<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><pre>Its been awhile since I could try to simulate a good use case. <br>In short its peeling an onion and just exposed a whole bunch of <br>bad factors. There are other issues in these gateways. They do a <br>"lot of stuff" that has no customer tuning or even visibility. <br>This confounds any honest testing. If port-mapping-connections, <br>entanglement, and business-guest isolation double NAT ... <br>... and added fun carrier NAT, ugh ...<br>were the only problems, then maybe this idea had a place. <br>Considering all, its ready for the recycle bin.<br><br>Eric<br><br>> If you want to experiment with strategies, and your C is OK, it should
> be quite easy to do. Look at allocate_rfd() in src/forward.c. That has
> two bits of code, the first makes a new random socket, and if that
> fails (kernel resource issues, or maximum number (RANDOM_SOCKS) in
> use) it falls through to the second bit, which uses an existing
> socket/port instead. All the reference-counting stuff to share random
> ports is already there, you just need to add some code to decide when
> to use an existing port instead of making a new one.
> It would be interesting to hear if this actually improves things.
> Cheers,
> Simon.
<i>
</i>>><i> I would like to propose that DNSMASQ move [</i><i>random per port# <br>>> over short time] and also DNSMASQ move client ports
</i>>><i> when so many requests have processed (max-concurrent reused or
</i>>><i> %10 of cache or random again?).  This will keep its profile on
</i>>><i> the NAT down and it will maintain the moving target against
</i>>><i> attacks.<br>>> ..............<br></i>>><i> The use case is in some new products for home and small business
</i>>><i> with cable ISP. These are a super-media-gateway-box with media
</i>>><i> server, cable interface, two independent VOIP lines, cable modem,
</i>>><i> and wireless gateway. MOCA serves TV through client media boxes.
</i>>><i> One public IPV4 to do all of this. These are a great concept, but
</i>>><i> the modem, firewall, and wireless are poorly implemented. However,
</i>>><i> this combo may be the most economic offering for monthy cost.</i><i>
</i>>><i> Super-gateways often don't provide even Primary and Guest networks 
</i>>><i> (ie isolate Coffee Shop POS and Guest Free WiFi). There's nothing
</i>>><i> if you want to prevent neighbor business from free-loading into
</i>>><i> your Guest Wifi, and so use beverage receipt passwords.<br>>> .......<br>>> Eric<br></i></pre>                                      </div></body>
</html>