RFC: 3027
Оригинал: Protocol Complications with the IP Network Address Translator
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

3.4. Программный интерфейс «X Window System» и удаленный доступ «TELNET» с рабочей станции «X-term»

Программный многооконный интерфейс «X Window System» (ПМИ-Х) основан на ТСР-протоколе. Однако, организация соединения «клиент-сервер» при использовании этого ПМИ-Х полностью отличается от большинства других прикладных программных продуктов. Х-сервер (или «Open-windows»-сервер) представляет собой терминал, включающий монитор, «мышь» и клавиатуру (то есть терминал, который управляет ПМИ-Х). Клиентами выступают прикладные программы, которые активизируют ПМИ. Некоторые компьютеры могут обеспечивать функционирование сразу нескольких Х-серверов. Первый активизированный Х-сервер имеет ТСР-порт с номером 6000. Первый активизированный «Open-windows»-сервер может иметь ТСР-порт с номером 6000 или с номером 2000. Рабочая станция «X-term» (РС) передает IP-адреса для соединений от клиента к серверу с целью установки многооконного режима («DISPLAY variable») функционирования. Многооконный режим используется для последующих соединений между Х-клиентами, размещенными в IP-узле, и Х-сервером, размещенным в РС. Команда для установки многооконного режима («DISPLAY variable») передается в период согласования соединения с помощью протокола удаленного доступа «TELNET» в следующем виде:

DISPLAY=<local-ip-addr>:<server>.<display>

где «<local-ip-addr>» — содержит локальный IP-адрес, связанный с ТСР-портом, номер которого указан в субполе «<server>»; «<server>» — в этом субполе содержится номер ТСР-порта, который необходимо использовать для установления соединения; «<display>» — используется для нумерации окна на дисплее, которое использует Х-сервер.

В субполе «<local-ip-addr>» не указывается DNS-имя по следующим причинам:

  • Локальный (корпоративный) компьтер не имеет возможности определить свое DNS-имя без наличия специальной функции обратного отображения DNS-имен в локальный IP-адрес («<local-ip-addr>»).

  • Не существует гарантии того, что DNS-имя, полученное по запросу от DNS-системы, будет действительно преобразовано в локальный IP-адрес.

  • И последнее, если не используется DNSSEC-система обеспечения безопасности, то тогда нельзя говорить о безопасном использовании DNS-адресов, так как они могут быть просто украдены и использованы для атак типа «маскарад». NAT-модуль и DNS-ALG-субмодуль не могут функционировать при использовании DNSSEC-протоколов обеспечения безопасности.

Организация соединения «клиент-сервер» при использовании ПМИ-Х заключается в следующем. Пользователи обращаются в корпоративные офисы (сети) со своих домашних РС «X-term». Предположим, Х-клиент функционирует в IP-узле, расположенном в сети общего пользования, то есть с внешней стороны NAT-модуля, а Х-сервер функционирует в IP-узле, расположенном в корпоративной сети, то есть с внутренней стороны NAT-модуля. Команда для установки многооконного режима («DISPLAY variable») передается в канал связи на IP-узел, в котором Х-клиент функционирует в нектором режиме. Процесс, который передает команду «DISPLAY variable» не знает IP-адреса NAT-модуля.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.