pc-facile.com
http://www.pc-facile.com/guide/nat_proxy/118.htm



Network/P2P: Dylan666 20 Dicembre 04 @ 00:01 am

12. Alcune osservazioni sulla NAT

Una volta che la NAT è operativa, dovreste tener presenti alcuni dettagli operativi. La NAT non permette le connessioni in entrata. Se un host remoto tenta di raggiungere un utente interno accedendo all'indirizzo gateway pubblico, l'host remoto riceverà il messaggio di errore indicante che il server non risponde. Probabilmente è opportuno abilitare la registrazione a giornale affinché la configurazione NAT registri qualunque richiesta di connessione in entrata in modo da poter affrontare la situazione, dando all'utente remoto accesso ad un host sulla DMZ o semplicemente dicendo al sito remoto che non può accedere ad un particolare host interno.

La tabella dei collegamenti NAT ha dimensioni finite (512 voci). Se vi sono molte connessioni aperte, la tabella può riempirsi impedendo il completamento di nuove richieste di collegamento. In condizioni normali questo problema non si dovrebbe verificare. I valori di tempo massimo della NAT fanno in modo che le connessioni chiuse scorrettamente o latenti vengano eliminate, liberando le relative voci nella tabella. Tuttavia, il comportamento di qualche client può comportare l'apertura di un numero insolito di connessioni provocando un sovraccarico della tabella. Per esempio, le utility per la scansione della rete tentano di scoprire tutti gli host all'interno di un dato intervallo di indirizzi tentando di effettuare connessioni con ogni indirizzo IP dell'intervallo. Alcuni tool di amministrazione remota, quali ad esempio Carbon Copy di Microcom, utilizzano questa tecnica per scoprire gli host controllabili da postazione remota. Questa funzionalità deve essere disattivata se si usano questi tool.

Il limite delle dimensioni per la tabella dei collegamenti è inoltre un buon motivo per evitare di eseguire il debug dei programmi socket da dietro un gateway NAT. Spesso si commette l'errore di programmazione di dimenticarsi di chiudere un socket. Normalmente questo non ha conseguenze gravi, ma con un gateway NAT un programma malfunzionante può anche esaurire la tabella dei collegamenti con connessioni non chiuse.

È consigliabile avere sempre una copia del file di regole, proprio come si fa per tutte le altre informazioni di configurazione importanti. Se si rende necessario reinstallare il software sull'AS/400, l'unica fonte utilizzabile per le regole di filtro è il file .I3P salvato da OpNav.

Infine, quando si configura la NAT è possibile installare inavvertitamente delle regole di filtro che bloccano l'accesso di OpNav all'AS/400. In questa situazione non è possibile caricare un file di regole aggiornato per risolvere il problema, ma è possibile disattivare le regole di filtro da qualunque sessione interattiva AS/400 utilizzando il comando RMVTCPTBL (Remove TCP/IP Table = Eliminazione tabella TCP/IP) con *ALL, cancellando così le regole attive e ripristinando l'accesso al sistema.





© 2000-2024 pc-facile.com