В моем роутере я видел в настройках ALG. Следующие настройки включены.
Я искал в Google все эти термины, но у меня возникли проблемы с пониманием того, что они собой представляют.
Может ли кто-нибудь ELI5 выполнить эти условия и дать рекомендации о том, чего можно ожидать, если я их отключу?
"ALG" здесь означает "шлюз прикладного уровня". То есть модули брандмауэра, которые справляются с некоторыми особенностями этих протоколов.
На брандмауэре с состоянием "состояние" обычно привязано только к адресам и номерам портов. Таким образом, вы отправляете пакет из порта X в порт Y сервера, и брандмауэр автоматически разрешает обратный вход. Однако некоторые протоколы используют дополнительные подключения - например, FTP в "активном" режиме заставляет сервер подключаться к вам через отдельный порт. Поэтому брандмауэру необходим модуль ALG, который отслеживает команды FTP и автоматически добавляет необходимые правила. (Это включает в себя автоматическую переадресацию портов при использовании NAT.)
Межсетевые экраны с включенным NAT преобразуют IP-адреса и порты TCP/UDP в соответствующие заголовки. Но некоторые протоколы также отправляют адрес клиента или сервера внутри самих пакетов - например, да, тот же FTP делает это (в активном режиме клиент отправляет свой собственный адрес, в пассивном режиме - сервер). ALG пытается выполнить соответствующее переписывание этих команд FTP.
Обычно, что происходит, если соответствующий ALG отсутствует, то некоторые соединения просто висят посередине. Например, вы можете войти на FTP-сервер, но время ожидания истекло при попытке получить список файлов.
(Да, большинство из них перестают работать, когда включено шифрование, так как ALG больше не может заглядывать внутрь. Можно сказать, что ALG - это инструменты для маскировки проблем.)
Что касается того, что вы можете отключить: это действительно зависит от того, какие протоколы вы используете, и является ли ALG вашего конкретного маршрутизатора приемлемого качества. (Существовали некоторые модели, которые полностью «разрывали» соединения, а не «исправляли» их ...) Например, отключение поддержки H.323 (старый протокол VoIP) должно подойти.
