classic.ISPforum.cz

Tento týden se nám toto objevilo v síti. Lze s tím něco dělat??

Koľko ľudí NATuješ pod jednu IP ?? Toto sa stáva ak máš príliš veľký počet dopytov na google z jednej IP

cca 400, je to už moc??

Jasne ja dávam max 100 ľudí pod jednu verejnú. Nemusí sa ti to stať ani pri 1000 pod jednou , ale to je skôr náhoda že pri takom počte ta google neblokne.

EDIT : tento problém sa netýka len google ale aj ICQ, SKYPE , amil servery ta môžu začať považovať za spamera , atd. atd.

ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu
takze reseni - co subnet to NAT 1:1 na verejnou IP...

net.work píše:ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu
takze reseni - co subnet to NAT 1:1 na verejnou IP...

ja teda nevim, ale zda se mi jako nesmysl, ze pocet otevrenich spojeni=pocet otevrenych portu. Bezne u uzivatele s public ip, co ji ma az primo na PC a povoli si urcitej port ve Win na FW, tim padem se dostane do toho tzv.Active rezimu, tak ty spojeni mu jedou na tom jedinym portu. Pokud se mylim, opravte me nekdo...

sub_zero píše:

net.work píše:ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu
takze reseni - co subnet to NAT 1:1 na verejnou IP...

ja teda nevim, ale zda se mi jako nesmysl, ze pocet otevrenich spojeni=pocet otevrenych portu. Bezne u uzivatele s public ip, co ji ma az primo na PC a povoli si urcitej port ve Win na FW, tim padem se dostane do toho tzv.Active rezimu, tak ty spojeni mu jedou na tom jedinym portu. Pokud se mylim, opravte me nekdo...

Ja mam pocit, ze pokud provadis NAT pro vice adres, tak logicky nemuzes mit otevrene spojeni /napr. pro icq/ na stejnem portu... tudiz kazdy PC (nechme jako priklad to icq) ma otevrene spojeni na stejnou IP ale na jinem portu === muze dojit k nedostatku portu.....

net.work píše:

sub_zero píše:

net.work píše:ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu
takze reseni - co subnet to NAT 1:1 na verejnou IP...

ja teda nevim, ale zda se mi jako nesmysl, ze pocet otevrenich spojeni=pocet otevrenych portu. Bezne u uzivatele s public ip, co ji ma az primo na PC a povoli si urcitej port ve Win na FW, tim padem se dostane do toho tzv.Active rezimu, tak ty spojeni mu jedou na tom jedinym portu. Pokud se mylim, opravte me nekdo...

Ja mam pocit, ze pokud provadis NAT pro vice adres, tak logicky nemuzes mit otevrene spojeni /napr. pro icq/ na stejnem portu... tudiz kazdy PC (nechme jako priklad to icq) ma otevrene spojeni na stejnou IP ale na jinem portu === muze dojit k nedostatku portu.....

pokud se divas na dst-port z pohledu klienta, tak ten (podle me) bude vzdy stejnej. Pokud se divas na klientuv scr-port, tam uz si tak jistej nejsem

mění se zdrojovej port při navazování spojení. Cílovej logicky musí bejt stejnej. To samí dělá i klientskéj počítač při navazování, taky střídá porty postupně za sebou aby se nestalo že se to otevře ještě jednou. To by byl pak asi průser.

hapi píše:mění se zdrojovej port při navazování spojení. Cílovej logicky musí bejt stejnej. To samí dělá i klientskéj počítač při navazování, taky střídá porty postupně za sebou aby se nestalo že se to otevře ještě jednou. To by byl pak asi průser.

samozrejme - mysleno z pohledu serveru - meni se vzdy zdrojovy port na stroji kde se provadi NAT... tzn klient posle ICQ zpravu, ta "dorazi" az na NAT, tam se posle na xxx.xxx.xxx.xxx:5090 s tim ze v hlavicce packetu bude ze packet pochazi z IP yyy.yyy.yyy.yyy:37878... Pokud zacne komunikovat dalsi klient, tak to bude stejne s tim ze v hlavicce packetu bude zdrojova adresa yyy.yyy.yyy.yyy:37798 treba... ZJEDNODUSENE RECENO, samozrejme....

net.work píše:

hapi píše:mění se zdrojovej port při navazování spojení. Cílovej logicky musí bejt stejnej. To samí dělá i klientskéj počítač při navazování, taky střídá porty postupně za sebou aby se nestalo že se to otevře ještě jednou. To by byl pak asi průser.

samozrejme - mysleno z pohledu serveru - meni se vzdy zdrojovy port na stroji kde se provadi NAT... tzn klient posle ICQ zpravu, ta "dorazi" az na NAT, tam se posle na xxx.xxx.xxx.xxx:5090 s tim ze v hlavicce packetu bude ze packet pochazi z IP yyy.yyy.yyy.yyy:37878... Pokud zacne komunikovat dalsi klient, tak to bude stejne s tim ze v hlavicce packetu bude zdrojova adresa yyy.yyy.yyy.yyy:37798 treba... ZJEDNODUSENE RECENO, samozrejme....

jasan, to jsem si nerozumneli ja to nejak vztahnul na verejnou ipku + jednoho usera

net.work píše:pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty...

Počet spojení omezuji... kam bych došel, kdybych neomezoval... zbytečně veké zatížení serveru, kvůli mnoha spojení(teda alespoň si to myslim).
Spíš mě to ani jaksi netrklo, že počet požadavků na google může být relativně velký z jedné IP. Už jsem rozsahy rozhodil mezi několik veřejných, tak snad už to bude ok.

Každopádně díky všem za radu.