Saltar al contenido

Puerta de enlace NAT – Límite máximo de conexión

Ángela, miembro de este equipo, nos hizo el favor de crear esta sección ya que conoce muy bien dicho tema.

Solución:

Solución 1:

Corrígeme si me equivoco, pero así lo entiendo. Los límites son por cliente/servidor/puerto. Así que a la luz de eso.

1) En TCP, ¿una IP de fuente única está limitada a 65536 conexiones salientes teóricas MAX?

No. Creo que está limitado a un máximo teórico de 65536 a la misma IP de destino.

Las estaciones de trabajo de Windows (versiones que no son de servidor) tienen límites impuestos que hacen que este número sea mucho menor. Linux tiene límites de recursos, pero generalmente el usuario promedio no los alcanza y puede modificarlos fácilmente.

Probablemente alcanzará otros límites de recursos a medida que comience a aumentar el número cerca de 64K.

Los enrutadores de nivel de consumidor pueden tener límites mucho más bajos debido a los recursos limitados.

2) ¿O el límite es en realidad 65536 conexiones para cada host remoto?

3) ¿Son diferentes las respuestas a las preguntas 1 y 2 para un … ‘sistema no normal’? [Cisco router acting as a NAT Gateway]?

No

4) Todas las preguntas anteriores asumen una conexión TCP con estado. ¿Es diferente la historia con una conexión sin estado como UDP?

UDP no tiene conexión. Entonces esto no es realmente relevante para UDP.

5) ¿Se limitará nuestra LAN a 65536 (o algún otro límite teórico) conexiones simultáneas con el mundo exterior a través de una única dirección IP pública?

No.


En el contexto de los firewalls con estado que rastrean las conexiones y brindan otras funciones de rastreo, sí, estos módulos en sí mismos pueden tener límites. El operador no ha dicho nada sobre qué firewall/enrutador NAT se está utilizando, por lo que ni siquiera podemos especular sobre las limitaciones que podría imponer en este momento.

Solución 2:

Debido a que existen muchos enfoques para el diseño de NAT, la respuesta, por supuesto, es “depende”. Geoff Houston escribió una excelente descripción general de varios diseños de NAT.

En mi experiencia, muchos enrutadores de oficinas pequeñas/oficinas en el hogar no manejarán > 64k direcciones a la misma dirección, pero no solo por agotamiento de puertos. Muchos tienen memoria limitada y se quedarán sin RAM para una tabla NAT mucho antes de alcanzar el límite de 64k.


Solución 3:

5) ¿Se limitará nuestra LAN a 65536 (o algún otro límite teórico) conexiones simultáneas con el mundo exterior a través de una única dirección IP pública?

No, porque una IP NAT de puerto se puede usar para múltiples conexiones:

cat /proc/net/ip_conntrack | grep 51380
tcp      6 191 ESTABLISHED src=10.1.8.5 dst=17.133.254.23 sport=51380 dport=5223 src=17.133.254.23 dst=my.nat.pub.ip sport=5223 dport=51380 [ASSURED] mark=0 use=2
tcp      6 24 CLOSE_WAIT src=10.1.26.1 dst=80.68.255.71 sport=51380 dport=80 src=80.68.255.71 dst=my.nat.pub.ip sport=80 dport=51380 [ASSURED] mark=0 use=2

Solución 4:

En pocas palabras, depende en gran medida de la plataforma, la configuración y la implementación.

Pero déjame explicarte rápidamente:

Aparentementeotras respuestas indican que el límite teórico alcanza> 65535 (observe que el puerto 0 a menudo está reservado), lo que podría ser true hasta cierto punto como…:

  • En grandes sistemas CGNAT o enrutadores similares de alta calidad, cuyo propósito principal sea éste, incluyendo NAT-PAT.
  • En cierta distribución de Linux, podría ser posible en teoría cuando se usa una PC para software NAT/enrutamiento por CPU en ciertas circunstancias, como ram> 1GB, kernel preparado, etc.

Sin embargo En el mundo real, donde el enrutamiento acelerado por hardware tiene lugar con recursos limitados, la tabla NAT tiene un límite bien conocido, que suele ser un parámetro de configuración para la protección.

  • Cisco menciona que, a partir de IOS 12, la NAT máxima depende de la DRAM, lo que da como resultado alrededor de ~10 000 traducciones (fuente), que es menos que los 65 000 de su pregunta.

  • Tome su antiguo enrutador xDSL, si desea abrir un P2P en casa con muchas conexiones, la mayoría de ellas han configurado un límite máximo global de 1024 ~ 4096. Por ejemplo, mi enrutador FTTH de gama alta en casa tiene un límite de NAT configurado en 8K por el proveedor.

Por fin, para responder a la reescritura de Q2, he visto productos con implementaciones dispar de RFC3489 con las siguientes tablas NAT. Obviamente, el último limita considerablemente las posibilidades de NAT:

  • iAddr:iPort – eAddr:ePort – dAddr:dPort (nat simétrico típico)
  • iAddr:port – eAddr:port – dAddr (producto de gama muy baja)

Tumbs up si te gusta esta respuesta!

Tienes la opción de añadir valor a nuestro contenido informacional contribuyendo tu experiencia en las observaciones.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *