> они ее не придумали. Они ее решали, как могли.Нет придумали. Никакими заменами портов в NAT от спуфинга не защититься.
> nat изобрели в те далекие-далекие времена, когда фуфел с якобы "исчерпанием" ipv4 еще и на горизонте не маячил.
Враньё! rfc1597 и rfc1631 датируется 1994-м годом, до этого и были разговоры об исчерпании ip-адресов еще в начале 90-х, потому что каждой конторе выдавалась AS как минимум с префиксом /24 и в 93-ем придумали CIDR (rfc1519). Всё остальное что ты написал - твоя неграмотность. А про ipv6, ты часом с NPTv6 не перепутал ли, хотя и тот еще не утвердили.
> А в интернетах за пределами корпоративных бордеров - уже не бывают. И не только из-за натов, а из-за чудовищной гнилости всего sip-мирка.
Есть провайдеры отдающие sip через TLS. Есть корпоративные решения работающие целиком в публичном интернете. Есть смешанные решения с бордерконтроллерами. Если ты чего-то не видел, не значит что этого нет. Не удивительно... раз у тебя NAT как средство защиты от спуфинга, то и sip-мирок гнилостный. Иконы в машину повесил? К попам отвёз?
> пока ты считаешь "файрволом" пакетный фильтр - без нат никакая настройка тебе не поможет. Почему - в той статье, которую ты не осилил прочитать.
Под "файерволом" я считаю statefull firewall с ACL. Их много разных в мире есть. Они восхитительно работают и с NAT, и без NAT.
> тривиальнейших вещей, зато понапридумывали кучу неотключаемых автоугадаек вместо нормальных настроек? А потом скулят что "alg не работает". Конечно не работает, вы же сами и сломали.
Установка p2p сессии между двумя клиентами с переменным количеством портов случайно выбираемых из диапазона - всегда нетривиальная вещь. Это вам не торрент с одним TCP-портом. Тут даже DNAT большого ренджа в некоторых случаях вреден. А что такое ALG вы, боярин, тоже не знаете. Это еще один уровень костылестроения уже над NAT. В случае SIP ALG роутер меняет внутреннее содержимое SIP пакетов по своему велению. На что он что там меняет зависит от желания вендора. Он и не должен работать никогда. Самое веселое КАК это работает. Он просто смотрит, что там словарный порт 5060 в src/dst и лезет туда что-то править. В SIP для этого есть роль b2bua, которая делает это по-человечески, собственно бордерконтроллеры. Вообще, все твои неудачи и беды с SIP лечатся образованием и медикаментами.
> потому что "эта штука" не наттер, на замену сдохшего длинка-за-пиццот-рублей
Cisco ни роутеры, ни ASA, ни микротик не меняют порты, а вот pfsence меняет и аргументов за это кроме как "бывает в жизни спуфинг и мы приложили подорожник" не дают. Да, эта штука не глупый домашний роутер, но это не снимает моего вопроса по поводу рандомизации портов на роутере.
