile jest wpisów z tym pierwotnym (nasłuchującym) numerem portu a ile
pozostałych i czym się różnią.

Do serwera FirebirdSQL podłączyłem 4 klientów i odpaliłem netstata:

TCP 127.0.0.1:3060 127.0.0.1:13261 ESTABLISHED
[firebird.exe]
TCP 127.0.0.1:3060 127.0.0.1:13262 ESTABLISHED
[firebird.exe]
TCP 127.0.0.1:3060 127.0.0.1:13263 ESTABLISHED
[firebird.exe]
TCP 127.0.0.1:3060 127.0.0.1:13862 ESTABLISHED
[firebird.exe]

>> zatem jaki tutaj widzisz
>> problem?
>
> Że w niektórych zastosowaniach może być tego za mało.

Odpalanie na JEDNYM serwerze/systemie stu tysięcy połączeń mogłoby być
problemem ze względów ogólnowydajnościowych, już pomijając fakt czy się to
uda czy nie od strony portów.
Dokładnie jak z wątkami o których pisałeś, tysiące wątków zabiją każdy
serwer samym czasem przełączania między wątkami, nie licząc już samego ich
obciążenia obliczeniowego. No chyba, że serwer będzie miał tysiące
CPU/rdzeni.

>> Tak jak napisałem... możesz mieć (jeśli zasoby pozwolą) i milion połączeń
>> na port
>
> Pytanie pomocnicze: po czym system pozna, do którego bufora wrzucić dane
nadchodzące z każdego z tych miliona połączeń?

Po adresie IP i porcie (efemerycznym :-)) strony klienckiej :-)

--
pozdrawiam
Roman Tyczka

do góry

On Tue, 27 Aug 2019 09:20:37 +0200, Roman Tyczka wrote:
> On Mon, 26 Aug 2019 23:34:03 -0700 (PDT), Maciej Sobczak wrote:
>> https://en.wikipedia.org/wiki/Ephemeral_port
>
> Porty efemeryczne są używane po stronie klienta, który nawiązuje
> połączenie z serwerem na stałym porcie danej usługi. Co prawda w tym
> artykule na wiki piszą, że serwer też "może" używać takich portów
> tymczasowo, ale ja z tym się nie spotkałem i trochę mnie to zaskoczyło
> szczerze mówiąc.

Z ogólnie znanych - FTP w trybie aktywnym. To serwer nawiązuje połączenie
do klienta, aby przesłać dane. Ale to tylko przykra zaszłość historyczna
- normalne protokoły nie robią takich wygibasów.

>> Pytanie pomocnicze: po czym system pozna, do którego bufora wrzucić
>> dane nadchodzące z każdego z tych miliona połączeń?
>
> Po adresie IP i porcie (efemerycznym :-)) strony klienckiej :-)

A ściślej to po obu adresach (src + dst) i obu portach (src + dst).

Mateusz

do góry

On 2019-08-27 19:41, slawek wrote:
> Izaura <d...@d...net> Wrote in message:
>> On 2019-08-26 11:59, Maciej Sobczak wrote:>> Potrzebujesz postawic na jednym IP
ponad 65k uslug sieciowych?> > A może jedną usługę na 100k otwartych połączeń?> >
Pytanie, czy to ma sens. I jeśli nie ma sensu tylko dlatego, że jest ograniczenie na
liczbę portów efemerycznych (bo inne względy nie stanowią przeszkody), to może być
temat do rozważań.> > Ludzie potrafią zrobić serwis na tysiące wątków, to czemu nie
portów? Nie żebym taką praktykę polecał, ale wydaje się, że dzisiaj jedynym
ograniczeniem powinna być dostępna pamięć i szybkość przetwarzania. Jak się ktoś
mieści w pamięci mając 100k połączeń, to czemu mu tego zabraniać? Te dwa bajty na
numer portu to zdecydowanie zaszłość historyczna.> Powinno się zakazać
administracyjnie!Dziś firefox na 4 GB, muli tak samo, jak netscape na 2MB, 25 lat
temu :)--
>
> Nieprawda!
>
> Dzisiejszy Firefox na I9 (fiber) muli mniej niż pierwszy Netscape
> na 80286 (koncentryk).
>
> I jeszcze drobiazg - tyle portów mogłoby się przydawać np. dla
> utrudnienia skanowania portów, dla umożliwienia np. przypisania
> numeru portu do użytkownika serwisu jako id, dla zapewnienia
> każdemu programiście zarezewowania portów bez obawy wyczerpania
> puli.
>
> Rozwiązanie z 16 bitowym numerem portu nie byłoby złe - gdyby nie
> wymóg rejestracji. Czyli pierwsze kilkadziesiąt tysięcy firm
> rejestrują - a reszta musi obywać się efemerycznymi, które nie są
> tak dobre.
>

Napisz do IANA. może w którymś nowszym RFC pojawia się virtualne porty?

--

do góry