NAT e porte...che confusione

[cooling]

Mi stavo un po' documentando sui router e sulla funzione di NAT che possiedono e che viene usata, in parole povere, per far “uscire” su internet la rete locale con un unico IP pubblico come nel caso in cui io voglia che l'indirizzo locale della LAN 192.168.0.20 sulla porta 5000 sia visto dalla WAN (e dunque con indirizzo pubblico). Il problema che mi sorge è come mai io riesca a scaricare, anche se moooolto lentamente, con programmi p2p con le porte bloccate? se sono chiuse non dovrebbe passare nulla, no?
Oppure come sono in grado di navigare con più PC contemporaneamente senza aver aperto la porta 80? e se aprissi la porta 80, la WAN (internet) su quale indirizzo locale LAN (se navigo da più PC) reindirizzerebbe i pacchetti?
Scusate per la banalità delle domande ma sono dubbi che mi volevo togliere...


ops...chiedo ai mod se è possibile spostare cortesemente nella sezione -= Internet/Reti e Sicurezza =-

[Totocellux]

Mi stavo un po' documentando sui router e sulla funzione di NAT che possiedono e che viene usata, in parole povere, per far “uscire” su internet la rete locale con un unico IP pubblico come nel caso in cui io voglia che l'indirizzo locale della LAN 192.168.0.20 sulla porta 5000 sia visto dalla WAN (e dunque con indirizzo pubblico).
[...]

Il meccanismo del NAT semplice non prevede, oltre i due indirizzi IP oggetti della connessione, una diversa porta TCP/UDP dove traslare il traffico: lo veicola infatti per intero sulla medesima porta e lo stesso protocollo previsti in origine dalla connessione.

Quindi, se il traffico è HTTP, passerà tutte queste comunicazioni sulla medesima porta 80, sia in entrata che in uscita: a mutare saranno solo i due indirizzi, quello pubblico (WAN) e quello privato (LAN).

Il problema che mi sorge è come mai io riesca a scaricare, anche se moooolto lentamente, con programmi p2p con le porte bloccate? se sono chiuse non dovrebbe passare nulla, no?
[...]

semplicemente perchè gli sviluppatori dei programmi/piattaforme di vario genere (anche P2P) che necessitano di bypassare le difese dei router ben conoscendone le limitazioni imposte, hanno sviluppato nel tempo degli appropriati meccanismi, sia in uscita che in entrata, atti a bypassarle.

Uno dei metodi più semplici e prestazionali, in presenza di router blindati, è quello di utilizzare PAT (Port Address Traslation) su una porta/protocollo normalmente aperta di default sui router.

In tali circostanze la soluzione adottata sarebbe quella di passare pari-pari tutto il loro traffico su una porta/protocolo ben conosciuta.
Così facendo, eMule, a.e., provvederebbe a traslare in modo trasparente all'utente il proprio traffico 4661-4662-4711/TCP su quella utilizzata da HTTP (80/TCP)

Questo metodo, però, è il più facilmente identificabile dai router, non dà quindi la certezza del risultato e pertanto non viene quasi mai utilizzato.


L'altro metodo, il più usato, in quanto quello che garantisce risultati più certi, è anche il più lento però: è quello di creare una vera e propria VPN tra i due indirizzi IP.
Viene quindi creato ad-hoc un tunnel privato dove far passare le comunicazioni: questo tunnel sfrutterà pur sempre HTTP sulla porta 80/TCP (viene infatti generalmente usato HTTP Tunneling), e il meccanismo andrà completamente a bypassare il router raggirando le sue possibilità di individuazione.

In questo caso, infatti, dovranno essere per forza di cose utilizzati dati cifrati (prerogativa del Tunneling), ed è il motivo principale della sensibile lentezza del throughput totale.

[...]
Oppure come sono in grado di navigare con più PC contemporaneamente senza aver aperto la porta 80? e se aprissi la porta 80, la WAN (internet) su quale indirizzo locale LAN (se navigo da più PC) reindirizzerebbe i pacchetti?
Scusate per la banalità delle domande ma sono dubbi che mi volevo togliere...

come dicevo prima, i router, soprattutto quelli che prevedono la gestione da remoto e non fisicamente sul router stesso, devono attivare per forza di cose un set di porte aperte di default: una di queste è proprio la 80/TCP, in quanto non solo necessaria alla navigazione su Internet, ma soprattutto al web-server integrato al fine di permettere la propria gestione e configurazione.

[tHeGoOd]

Oppure come sono in grado di navigare con più PC contemporaneamente senza aver aperto la porta 80? e se aprissi la porta 80, la WAN (internet) su quale indirizzo locale LAN (se navigo da più PC) reindirizzerebbe i pacchetti?

Se la connessione è instaurata dalla rete locale si può dire che il router "genera automaticamente" una regola per quella connessione: si ricorda l'ip della rete interna associato alla connessione e redirige tutti i suoi pacchetti su quella. Per questo non c'è bisogno di aprire nessuna porta per navigare in internet. ed è possibile navigare con più pc contemporaneamente. Inoltre, c'è da dire che non si potrebbe aprire una porta in particolare per abilitare il traffico "in uscita". Su http, per esempio, 80 è la porta utilizzata sul server di destinazione: la porta "sorgente", ovvero quella aperta sul tuo pc per la stessa connessione, è una porta casuale (sopra la 10000 se non sbaglio). Questo principalmente perchè una porta è legata ad un singolo programma: se si usasse la porta 80 anche come "sorgente" solo un programma alla volta potrebbe effettuare richieste http.

[frakka]

Ieri sera avevo iniziato a rispondere... Ma poi ho desistito, non sapendo come sintetizzare in poche parole il discorso.
Bravi!

[cooling]

Se la connessione è instaurata dalla rete locale si può dire che il router "genera automaticamente" una regola per quella connessione: si ricorda l'ip della rete interna associato alla connessione e redirige tutti i suoi pacchetti su quella. Per questo non c'è bisogno di aprire nessuna porta per navigare in internet. ed è possibile navigare con più pc contemporaneamente. Inoltre, c'è da dire che non si potrebbe aprire una porta in particolare per abilitare il traffico "in uscita". Su http, per esempio, 80 è la porta utilizzata sul server di destinazione: la porta "sorgente", ovvero quella aperta sul tuo pc per la stessa connessione, è una porta casuale (sopra la 10000 se non sbaglio). Questo principalmente perchè una porta è legata ad un singolo programma: se si usasse la porta 80 anche come "sorgente" solo un programma alla volta potrebbe effettuare richieste http.

Intanto grazie di avermi spiegato meglio le cose...vediamo se ho capito...io ho per esempio l'indirizzo 192.168.0.20 all'interno della mia LAN e voglio connettermi alla pagina web 173.194.35.191 della WAN sulla porta 80. Questa è da considerarsi una connessione "in uscita" dunque il router mi assegna una porta casuale (sopra la 10.000) tipo 10.500 e così si viene a creare una connessione: 192.168.0.20 (porta 10.500) diventerà l'indirizzo pubblico fornito dal provider di internet (sempre con porta 10.500) e dialogherà con il web server 173.194.35.191 (con la porta 80)...nel caso un altro computer della LAN (per esempio 192.168.0.10) vuole navigare sullo stesso sito, il router gli fornirà un'altra porta casuale (esempio 10.350) e avverrà la connessione come sopra. Giusto?

Ma questa cosa di assegnare una porta casuale avviene SEMPRE quando un host della LAN crea connessioni "in uscita"?

Grazie ancora per la disponibilità.

[Totocellux]

Intanto grazie di avermi spiegato meglio le cose...vediamo se ho capito...io ho per esempio l'indirizzo 192.168.0.20 all'interno della mia LAN e voglio connettermi alla pagina web 173.194.35.191 della WAN sulla porta 80. Questa è da considerarsi una connessione "in uscita"

dunque il router mi assegna una porta casuale (sopra la 10.000) tipo 10.500 e così si viene a creare una connessione: 192.168.0.20 (porta 10.500) diventerà l'indirizzo pubblico fornito dal provider di internet (sempre con porta 10.500) e dialogherà con il web server 173.194.35.191 (con la porta 80)...nel caso un altro computer della LAN (per esempio 192.168.0.10) vuole navigare sullo stesso sito, il router gli fornirà un'altra porta casuale (esempio 10.350) e avverrà la connessione come sopra. Giusto?

non è il router che fornisce le porte di comunicazione sorgente e destinazione.

La porta sorgente della comunicazione è individuata e fornita dallo Stack TCP/IP del sistema operativo in uso, quella di destinazione è identificata e definita dal programma che stai utilizzando e quindi dalla specifica esigenza della richiesta.

Lo Stack TCP/IP non è nient'altro che un programma sviluppato per gestire a basso livello tutte le comunicazioni che prevedano appunto i protocolli TCP ed IP. Microsoft ha sviluppato la propria implementazione dello Stack definendola Windows Socket che contratta è divenuta WinSock.

Pertanto in Windows è proprio il WinSock che determina e gestisce tutte le procedure di connessione TCP/IP.

Il router, ribadiamolo, non fornisce le porte, più semplicemente mette a disposizione e gestisce il mezzo su cui trasportare il traffico, leggendolo e filtrandolo.

[...]
Ma questa cosa di assegnare una porta casuale avviene SEMPRE quando un host della LAN crea connessioni "in uscita"?

si, ma come ti dicevo non è generata dal router, bensì dall'implementazione dello stack TCP/IP del s.o.

[tHeGoOd]

Ma questa cosa di assegnare una porta casuale avviene SEMPRE quando un host della LAN crea connessioni "in uscita"?

Confermo quanto detto da toto: è il sistema operativo della macchina a generare casualmente la porta sorgente. Se tu avessi un singolo computer direttamente collegato alla rete, con ip pubblico, verrebbero generate comunque questi numeri di porta casualmente, per permettere a più programmi (ad esempio internet explorer e firefox) di operare contemporaneamente.

Il lavoro del router, con un buon livello di approssimazione, è quello di tenersi una tabellina per ricordarsi, per ogni porta, quale è l'indirizzo della rete interna che lo sta utilizzando. Quando arriva un pacchetto controlla la porta e, grazie alla sua tabellina, decide l'ip interno a cui mandare il pacchetto.
La tabella poi è leggermente più complessa; alcuni router ti danno la possibilità di vederla: questa è la mia ad esempio:





Se guardi le prime due colonne noterai che, come diceva toto, nell'andare all'esterno viene solo cambiato l'ip, mantenendo la porta originaria.