Ciao
Esistono soluzioni che consentano la comunicazione diretta dall'esterno
con l'interfaccia MSFC di NAT e quindi con l'host su IP MAN FW senza
appoggi terzi, ma sono comunque destinate a comunicazioni private con
gruppi ristretti di utenti esterni piu' che alla pubblicazione estesa di
servizi -> vedasi p.es. NAT-Traverse :
==
- http://linide.sourceforge.net/nat-traverse/
==
soluzione portabile anche in ambito Windows, ma che comunque richiede un
certo affinamento (ved. comunicazioni tra i 2 peer degli IP esterni e
dei range di porte alte su UDP per stabilire il tunnel).

In ogni caso se si vuole pubblicare su IPv4 [1] un servizio X in
esecuzione su un host con indirizzamento IP MAN FW (cioe' renderlo
accessibile in modo esteso a utenti esterni) e' comunque necessaria la
scelta di una soluzione terza d'appoggio (relay, tunneling host/shell
pubblico con/senza svincolamento della banda di controllo/traffico,
associazione IP Pubblico IPPD/Personal-IP Mc-Link/FastLand IP, etc.).
Mozzarella richiedeva pero' comunque un sistema esterno (a differenza di
NAT-Traverse) per "aprire il varco" sull'interfaccia MSFC di NAT, cioe'
almeno un server FTP su IP Pubblico.

I problemi legati a questa soluzione erano quindi di duplice natura :

A. Rilevazione di porte libere su interfaccia MSFC
--------------------------------------------------
Alcuni software che sfruttano tale soluzione provvedono ad eseguire un
portscan (scansione delle porte TCP/UDP in ascolto) sull'interfaccia
MSFC. Dato il numero elevato di porte (65536) una scansione totale ad
ampio raggio comporta un aumento esponenziale delle transazioni NAT/PAT
con conseguente proporzionale aumento del carico per la gestione delle
NAT entries -> una tale situazione e' assimilabile ad un guasto, ed e'
peraltro in linea con certi passati interventi di blocco linea operati
da FW su utenze che eseguivano portscan ad ampio raggio.

B. Abusi su server FTP esterni
------------------------------
Piu' utenti avevano eseguito connessioni a server FTP pubblici (e non in
ascolto su altre loro connessioni o su propri host esterni) senza avere
l'autorizzazione degli amministratori che, considerata l'occupazione di
banda per ogni singola sessione port FTP (0.2/2 Kbyte/s), ravvisavano un
abuso e quindi bloccavano l'accesso all'indirizzo IP pubblico MSFC -> il
risultato era il divieto d'accesso per utenze che avevano la sola colpa
di essere attestate sul medesimo POP/miniPOP. Situazione che e' divenuta
eclatante con l'uso scorretto di certi porting per OS Windows (ved.
Pomodoro) ed i conseguenti ban da parte di alcuni ISP italiani.

Quando anni fa la problematica A acquisi' un certo peso (considerando
allora il numero/rapporto di interfacce MSFC) FW incorporo' nei processi
di migrazione di Agosto 2003 (ved. piattaforma IPPU) anche l'adeguamento
dei timeout sulle NAT table e del ftp conntrack helper.
Oltre ad essere un abuso, non e' comunque utilizzabile come prima del
2003 in virtu' proprio delle modifiche sull'inoltro dei pacchetti sulla
rete FW, in seguito ad introduzione/evoluzione della piattaforma IPPU di
autenticazione manuale/automatica delle sessioni di rete.


Nota a margine :
----------------
[1] Gli utenti su linee FW in architettura base, pur essendo dietro NAT
Hidden/Dynamic M-1 (NON modificabile a meno di attivare IP Pubblico IPPD
in ambito Residenziale/SOHO o Opzioni Address per Business/Aziende),
possono usufruire di connettivita' piena end-to-end IPv6, scegliendo
p.es. tra i seguenti servizi *free* :
==
------------------------------------------------------------------------
* TB Fast-Labs
--------------
- http://www.fast-labs.net/tb/

Servizio TunnelBroker fornito free da Fast-Labs previa registrazione
su http://www.fast-labs.net/home/signup.php .

------------------------------------------------------------------------
* Teredo
--------
- http://en.wikipedia.org/wiki/Teredo_tunneling
- http://www.microsoft.com/technet/network/ipv6/teredo.mspx
- http://www.simphalempin.com/dev/miredo/
- http://www.progsoc.org/~wildfire/debian/miredo/

Teredo e' un protocollo di tunneling che consente connettivita' IPv6 a
sistemi IPv4 dietro NAT non modificabile, tramite l'UDP Encapsulation su
IPv4 dei pacchetti IPv6.

Ad inizio Aprile 2006 Marco d'Itri ha attivato un relay Teredo, che
consente di avere un indirizzo IPv6 -> non e' necessaria alcuna
registrazione o configurazione particolare = e' sufficiente attivare il
client Teredo ed appoggiarsi p.es. ad uno dei seguenti server pubblici :
==
- debian-miredo.progsoc.org
- teredo.remlab.net

Nota : gli utenti con Windows XP devono aver installato, oltre al
Service Pack 2, anche l'ultima versione dello stack TCP/IPv6 disponibile
su WindowsUpdate (che supporta il nuovo prefisso 2001::/32 allocato
dallo IANA per Teredo) -> inoltre e' necessario che siano installati gli
aggiornamenti KB922819 e/o KB920342.

------------------------------------------------------------------------
* AYIYA
-------
- http://en.wikipedia.org/wiki/AYIYA
- http://www.sixxs.net/main/
- http://www.sixxs.net/tools/aiccu/

Sistema di tunnel UDP IPv4 su cui vengono incapsulati i pacchetti IPv6
-> una volta approvata la registrazione gratuita a SixXS (che va
effettuata su http://www.sixxs.net/signup/ ) e' sufficiente usare il
client automatico AICCU per configurare/utilizzare un tunnel AYIYA.

------------------------------------------------------------------------
* Freenet6
----------
- http://www.go6.net/4105/freenet.asp
- http://www.go6.net/4105/register.asp

Servizio gratuito (previa registrazione) per l'accesso a connettivita'
IPv6 & utilizzabile anche da utenze dietro NAT non modificabile ->
prevede sia la modalita' tramite tunnel autenticato con assegnazione
statica di prefisso/indirizzo IPv6 che quella su tunnel anonimo con
assegnazione dinamica.
------------------------------------------------------------------------