OpenForum RSS: pptp+pf: загадочно работает NAT https://www.opennet.ru/openforum/vsluhforumID1/88935.html Клиенты подключаются к pptpd, получают "серый" адрес и натятся в интернет, таким вот образом:<br><br>nat on $inet from &lt;pptp&gt; to any -&gt; ($inet:0)<br><br>Всё работает, только выяснилась странная вещь - у юзеров через этот NAT на вход каким-то чудом пролетают входящие соединения uTorrent, причём всё это идёт именно через туннель. Никаких редиректов в обратную сторону в pf нет, upnp тоже нет. Как оно так делает? Всегда ж чтобы через NAT что-то прокинуть на серый адрес нужно отдельно редирект прописывать...<br> pptp+pf: загадочно работает NAT (Xaionaro) https://www.opennet.ru/openforum/vsluhforumID1/88935.html#2 Sat, 15 May 2010 11:19:16 GMT &gt;[оверквотинг удален]<br>&gt;вот образом: <br>&gt;<br>&gt;nat on $inet from &lt;pptp&gt; to any -&gt; ($inet:0)<br>&gt;<br>&gt;Всё работает, только выяснилась странная вещь - у юзеров через этот NAT <br>&gt;на вход каким-то чудом пролетают входящие соединения uTorrent, причём всё это <br>&gt;идёт именно через туннель. Никаких редиректов в обратную сторону в pf <br>&gt;нет, upnp тоже нет. Как оно так делает? Всегда ж чтобы <br>&gt;через NAT что-то прокинуть на серый адрес нужно отдельно редирект прописывать... <br>&gt;<br><br>Благодаря примитивности протокола UDP и отсутствию "рукопожатия", есть возможность простреливать UDP-порты. Я не знаю как именно это реализованно в uTorrent, но если там не реализованно _синхронное_ соединение с обоих сторон, то может помочь очень низкий timeout для "udp.single"<br> pptp+pf: загадочно работает NAT (alex) https://www.opennet.ru/openforum/vsluhforumID1/88935.html#1 Fri, 14 May 2010 19:01:39 GMT Сам спросил - сам ответил, но вещь думаю будет интересна не только мне.<br><br>Я однако отстал от жизни. Utorrent (и не только он один) использует некую штуку под названием "UDP hole punching", которая внаглую заставляет NAT открыться внутрь игнорируя правила pf'а. Особый кайф эта шутка доставляет ещё и тем, что попытавшись как обычно зарезать нужные порты на внешнем интерфейсе роутера админ я сильно обломался. Если сделать `pfctl -s states` то можно увидеть что происходит - порт который мы собираемся блочить существует только на сером IP юзера, а на выходе с роутера во внешний мир номер порта будет абсолютно другой. Соответственно резать надо на внутреннем интерфейсе. Впрочем резать всё равно бесполезно, юзер меняет порт в торренте и качает дальше. Только если совсем UDP запрещать...<br>