UDP कनेक्शन टाइमआउट का वास्तव में क्या मतलब है?

18

चूंकि यूडीपी एक कनेक्शन रहित प्रोटोकॉल है, इसलिए मैं "यूडीपी कनेक्शन टाइमआउट" के लिए अपने सोनिकवाल फ़ायरवॉल पर सेटिंग करके भ्रमित हूं। यह 30 सेकंड के डिफ़ॉल्ट पर सेट है - लेकिन 30 सेकंड के बाद वास्तव में क्या समय है?

WTF?

यहां मेरी वास्तविक वास्तविक दुनिया की स्थिति है: मेरे पास ntp.org पूल में एक एनटीपी सर्वर है जो प्रति मिनट लगभग 3000 प्रश्न करता है। यह मेरे SOHO ग्रेड TZ-200 पर थोड़ा दबाव डालता है - बैंडविड्थ के मामले में नहीं; लेकिन कनेक्शन के # के संदर्भ में यह इसके माध्यम से गुजर रहा है। अगर UDP कनेक्शन किसी तरह SonicWall पर 'जिंदा' रहते हैं तो मुझे आश्चर्य हो रहा है; भले ही वे (परिभाषा के अनुसार) कनेक्शन रहित हों।

मुझे यहां क्या समझ नहीं आ रहा है? जब यह "यूडीपी कनेक्शन टाइमआउट" के बारे में बात करता है, तो SonicWall का क्या मतलब है?

sonicwall  udp 
जॉन वड्सवर्थ
स्रोत
फायरवॉल आमतौर पर एक कनेक्शन के लिए पैकेट की अनुमति देता है जो फ़ायरवॉल के अंदर एक मशीन द्वारा स्थापित किया गया था। लेकिन यूडीपी का कोई संबंध नहीं है। इसलिए विकल्प सभी यूडीपी पैकेटों को अनुमति देने के लिए हैं, सभी यूडीपी पैकेटों को ब्लॉक करने की कोशिश करते हैं, या यह अनुमान लगाने की कोशिश करते हैं कि "यूडीपी कनेक्शन" क्या हैं, केवल उन पैकेटों की अनुमति दें जो उन "कनेक्शन" का हिस्सा हैं। सभी (?) फ़ायरवॉल विक्रेता अंतिम दृष्टिकोण लेते हैं।
user253751
जैसा कि ओबिसिस ने वर्णन किया है। नेटवर्क एड्रेस ट्रांसलेशन या नेट के कारण एक इंटरनेट / सबनेटवर्क गेटवे राउटर केवल टीसीपी (वस्तुतः सभी ट्रैफिक टीसीपी) की अनुमति देगा, जिसमें सबनेटवर्क पर एक क्लाइंट कनेक्शन शुरू करता है। यदि कनेक्शन आ रहा है तो NAT के लिए पोर्ट असाइन करने का कोई तरीका नहीं है। राउटर को कैसे पता चलता है कि उसे किसको भेजना है? UDP के पास कनेक्शन भी नहीं है, इसलिए UDP अनुरोधों को संभालने के लिए राउटर कैसे है? एक तरीका यह है कि आउटबाउंड यूडीपी पैकेटों पर नज़र रखें।
मार्शल शिल्प
यदि आप एक सर्वर की मेजबानी कर रहे हैं, तो आपको उन बंदरगाहों को अग्रेषित करना चाहिए, जिन पर आपको कनेक्शन प्राप्त करने की उम्मीद है, हालांकि किसी भी चीज के लिए तैयार रहें।
मार्शल शिल्प

जवाबों:

16

हालांकि यूडीपी के साथ कोई औपचारिक "कनेक्शन" नहीं है, फिर भी एक सम्मेलन है जो क्लाइंट अनुरोध भेजते हैं और स्रोत आईपी के साथ प्रतिक्रियाएं प्राप्त करने की उम्मीद करते हैं और डेस्टिनैटोइन आईपी और पोर्ट के साथ स्वैप किया जाता है।

स्टेटफुल फायरवॉल और NAT इसलिए मान लेते हैं कि पैकेट दिए गए संयोजन IP / स्रोत पोर्ट / डेस्टिनेशन IP / डेस्टिनेशन पोर्ट के साथ है और स्रोत और गंतव्य के साथ संगत संयोजन एक "कनेक्शन" का हिस्सा बना हुआ है। यह यूडीपी पर "केवल आउटगोइंग कनेक्शन" जैसे नियमों को लागू करने की अनुमति देता है और रिस्पॉन्स पैकेट पर रिवर्स ट्रांसलेशन लागू करने की अनुमति देता है।

दुर्भाग्य से फ़ायरवॉल या नेट के पास यह जानने का कोई तरीका नहीं है कि क्लाइंट ने सर्वर से बात कब की है। इसलिए इसे स्टेट ट्रैकिंग टेबल से एंट्री हटाने से पहले टाइमआउट का इंतजार करना पड़ता है। वह टाइमआउट जो आप सेट कर रहे हैं।

सिद्धांत रूप में, NAT बॉक्स बनाना संभव होगा जो आउटगोइंग कनेक्शन के लिए एक स्टेटफुल अप्रोच बनाए रखते हुए पोर्ट फॉरवर्ड के लिए एक स्टेटलेस अप्रोच का उपयोग करता है लेकिन यह सब कुछ के लिए स्टेटफुल NAT का उपयोग करना अधिक सरल है और ऐसा लगता है कि यह आपका विक्रेता क्या कर रहा है।

दुर्भाग्य से जैसा कि आपने पता लगाया है कि बेकार बेकार यूडीपी सर्वर बड़ी संख्या में छोटे अनुरोधों की सेवा कर रहे हैं। आप उस स्थिति में समाप्त हो जाते हैं, जहां फ़ायरवॉल स्वयं को गंभीर से अधिक संसाधनों की खपत करता है।

पीटर ग्रीन
स्रोत
2
महान उत्तर के लिए धन्यवाद पीटर! मेरे मामले में, SonicWall मुझे एक विशेष फ़ायरवॉल नियम पर UDP "कनेक्शन टाइमआउट" को कम करने की अनुमति देता है, इसलिए मैं NTP नीति के नियम को 5 सेकंड (30 के डिफ़ॉल्ट से) को कम कर दूँगा।
जॉन वड्सवर्थ
1
नोट: ऐसा करने के बाद, मैंने 'टोटल कनेक्शन' देखा, जैसा कि सोनिकवॉल ड्रॉप द्वारा रिपोर्ट किया गया था ~ 1500 से ~ 400। उत्तम! शानदार उत्तर के लिए फिर से धन्यवाद।
जॉन वाड्सवर्थ
1
ध्यान रखें कि अधिकांश स्ट्रीमिंग प्रोटोकॉल यूडीपी का उपयोग करते हैं, जिसमें वीओआइपी का मीडिया भाग (एसआईपी का उपयोग करके बातचीत के बाद) शामिल है। यदि कोई ट्रैफ़िक नहीं है, तो समय समाप्त होने के बाद समस्या उत्पन्न हो सकती है (उदाहरण के लिए कॉल होल्ड पर, दोनों साइड म्यूट किए गए, आदि) जैसे कि सभी वीओआइपी फोन (हार्ड या सॉफ्ट) पोर्ट को गिराए जाने पर मीडिया कनेक्शन को पुन: प्राप्त करने में महान हैं। । अन्य लोग समय-समय पर छोटे संकेतों को भेजकर 'जिंदा रहते हैं' का उपयोग करते हैं, जो कि 5 सेकंड से भी आगे हो सकता है।
चक वैन डेर लिंडेन
11

आपका फ़ायरवॉल यूडीपी कनेक्शन के लिए एक कनेक्शन टेबल बना रहा है। उदाहरण के लिए, जब आप DNS क्वेरी भेजते हैं, तो फ़ायरवॉल उस प्रवाह के लिए एक प्रविष्टि बनाता है ताकि DNS उत्तर आपके नेटवर्क में वापस आ सके। बिना किसी गतिविधि के 30 सेकंड के बाद तालिका समय में प्रविष्टियाँ।

रॉन ट्रंक
स्रोत
धन्यवाद रॉन। क्या आप इनबाउंड कनेक्शन के संबंध में उस कनेक्शन तालिका पर टिप्पणी कर सकते हैं? चूंकि मेरा एनटीपी सर्वर अंदर है, इसलिए इनबाउंड कनेक्शन के लिए वास्तव में 'दरवाजा खुला रखने' की आवश्यकता नहीं होनी चाहिए, क्योंकि अंदर पर मेरा सर्वर हमेशा स्रोत से बाहर निकल सकता है (मेरे पास विस्तृत-खुला आउटबाउंड है नियम)। त्वरित उत्तर के लिए धन्यवाद!
जॉन वड्सवर्थ
3
कनेक्शन की दिशा की परवाह किए बिना कनेक्शन तालिका का निर्माण किया जाता है और वास्तव में तुरंत प्रतिक्रिया सर्वर के लिए उपयोग किया जाता है जो आपके सर्वर से क्वियरियर पर लौटने वाले फ़ायरवॉल के माध्यम से वापस आता है। फ़ायरवॉल प्रतिक्रिया के साथ प्रारंभिक क्वेरी को जोड़ने के लिए (src ip, src port, dst ip, dst port) का एक टपल बनाए हुए है। चूँकि फ़ायरवॉल को इंगित करने के लिए वास्तव में एक सेमाफ़ोर नहीं है जो कि एक विशेष यूडीपी सत्र समाप्त हो गया है और सॉकेट बंद हो गया है टाइमआउट मान समाप्त हो रहा है।
rnxrx
2

आपका NTP सर्वर आपके NAT (फ़ायरवॉल) के पीछे है। यूडीपी आवेदन और ओएस के दृष्टिकोण से और रास्ते में अधिकांश नेटवर्क उपकरणों के लिए कनेक्शन रहित है।

आपके NAT फ़ायरवॉल के लिए, हालांकि, यह रिकॉर्ड करता है जब भी कोई UDP पैकेट बाहर जाता है तो दूसरे छोर से एक प्रतिक्रिया समाप्त हो जाएगी जो आपके नेटवर्क के अंदर उसी कंप्यूटर पर रीडायरेक्ट की जाएगी। इन्हें फ़ायरवॉल द्वारा "कनेक्शन" कहा जाता है।

अब, सिद्धांत रूप में, NAT को पता है कि बाहरी बंदरगाह NTP अच्छी तरह से ज्ञात बंदरगाह होगा, लेकिन ऐसा लगता है कि आपका फ़ायरवॉल समर्थन नहीं करता है। यदि यह इस फ़ायरवॉल के माध्यम से UDP के लिए आपका एकमात्र उपयोग है, तो आप कनेक्शन संख्या को छोटी संख्या में सेट कर सकते हैं। वैकल्पिक रूप से, यदि यह आपको एप्लिकेशन पोर्ट द्वारा सेट करने देता है, तो आप इसे उस विशिष्ट पोर्ट के लिए एक छोटे समय (1 सेकंड, कहते हैं) पर सेट कर सकते हैं।

एलन
स्रोत
1
मध्यांतर NAT के लिए विशिष्ट नहीं है; किसी भी स्टेटफुल फ़ायरवॉल में एक होगा।
user1686
फ़ायरवॉल एनएटी नहीं करता है इसके बजाय पैकेट को फ़िल्टर करने की कोशिश कर रहा है जो एनएटी के माध्यम से संक्रमण कर रहे हैं, इस प्रकार राउटर और एनएटी से अंतर-संबंध है।
मार्शल शिल्प
इंटरनेट के लिए एक गेटवे राउटर NAT को नियोजित करना चाहिए क्योंकि कोई भी कंप्यूटर सबनेट पर बैठता है, केवल गेटवे राउटर का वास्तविक इंटरनेट IP पता होता है। यह बहुत ही बेकार होगा यदि हर एक कंप्यूटर इंटरनेट पर एक चीज थी। गेटवे राउटर में कभी-कभी कंप्यूटर का एक बड़ा समूह होता है जो सभी एक इंटरनेट आईपी पते से जुड़ा होता है। यह अपने नेटवर्क पर वेब और कंप्यूटर से आने वाले पैकेट के बीच एक से एक अनुवाद करने में सक्षम होने के लिए एक बोर्ली वेब सॉकेट का उपयोग करता है। लोगों को यह नहीं लग रहा है।
मार्शल शिल्प
0

IPv6 को NAT की आवश्यकता नहीं है, फिर भी यह अभी भी प्रकट होता है जैसे कि फायरवॉल UDP के संबंध में स्टेटफुल हैं।

डेविड हावर्ड
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.