問題タブ [nat]

P2P アプリケーションを作成していますが、ユーザーが手動でポート フォワーディングを設定する必要がないようにしたいと考えています。

NAT を構成するには、UPnP/IGD と NAT-PMP という 2 つの異なるプロトコルがあるように見えるので、少し混乱しています。どちらを使用する必要がありますか? どちらもすべての NAT でサポートされていますか? または、NAT で少なくとも 1 つがサポートされるように、両方をサポートする必要がありますか?

IPv6 の展開と使用が増加すると、NAT と NAT トラバーサル メカニズムの有用性に興味があります。私たちは非常に多くの NAT トラバーサル メカニズム (プロプライエタリを含む) を持っています。これらは主に、ある種の住宅または企業の NAT の背後にある IPv4 デバイス/クライアントを対象としています。IPv4 で使用可能なアドレスが不足しているために NAT が登場したことを考えると、IPv6 が十分なアドレスを持っているため、今後数年間で IPv6 が広く採用されると冗長になる可能性がありますか?

もちろん、IPv6 の採用は一夜にして実現するものではなく、段階的で苦痛を伴うプロセスであることは理解しています。この間、デバイスはある種のデュアル スタック (IPv4 と IPv6) をサポートするか、ネットワーク エンティティが 2 つの間の変換を行う必要があります。IPv6 の世界でも、ファイアウォールはエンド ユーザーを保護し、ある程度のセキュリティを提供するために存在し続けると思います。

標準化に関する限り、NAT の問題に対する IETF の姿勢は? 彼らがこれまでNATを無視していたため、プロトコルが壊れていました。

誰かがこれに光を当ててくれることを願っています。

実機が2台あります。1 つはNC2
と 呼ばれる NAT および IP リダイレクトを担当し、もう 1 つは eucalyptus KVM によって確立された 3 つの仮想マシンを担当します。

間違いなく、ユーカリを担当するマシンの OS はLinuxです。
仮想マシンのゲスト OS は Windows XP です。
各仮想マシンは、Tomcat を実行する Web サーバーです

NC2 はプライベート IP 192.168.0.3を Linux サーバーに付与します。

Linux サーバーは、プライベート クラス B である 3 つの IP を仮想マシンに与えます。
たとえば、ゲスト OS の 1 つが IP 172.16.1.5を取得したとします。

ここで、NC2 を使用して物理 IP xxxxを172.16.1.5にリダイレクトします。

これが私の問題です：
  他のPC、外部IPを使用して、172.16.1.5でIP xxxxで確立されたWebサイトに接続できますが、IP 172.16.1.5のマシンを使用して独自のWebサイトに接続できません。

172.16.1.5で  ファイアウォールをオフにすると、yahoo や amazon などのインターネットに接続できるようになりました。ただし、xxxxを使用して独自の Web サイトに接続することはできません。

172.16.xx  を取得した他のゲスト OSもxxxxに接続できないことをテストしました。

リダイレクトされた物理アドレスにゲスト OS を接続させるにはどうすればよいですか?

nat after の背後に設定されたホストにエコー要求を送信することは可能ですか。すべてのエコー要求は宛先ホストのポートを保持していないため、複数のホストが同じ外部 IP アドレスを使用している場合、nat はどのようにしてエコー要求を特定のホストに転送できますか?

私は多数のユーザー向けに何かを開発していますが、それをテストしていたとき、NAT ユーザーは 1 つのセッションしかなかったため、情報をマージしていました。適切な情報を適切なユーザーに表示するには、どうすれば分割できますか?

Java、JSF 1.2、および SpringSecurity を使用しています。

アップデート：

または、少なくとも、何かを開発して分割し、1 人のユーザーが自分の情報にのみアクセスできるようにするにはどうすればよいでしょうか?

SIPベースのソリューションを実装し、RTPProxyで動作するようにセットアップを構成しました。現在、ICEに依存するメディアトランスポートで問題が発生していたため、RTPProxyを介してすべてをルーティングしています。誤解しない限り、対称NATの背後にある2つのクライアント間でストリーミングデータを中継するには、中央中継サーバーが必要です。実際には、これはすべての消費者ユーザーの大部分ですか？必要のないときにリレーサーバーをスキップする適切なルーティングを実装した場合に節約できる帯域幅はどれくらいですか。私たちが見逃しているより良い解決策はありますか？

リバース プロキシ (nginx) -> ワーカー (uwsgi) -> postgresql / memcached というサーバー構造があります。すべてのサーバーはルーターの背後にあるローカル ネットワーク内にあり、NATed 外部 ip:ports (プロキシへの http/s 80/443、およびすべてのサーバーへの ssh 22) を使用します。

問題は、プロキシ サーバーの netstat が何百万もの SYN_RECV 接続を報告する場合があることです。同じ IP / 同じポートから。そのように：

これは DDoS ではありません。影響を受けるすべての IP は Web サイトのユーザーに属しているためです。余談ですが、ユーザーは影響を受けていないと言っています。ウェブサイトはオンラインで機能していますが...その特定のもの (上記の例から) は、ウェブサイトがダウンしており、Firefox が接続できないと教えてくれました。tcpdump を実行しました。

それについて考えている人はいますか？

この質問は歴史的に重要であるため存在しますが、このサイトのトピックに関する適切な質問とは見なされないため、ここで同様の質問をすることができるという証拠として使用しないでください。

詳細：https ：//stackoverflow.com/faq

まったく意味のない奇妙なTCPの問題が発生しています。髪を引き裂いています。

Amazon S3からファイルをダウンロードする場合（そしてAmazon S3のみ-他のすべてのサイトは正常に動作します）、接続が切断される時間の割合があります。これは、 NATルーターの背後にWebサーバーがあるシアトルのサーバーでのみ発生します。ルーターから直接接続すると正常に機能します。ここビクトリアにあるサーバーでは、すべてが正常に機能しており、これを複製することはできません。

• シアトルのWebサーバー（10台の異なるサーバーを試しました）-> SNATルーター（2台の異なるルーター;古いカーネルと新しいカーネル）-> Amazon S3 =動作しない時間の約10％
• シアトルのWebサーバー->SNATルーター->その他のWebサイト=動作
• ルーターボックス->AmazonS3=動作します
• ビクトリアのWebサーバー->ビクトリアのSNATルーター->AmazonS3=動作します

私が試したこと：

• ウィンドウスケーリングの無効化
• ウィンドウサイズを小さくする
• ルータを最新のカーネルにアップグレードする
• ファイアウォールを完全に無効にする

失敗した場合、Amazon（または途中の何か）は、予想される1500バイトのパケットではなく868の長さのパケットを送信します。パケットを確認すると、サーバーはRSTパケットで応答し（エラーが発生しました）、接続が切断されます。

どんな助けでも大歓迎です！

以下は2つのTCPダンプです-

更新：AmazonへのTraceroute

更新：RSTが送信される原因となる問題のある着信パケット

私は抑圧的なネットワーク ポリシーが適用され、すべてが積極的に監視されている場所に住んでいます。多くのルールの中には、ネットワーク アドレス変換トラフィックを生成するデバイス (つまり、ワイヤレス ルーター、VM など) の使用の禁止があります。彼らはネットワーク ログを監視し、そのようなログを使用しているユーザーを切断します。単一のIPアドレスを使用して単一のデバイスによって生成される通常のネットワークトラフィックと区別できないように、暗号化などを介してトラフィック（つまり、ルーターまたは仮想ネットワークデバイスによって生成されるnat変換）をマスクする方法はありますか？ネットワーク上のパケットをスニッフィングしているモニター?

(機密性の高いトラフィックを暗号化するために既に VPN を使用していますが、NAT は VPN 暗号化後に適用されます。)

興味深い問題に遭遇しました。基本的に、NAT の背後にある 2 つの携帯電話を持っています。UDP を使用して 2 つのデバイス間で直接通信したいと考えています。

電話からサーバーへの接続を開始した場合、その接続を電話に戻すことができます (つまり、メッセージを受信したのと同じポートから受信したのと同じ IP とポートにデータを送り返します)。 . したがって、両方の電話をサーバーに接続することで、2 つのデバイス間で簡単に通信できます。次に、データをサーバーに送信し、電話に再ルーティングします。これにより、遭遇する可能性のある NAT トラバーサルの問題が回避されます。

ただし、サーバーを使用して2つのデバイスを互いに向け、直接通信させたいと思います。どうすればこれを行うことができますか？uPnPのようなものを使わなくても可能ですか？

どんな助けでも大歓迎です！

編集：私はこのドキュメントを見つけましたhttp://www.brynosaurus.com/pub/net/p2pnat/ヘアピン翻訳が私が求めているものであるように見えますが、広くサポートされているようには見えません. UPnP に対するモバイル ISP のサポートはどれくらい優れているのだろうか?