Mateusz Viste pisze:
> On Sun, 04 Nov 2018 23:23:29 +0100, PawelS pawel(at)wbcd(dot)pl wrote:
>> Sprawdź jak to wygląda w przypadku kiedy Routerem jest Linux.
>> W kliencie HTTP przed nawiązaniem połączenia ustawiłem bind do lokalnego
>> portu, następie pobrałem stronę, która wyświetla informacje o połączeniu
>> (m.in. adres IP, port), adres IP oczywiście był adresem NAT,
>> ale port źródłowy się nie zmienił.
>
> Niektóre implementacje mogą próbować portu nie zmieniać, zgadza się. To
> pomaga m.in. przy RDP w ramach SIP. Ale to bardzo ograniczona zdolność, i
> tak czy inaczej nie pozwalająca wbić się zewnętrznej osobie trzeciej na
> ten sam port by trafić do hosta w LANie (któryś z kolegów to wcześniej
> sugerował)
Oczywiście mowa tutaj NAT (SNAT/MASQUERADE).
Tak czy inaczej w przypadku gdy dwa hosty znajdują się za NAT,
to nawet jeśli obydwa hosty nawiążą połączenie TCP z serwerem
osiągalnych dla obydwu hostów znajdujących się za NAT
nawet jak poznają swoje adresy IP+PORT za NAT w dalszym ciągu
nie będą w stanie ze sobą wymieniać bezpośrednio pakietów.
Żaden firewall/router/NAT nie wyśle do hosta dla którego robi NAT
pakietu pochodzącego z "zewnątrz" nie będącego pakietem
związanym z połączeniem wychodzących z sieci lokalnej
(oczywiście przy braku translacji w drugą stronę DNAT).

Tak jak sam napisałeś:
> Nikt inny z zewnątrz nie "wstrzeli się" w tą samą sesję.

Poza tym poniższy scenariusz też nie powinien zadziałać:
> W takiej sytuacji Grześ może tylko próbować wysyłać tysiące pakietów do
> Krzysia, z losowymi portami src licząc, że RouterG w którymś momencie
> podmieni port src na akurat ten wybrany przez RouterK. Słowem całkowita
> loteria. Dla zwiększenia szans powodzenia, Krzyś może rozpocząć
> kilkanaście sesji UDP z różnymi portami src, coby Krzysiowi było łatwiej
> trafić.
gdyż jak sam napisałeś:
> Tablica sesji NAT to nie tylko relacja "port zewnętrzny = klient w
> środku". To zestaw kilku informacji: port po translacji + adres IP po
> translacji + zdalny host + zdalny port + interfejs wyjściowy routera.
czyli, aby wysłać odebrany pakiet z "zewnątrz" i przesłać do host za NAT,
dane połączenie musi zostać odnalezione w tablicy sesji NAT,
w przeciwnym razie translacja odwrotna nie będzie możliwa,
czyli powyższe próby "Grzesia" zakończą się odrzucaniem pakietów
oraz ewentualnym logowaniem pakietów, a takie wysyłanie pakietów
może zostać odebrane jak skan portów i również zablokowane.

> From: Mateusz Viste <m...@n...pamietam>
Może pomóc przypomnieć ? ;)