4

В моем роутере я видел в настройках ALG. Следующие настройки включены.

  1. Н.323
  2. RTSP
  3. L2TP
  4. IPSec &
  5. FTP

Я искал в Google все эти термины, но у меня возникли проблемы с пониманием того, что они собой представляют.

Может ли кто-нибудь ELI5 выполнить эти условия и дать рекомендации о том, чего можно ожидать, если я их отключу?

1 ответ1

2

"ALG" здесь означает "шлюз прикладного уровня". То есть модули брандмауэра, которые справляются с некоторыми особенностями этих протоколов.

  • На брандмауэре с состоянием "состояние" обычно привязано только к адресам и номерам портов. Таким образом, вы отправляете пакет из порта X в порт Y сервера, и брандмауэр автоматически разрешает обратный вход. Однако некоторые протоколы используют дополнительные подключения - например, FTP в "активном" режиме заставляет сервер подключаться к вам через отдельный порт. Поэтому брандмауэру необходим модуль ALG, который отслеживает команды FTP и автоматически добавляет необходимые правила. (Это включает в себя автоматическую переадресацию портов при использовании NAT.)

  • Межсетевые экраны с включенным NAT преобразуют IP-адреса и порты TCP/UDP в соответствующие заголовки. Но некоторые протоколы также отправляют адрес клиента или сервера внутри самих пакетов - например, да, тот же FTP делает это (в активном режиме клиент отправляет свой собственный адрес, в пассивном режиме - сервер). ALG пытается выполнить соответствующее переписывание этих команд FTP.

Обычно, что происходит, если соответствующий ALG отсутствует, то некоторые соединения просто висят посередине. Например, вы можете войти на FTP-сервер, но время ожидания истекло при попытке получить список файлов.

(Да, большинство из них перестают работать, когда включено шифрование, так как ALG больше не может заглядывать внутрь. Можно сказать, что ALG - это инструменты для маскировки проблем.)

Что касается того, что вы можете отключить: это действительно зависит от того, какие протоколы вы используете, и является ли ALG вашего конкретного маршрутизатора приемлемого качества. (Существовали некоторые модели, которые полностью «разрывали» соединения, а не «исправляли» их ...) Например, отключение поддержки H.323 (старый протокол VoIP) должно подойти.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .