Тупой вопрос про NAT

Потому что соединению соответстует сокет. То есть пара значений: адрес+порт. Соответственно роутер меняет внутренний адрес клиента (192.168.1.2) на свой и клиентский порт (33333) на новый (55555). После чего добавляет у себя в таблицу запись, что то, что придёт ему на этот самый порт надо отправлять внутрь сети на внутренний адрес клиента + клиентский порт. То есть 55555->192.168.1.2:33333.

За исключением зарезервированных портов для отдельных случаев просто используется случайные порты из свободного диапазона?

у ICMP-пакетов есть порты?

Разницы нет как использовать. По порядку, с шагом, случайно. Главное что эта информация хранится в таблице и потом по таймауту записи удаляются. Для тебя это важно, случайно, или нет? Залезь в исходники и посмотри.

Чёрт, мне почему-то показалось, что в вопросе про пинги шла речь.

на роутере ядро держит таблицу extip:outport -> intip:port. По ней и определяет, это если по простому.

На самом деле всё несколько сложнее, но тебе это знать не требуется.

Нет

Да, это я скосоглазил и начал писать про tcp/ip.

Потому что соединению соответстует сокет.

Сокеты там ни при чем, они не участвуют в этом процессе. Есть всего лишь таблица соответствия до/после трансляции.

И если это ICMP, то матчинг может происходить либо по полю Identifier, либо по данным в пакете, в зависимости от типа.

Ну, вообще-то ты сказал мне, что я хотел узнать: я не знал, что ping по-иному работает. Там другие пакеты?

UPD: да, другие, это отдельный протокол.

Даже при настройке iptables для шлюза для виртмашин?: Как настроить bridge для KVMGT?

ping умеет не только icmp.
Но с icmp там действительно чуть по другому, выше человек написал в чём разница.

Роутер (NAT), естественно, при отправке пакета во внешнюю сеть меняет получателя на 132.15.16.17

Наверно отправителя все таки меняет? Или я как то неправильно представляю механизм ната.

Отправителя. Опечатался.

На самом деле всё несколько сложнее

Какого характера сложность?

Я вроде Таненбаума на эту (и не только) тему читал, особо сложностей не помню)

Twissel

Более глобально (тут, кажется, про это никто не писал), в Linux есть такой механизм, как connection tracking. Задача этого механизма — сопоставлять пакеты логическим соединениям. В случае (TCP,UDP)/IP это делается по комбинации адресов и портов отправителя и получателя, в случае других протоколов — другими методами.

В Linux информация о применённых (к соединению) NAT-преобразованиях хранится именно внутри этого механизма. Когда приходит ответный пакет, netfilter восстанавливает его принадлежность к конкретному соединению и применяет обратное преобразование.

Дополню.

в Linux есть такой механизм, как connection tracking

Все верно. Даже команда есть conntrack.

В случае (TCP,UDP)/IP это делается по комбинации адресов и портов отправителя и получателя

Плюс всякие «радости» жизни (отдельные модули разбирающие пакеты) для RELATED.

в случае других протоколов — другими методами

И иногда без возможности идентификации, например gre который для двух клиентов через один нат к одному внешнему хосту работать не будет.

+ ещё по поводу conntrack. Он умеет NAT'ить довольно сложные штуки типа FTP, анализируя передаваемые данные. Может, например, пропустить входящее related соединение внутрь NAT, если того требует протокол.

есть арптаблица

Ну не учитываются conntrack, детали реализации с udp пакетами и т.д.

GRE ходить будет, если выставить различные значения поля key.