Доступность IP сервера позади NAT

[Ludwig]

Yapi, неужели так сложно понять, что я предлагал способ организовать мониторинг без ирландских танцев, то есть с каким-то там самоНАТом, а проще?

[YellowMan]

И все-таки - что написано в RFC про loopback?
насколько я помню ( а читал я его последний раз лет этак 10-12 назад) там четко прописано что lo = 127.0.0.1 как специальный случай вырожденной сети.
А про /32 не написано ничего - что можно трактовать как угодно. Как ни сделай - все будет правильно и попробуй оспорь

[nikulina]

Цитата:

Сообщение от Yapi

Интересная вещь - на Windows 2003 Server R2 нельзя назначить адрес "XXX.YYY.ZZZ.NNN/32". Говорит что у вас в маске все единички - это не правильно

есть мнение, что это можно пофиксить - я, правда, пока еще не пробовала.

через "установку оборудования" добавить не Plug'n'Play Microsoft Loopback Adapter (http://support.microsoft.com/kb/839013/en-us). дать ему IP (netsh или через гуи), в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{GUID адаптера} изменить SubnetMask на желаемый

[nikulina]

Цитата:

Сообщение от YellowMan

И все-таки - что написано в RFC про loopback?
насколько я помню ( а читал я его последний раз лет этак 10-12 назад) там четко прописано что lo = 127.0.0.1 как специальный случай вырожденной сети.
А про /32 не написано ничего - что можно трактовать как угодно. Как ни сделай - все будет правильно и попробуй оспорь

http://www.faqs.org/rfcs/rfc3330.html

Цитата:

127.0.0.0/8 - This block is assigned for use as the Internet host loopback address. A datagram sent by a higher level protocol to an address anywhere within this block should loop back inside the host. This is ordinarily implemented using only 127.0.0.1/32 for loopback, but no addresses within this block should ever appear on any network anywhere [RFC1700, page 5].

то есть, описано использование блока 127.0.0.1/8, но не написано, что на лупбэковом интерфейсе нельзя использовать другие

[YellowMan]

Неправда ваша - именно написано что только этот адрес юзать можно а остальные юзать нельзя.
Вот тут.

Цитата:

This block is assigned for use as the Internet host loopback address. A datagram sent by a higher level protocol to an address anywhere within this block should loop back inside the host.

Нигде не написано что остальные адреса тоже should loop back inside the host

[nikulina]

ну да, не написано. это можно настраивать дополнительно путём роутинга. но нигде же не написано, что на лупбэке можно использовать _только_ адреса из блока 127.0.0.1/8

и еще на нем написано, что This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited - так что оно даже не рекомендация, а чисто информационные данные.

[YellowMan]

Безусловно. но тем не менее там именно рекомендовано что:

а) 127.0.0.0/8 - This block is assigned for use as the Internet host loopback address. И дано четкое указание - пакеты туда не выпускать наружу а вернуть взад. Ни для какого другого блока ничего подобного не написано.

б) Никто конечно не мешает забить на все это, назначить на лупбэк другой интерфейс или переписать стек по-своему. Единственное что случиться - потеряется совместимость с RFC и со всеми программами что его поддерживают. Ничего страшного если знаешь что делаешь - в конце концов RFC это не устав Красной Армии, правда ?

МС в этом плане как обычно перестраховывается - они как бы дают тебе понять что они болеют за стандарт

[Ludwig]

YellowMan, многие RFC являются также STD, правда не все. То есть например RFC1700 является также STD2, один к одному. Например TCP/IP, многие assigned numbers, втч и 127.0.0.1, являлись STD. Раньше на сайте IETF.org можно было их легко найти, но что-то не выходит сейчас. Может STD потеряли силу стандарта и перестали существовать - похоже на то.

По поводу маски 0xffffffff - Unix допускает такую маску, потому что в духе Unixа не делать лишних движений когда этого не требуется. В духе же Windows - всё решать за нас и делать много лишних движений, чтоб продукт выглядел солидным - все таки за него платят.

Фокус с НАТ-ом сложный, он требует дополнительных звеньев в конфигурации, следовательно делает всю конфигурацию более уязвимой. Цель - мониторить вменяемость системы, так? Поэтому я бы сделал так: обошелся бы без ирландских танцев, чем проще конфиг - тем лучше, а мониторить всё это возможно. Так или не так?

[Yapi]

Цитата:

Сообщение от Ludwig

Фокус с НАТ-ом сложный, он требует дополнительных звеньев в конфигурации, следовательно делает всю конфигурацию более уязвимой. Цель - мониторить вменяемость системы, так? Поэтому я бы сделал так: обошелся бы без ирландских танцев, чем проще конфиг - тем лучше, а мониторить всё это возможно. Так или не так?

Нет не так. ДНС и мониторинг это только две банальные причины что-бы не разводить здесь бодягу "зачем это нужно" (наивный). Рассказывать все подробности почему некоторым частям сервера(ов) нужно иметь возможность подсоединяться к другим частям сервера(ов) по их паблик ДНС именам (адресам) мне лень и вам не интересно. Ломать отлаженную за 2 года конфигурацию с более чем 100 веб-приложениями я не буду. Ага?

[YellowMan]

Ну сделай как тебе тут советовали - подними левый интерфейс с правым адресом, маску захачь и вперед.