LINUX.ORG.RU
решено ФорумAdmin

Что, если порты, проброшенные на машину X выбраны как исходящие на Y?

 ,


0

1

Есть домашняя сеть, роутер с NAT, ряд портов (немношк well known и 100 портов для пассивного фтп) проброшены на машину X. Есть также машина Y, где нет никаких сервисов, но есть, например, браузер. Y ничего не знает о том, что порты куда-то там проброшены. Что будет, если для соединения с веб-сервером Y выберет исходящий порт, совпадающий с проброшенным? Он получит ответ?

★★★★★
Слежение за http и https БЕЗ видимой подмены сертификатов
xinetd. Какой у него порт? Зачем ему слушать 30-й порт?

https://linux.die.net/man/8/iptables

--to-source ipaddr[-ipaddr][:port-port] which can specify a single new source IP address, an inclusive range of IP addresses, and optionally, a port range (which is only valid if the rule also specifies -p tcp or -p udp). If no port range is specified, then source ports below 512 will be mapped to other ports below 512: those between 512 and 1023 inclusive will be mapped to ports below 1024, and other ports will be mapped to 1024 or above. Where possible, no port alteration will occur.

Если порт уже используется в активной трансляции SNAT то будет использован другой порт.

anonymous
()
Ответ на: комментарий от anonymous

То есть интернет на Y не будет работать хуже. Ясно, спасибо.

legolegs ★★★★★
() автор топика

получит конечно. я даже больше скажу, пакет который придет ответом от вебсервера не пойдет через таблицу nat, так как для него уже будует соотв запись в conntrack

Rost ★★★★★
()
Ответ на: комментарий от anonymous

это совсем не обязательно. с одного порта роутер нат может хоть 100500 соединений сделать, все разрулит conntrack. главное чтобы у этих соединений был разный destination

Rost ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Слежение за http и https БЕЗ видимой подмены сертификатов
Admin
xinetd. Какой у него порт? Зачем ему слушать 30-й порт?