Что означают настройки «ALG» на моем маршрутизаторе и что такое «ALG»?

Question

«ALG» здесь означает «Application-level Gateway» (шлюз прикладного уровня). То есть, модули брандмауэра, которые справляются с некоторыми особенностями этих протоколов.

На брандмауэре с отслеживанием состояния "состояние" обычно привязано только к адресам и номерам портов. То есть, вы отправляете пакет из порта X в порт сервера Y, и брандмауэр автоматически разрешает обратный путь. Однако некоторые протоколы используютдополнительныйсоединения – например, FTP в «активном» режиме заставляет сервер подключаться обратноквы на отдельном порту. Поэтому брандмауэру нужен модуль ALG, который отслеживает команды FTP и автоматически добавляет необходимые правила. (Сюда входит автоматическая переадресация портов при использовании NAT.)
Брандмауэры с включенным NAT транслируют IP-адреса и порты TCP/UDP в соответствующих заголовках. Но некоторые протоколы также отправляют адрес клиента или серверавнутрисами пакеты – например, да, тот же FTP делает это (в активном режиме клиент отправляет свой собственный адрес, в пассивном режиме это делает сервер). ALG пытается выполнить соответствующую перезапись этих команд FTP.

Обычно, если соответствующий ALG отсутствует, некоторые соединения просто зависают на середине. Например, вы можете войти на FTP-сервер, но он зависает при попытке получить список файлов.

(Да, большинство из них перестают работать при включении шифрования, поскольку ALG больше не может заглянуть внутрь. Можно сказать, что ALG — это инструменты для маскировки проблем.)

Что касается того, что можно отключить: это действительно зависит от того, какие протоколы вы используете, и от того, имеет ли ALG вашего маршрутизатора приемлемое качество. (Были некоторые модели, которые полностью разрывали соединения вместо того, чтобы «исправлять» их...) Например, отключение поддержки H.323 (старый протокол VoIP) должно быть приемлемым.

Answer 1

«ALG» здесь означает «Application-level Gateway» (шлюз прикладного уровня). То есть, модули брандмауэра, которые справляются с некоторыми особенностями этих протоколов.

На брандмауэре с отслеживанием состояния "состояние" обычно привязано только к адресам и номерам портов. То есть, вы отправляете пакет из порта X в порт сервера Y, и брандмауэр автоматически разрешает обратный путь. Однако некоторые протоколы используютдополнительныйсоединения – например, FTP в «активном» режиме заставляет сервер подключаться обратноквы на отдельном порту. Поэтому брандмауэру нужен модуль ALG, который отслеживает команды FTP и автоматически добавляет необходимые правила. (Сюда входит автоматическая переадресация портов при использовании NAT.)
Брандмауэры с включенным NAT транслируют IP-адреса и порты TCP/UDP в соответствующих заголовках. Но некоторые протоколы также отправляют адрес клиента или серверавнутрисами пакеты – например, да, тот же FTP делает это (в активном режиме клиент отправляет свой собственный адрес, в пассивном режиме это делает сервер). ALG пытается выполнить соответствующую перезапись этих команд FTP.

Обычно, если соответствующий ALG отсутствует, некоторые соединения просто зависают на середине. Например, вы можете войти на FTP-сервер, но он зависает при попытке получить список файлов.

(Да, большинство из них перестают работать при включении шифрования, поскольку ALG больше не может заглянуть внутрь. Можно сказать, что ALG — это инструменты для маскировки проблем.)

Что касается того, что можно отключить: это действительно зависит от того, какие протоколы вы используете, и от того, имеет ли ALG вашего маршрутизатора приемлемое качество. (Были некоторые модели, которые полностью разрывали соединения вместо того, чтобы «исправлять» их...) Например, отключение поддержки H.323 (старый протокол VoIP) должно быть приемлемым.

Что означают настройки «ALG» на моем маршрутизаторе и что такое «ALG»?

решение1

Связанный контент