Journal connections entre 2 hôtes situés sur des NATs différents

Posté par  .
Étiquettes : aucune
0
21
juin
2004
bonsoir journal,

je suis perplexe devant http://www.sysdesign.ca/archive/VoIP_System.pdf(...)

plus précisément, à la page 57 (paragraphe 4.6.2), les auteurs proposent un mécanisme
pour réaliser, je cite, un "Direct Connection Establishment in a Double NAT Environment".


je ne vois pas comment ils espèrent passer le NAT comme ça
(sachant que le NAT est couplé à un firewall qui en règle général
jette toutes les connexions entrantes),
mais comme il y a sans doute des lecteurs avisés, ils pourront
m'expliquer si je suis une buse, ou si les auteurs sont un peu
présomptueux.
  • # tourner 7 fois ses doigts sur le clavier...

    Posté par  . Évalué à 2.

    (et ben oui, je suis une buse ! :-) )

    alors effectivement ça existe, plus d'info ici :
    http://www.nathack.net/NAT-research.pdf(...)

    ceci dit, ça me parait être d'une gorétude extrême...
    c'est plus un hack qu'autre chose, et baser un produit sur
    ça c'est un brin douteurs amha.

    La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

    • [^] # autre article, et question RSIP

      Posté par  . Évalué à 2.

      http://www.andrew.cmu.edu/user/ggw/WBFD.pdf(...)

      en cause aussi, c'est un sujet chaud en ce moment ?

      dans la même veine, mais qui semblait plus exploitable,
      il y avait aussi rsip, mais j'ai l'impression que ça n'a pas pris.

      est ce que qqun aurait des infos (pour que ce soit exploitable,
      je considère qu'il faut que ce soit dispo pour unix et windows).

      La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

    • [^] # Re: tourner 7 fois ses doigts sur le clavier...

      Posté par  (site web personnel) . Évalué à 2.

      A la base le NAT c'est aussi un gros hack en fait... allez vivement que nos ISP se mettent à l'IPv6.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Ahaaaa

    Posté par  . Évalué à 3.

    Si j'ai bien compris, tout le suivi de connection udp se fait sur le port, et aussi sur le machine cible, donc pas de mécanisme de vérification que la source a bien le droit d'envoyer des paquets ?
    • [^] # Re: Ahaaaa

      Posté par  . Évalué à 1.

      c'est ce qu'il me semble en effet.

      La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

      • [^] # Re: Ahaaaa

        Posté par  . Évalué à 2.

        ouais bein TCP c'est un peu plus secure quand même :), avec y'aura plus de probleme avec du TCP over IPv6 (enfin, c'est pas demain la veille)
        • [^] # Re: Ahaaaa

          Posté par  . Évalué à 1.

          et bien à propos de tcp,
          http://www.andrew.cmu.edu/user/ggw/WBFD.pdf(...)
          permet de passer au travers aussi, sous réserve de plein
          de conditions.

          La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

      • [^] # Re: Ahaaaa

        Posté par  (site web personnel) . Évalué à 2.

        Est ce que quelqu'un ici sait s'il existe un projet libre qui exploite ce genre de truc pour faire de l'audio conf facilement derrière des NATs ?

        Par exemple, gaim-vv à l'air d'implémenter le protocole MSN qui permet de faire des connexions video+audio P2P à travers des NATs, mais est ce que ca existe pour des protocoles libre ? (cad sans avoir besoin d'ouvrir un compte chez bilou).

        Linphone exploite SIP pour négocier sa connexion, mais SIP n'est pas "NAT friendly" comme skype ou MSN, me trompe-je ?

        Idem gnome-meeting avec H323 oblige à installer un proxy/gatekeeper et bidouiller son firewall/NAT, non ?

        Merci pour tout pointeur intéressant.
  • # NETMAP

    Posté par  . Évalué à 1.

    C est aussi possible faire sensiblement la meme chose sous linux avec un kernel 2.6 a savoir relier 2 reseaux privés de meme classe par un vpn

    Shorewall 2.0 permet d ailleurs de le realiser assez simplement

    voici la doc : http://shorewall.net/netmap.html(...)

    c est pas exactement pareil mais ca y ressemble pas mal ;)
    • [^] # Re: NETMAP

      Posté par  . Évalué à 1.

      Nous utilisons le Sytème de VPN cryptés pour faire passer nos services sous double NAT depuis longtemps.
      Pourquoi faire Gore quand on peut faire plus sécurisé?
    • [^] # Re: NETMAP

      Posté par  . Évalué à 1.

      perdu :-)

      là tu obliges les utilisateurs situés dans les réseaux privés à disposer
      d'une infrastructure sur le firewall.

      toute l'idée de la technique décrite dans les articles cités plus haut c'est
      de permettre d'établir des connexions entre réseaux NATés (ou NAPTés
      plus exactement) sans installer quoi que ce soit sur le client ou la NATbox.

      La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

  • # Re : connections entre 2 hôtes situés sur des NATs différents

    Posté par  . Évalué à 1.

    J'ai vu tourner des routeurs cisco qui implémentent le "SIP Alg" qui permet ce genre de chose. Les routeurs efficient/siemens 5930 commencent à l'implémenter aussi ...


    google est votre ami pour les details ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.