On Wed, Mar 21, 2012 at 04:18:20PM +0100, Alex Samorukov wrote: > On 03/21/2012 03:11 PM, Slawa Olhovchenkov wrote: > > On Wed, Mar 21, 2012 at 02:58:18PM +0100, Alex Samorukov wrote: > > > >> On 03/21/2012 02:49 PM, Slawa Olhovchenkov wrote: > >>>> ЗАЧЕМ НАТИТЬ Х323????? > >>>> > >>>> Это же уродство, чреватое тысячей багов и глюков. Принял его на честном > >>>> адресе, а дальше хоть в сип, хоть в iax его запихни, который вообще > >>>> идеально натится. > >>> Вот стоит у меня поликомовская железка. Для видеоконференций. > >>> С двумя мониторами (второй -- для презентаций). > >>> И с соском для подключения VGA кабеля от ноута с презентацией. > >>> > >>> Мне его страшно выставлять голой жопой на честный адрес. > >>> Теперь рассказывай, как его в сип или iax. > >> 1) использовать нат вместо фаервола - это видимость безопасности. Не > > так, погоди, попкорна наберу. > > теперь рассказывай -- чем таким отличается файрвол от ната и и почему > > будет видимость безопасности. > > почему-то никто не осилил. > Тем, что фраза о том, что давать свой адрес "опасно", а давать нат > "безопасно" - бред. Ничем таким по безопасности оно отличаться не будет.
ну как минимум в случае ната открывается только ограниченное число портов, а некоторые еще и только для определенных dst. а чем же таким файрвол увеличивает безопасность? > А с переходом на в6 нат-ы будут потихоньку уходить в небытие, в отличии > от firewall. посмотрим. может уйдут, а может нет. > >> вижу чем нат принципиально лучше внешнего адреса с firewall между > >> ними. > > 1) ну дополнительный внешний адрес могут просто не дать. > Не-домашний провайдер который не может выделить +1 адрес клиенту? > > 2) Как я понимаю у вас фиксированное количество пиров. Сделайте впн для > > них и живите счастливо. Без всякого ната. И без гостей в этой сетке. И с > > простой отладкой. > > ты все понимаешь неправильно. > > и про пиры. > > и то, что с той стороны -- другая организация, которая не горит > > желанием поднимать vpn непойми с кем. и т.д. > Да, наверное не понимаю. Выставлять жопой в инет софт для > видеоконференци вместо впн-а - это наверное круто и всё такое, Бивис. К > чёрту безопасность, в самом деле. hacker-friendly environment ;-) это жизнь. нет, вэпэнов не будет. ходя бы потому, что за vpnы там отвечает другой отдел. > >> Да ну? Стандарт который сами телефонисты не любят. Его отладка - это > >> адский ад. Я помню как неделю потратил разбираясь почему кошка не > >> работает по х323 со старой алкателевской атс-кой. И даже нашёл - > >> небольшая разница в данных сигнализации при крайне неясном описании > >> этого места в стандарте. В итоге плюнул и поставил между ними меру. > >> Собственно сип во многом и писался для того, чтобы от этого isdn-овского > >> ужаса уйти. И, кстати, то, что нет ни одной терпимой опенсорусной > >> реализации стандарта - неплохое тому доказательства (ух сколько я багов > >> в libopal отловил!). Да собственно и все closed source реализации > >> писались с тысячей багэраундов для существующих устройств и отнюдь не > >> гарантируют совместимость с произвольным железом. И накладывать на всю > >> эту красоту нат... ну-ну. > >> > > а, ты хочешь поразвлекаться с пониманием (и вообще наличием) dual > > screen в sip? > Dual Monitor support вообще никакого отношения к х 323 не имеет. Эту > фичу делает ViewStation и в сипе бы ее реализация ничем не отличалась от > реализации в з323. Почитайте стандарт на досуге. вот в случае h.323 у нас есть стандарт -- h.239 (t.120 забыли -- нету). а в случае sip? большинство вообще никак не реализовали. у кого-то все же есть BFCP (RFC 4582).