%2C%20%D0%BA%D0%BE%D0%B3%D0%B4%D0%B0%20%D0%B1%D1%80%D0%B0%D0%BD%D0%B4%D0%BC%D0%B0%D1%83%D1%8D%D1%80%20%D0%BD%D0%B5%20%D0%BF%D1%80%D0%B8%D0%BD%D0%B8%D0%BC%D0%B0%D0%B5%D1%82%20%D0%B2%D1%85%D0%BE%D0%B4%D1%8F%D1%89%D0%B8%D0%B5%20%D1%81%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F%3F%20.png)
В брандмауэре Juniper нет политики для интернета и локальной сети, но такие программы, как Skype и Torrent, работают без проблем. Как работают эти программы без какой-либо входящей политики?
решение1
Обычно, используя функцию отслеживания состояния межсетевого экрана.
Большинство, если не все, межсетевые экраны в наши дни являются Stateful. Они отслеживают входящий и исходящий трафик, поэтому знают «взаимосвязь» между пакетами. Например, если хост внутри сети отправляет пакет SYN куда-то снаружи, межсетевой экран знает об этом и знает, что нужно ожидать соответствующий пакет SYN ACK с адреса, на который был отправлен исходный SYN.
Таким образом, пока хост внутри сети устанавливает внешнее соединение, «шлюзы открыты» для обратного трафика.
Существуют и другие, более сложные методы. Небольшой примерный список включает:
решение2
Приложения P2P используют методы для обходаNAT-ыкоторые большинство людей имеют в своем домашнем шлюзе. Используемые трюки основаны на том факте, что исходящие соединения разрешены, поэтому они работают на брандмауэрах с той же политикой.
Самый простой и успешный метод —Перфорация отверстий UDP.
Еговариант TCPнемного сложнее, но в случае сбоя программное обеспечение может попытаться прибегнуть к туннелированию TCP через UDP.
Есть такжеПробивка отверстий ICMPкоторый использует другой подход, позволяющий осуществить первоначальный контакт без участия третьей стороны.