Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: JSOB 11. 01. 2023, 10:23:02
-
Máme od místního poskytovatele konektivitu s několika veřejnými IP. Klienti tohoto poskytovatele na privatních IP se bohužel nemohou dostat na ty naše přidělené veřejné IP, kde běží nějaké služby. Pokud klient má od poskytovatele veřejnou IP tak mu to jde.
Rovněž to postrádá princip samotného internetu, kdy by neměl mít jakýkoliv počítač do něj připojen (klidně přes NAT) přístup na kteroukoliv veřejnou IP.
Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.
Jaký problém může vyvstat když toto pravidlo povolím? Nebo lepší apelovat na poskytovatele, ať se jeho klienti s privatni IP chovají jako s veřejnou IP?
Předem děkuji za odpovědi.
-
Nebo lepší apelovat na poskytovatele, ať se jeho klienti s privatni IP chovají jako s veřejnou IP?
Přesně tohle je nejlepší řešení. Ale otázkou je, jestli to u toho ISP je vůbec možné.
-
Oni musia mat nejaku verejku, aj ked spolocnu. Staci isp donutit aby sa museli otocit cez jeho wanove rozhranie smerom k tebe a nie ako teraz, ze mozu ist priamo na teba.
-
Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv), např. na veřejné IP poběží FTP server, tak se tam dostane každý user, ať má on sám veřejnou nebo neveřejnou IP. A pokud jde o to, kdo se může dostat ke službám, jenž běží na veřejné IP adrese, tak to může úplně každý a je pouze věcí správce těchto služeb, aby si zajistil takovou bezpečnost, že se tam nedostane nikdo nepovolaný.
-
Oni musia mat nejaku verejku, aj ked spolocnu. Staci isp donutit aby sa museli otocit cez jeho wanove rozhranie smerom k tebe a nie ako teraz, ze mozu ist priamo na teba.
Coz je prave v nekterych topologiich siti takrka neresitelny problem. Napriklad v pripade globalniho NATu, kdy natujete lidi bez verejek az ve chvili, kdy opousti hranu vasi site. Zalezi na tom, jak ma kdo sit postavenou.
-
Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou?
Přesně o tohle jde. Klient s neveřejnou se nedostane na naše veřejky. Pokud mu dá ISP veřejku tak to jde. Musel bych zřejmě na WANu povolit přístup z privátních adres (192.xxxxx, 10.xxxxx), což se mi moc nechce a proto tento dotaz vznikl.
-
Oni musia mat nejaku verejku, aj ked spolocnu. Staci isp donutit aby sa museli otocit cez jeho wanove rozhranie smerom k tebe a nie ako teraz, ze mozu ist priamo na teba.
Coz je prave v nekterych topologiich siti takrka neresitelny problem. Napriklad v pripade globalniho NATu, kdy natujete lidi bez verejek az ve chvili, kdy opousti hranu vasi site. Zalezi na tom, jak ma kdo sit postavenou.
Nechápu proč by to měl být neřešitelný problém - na té "hraně sítě" je přeci možno po provedení NAT (což musí být vázané na zdrojové IP adresy, nikoliv na odchozí interface) normálně routovat zpátky k těm zákazníkům s veřejnými IP adresami! Pokud to má ISP udělané jinak, je to prostě jeho chybné nastavení.
-
jo, tohle je standardní problém u ISP s určitou topologií sítě..
..je to něco na pomezí vlastností NATovaných sítí a chybou konfigu u ISPíka.
Máš dvě možnosti:
* ISPík si nastaví srcnat, aby i connections v rámci jeho sítě měly jako src adresu doopravdickou (veřejnou) adresu, tzn. adresu jeho routeru
* ty si povolíš IP rozsahy ISPíka na inputu pro tu tvoji službu.
To druhý není v zásadě nic proti ničemu. V momentě kdy máš otevřenou službu do Internetu si neuvědomuju žádný přídavný attack surface pokud se otevřeš ISP rozsahům. To že to jsou privátní adresy je vlastně jedno.
Nebo mi nějaký z bezpečnostních důvodů uniká?
-
Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou?
Přesně o tohle jde. Klient s neveřejnou se nedostane na naše veřejky. Pokud mu dá ISP veřejku tak to jde. Musel bych zřejmě na WANu povolit přístup z privátních adres (192.xxxxx, 10.xxxxx), což se mi moc nechce a proto tento dotaz vznikl.
Toto ovšem nesouvisí s ISP, ale s nastavením přímo u tebe. A ISP s tím pochopitelně nic neudělá, protože on má routování pro své klienty nějak dané a sotva bude vše měnit a každému přidělovat veřejnou IP (navíc v situaci, kdy je těch IP málo a ještě se dávají za extra příplatek, přičemž tedy valná část BFU ty veřejné IPv4 vůbec nevyužije). A popravdě nevidím důvod blokovat na tvé straně jakékoliv adresy, pakliže se nejedná o nějakou čistě "otravnou", jenž je potřeba eliminovat. A jestli se jedná o to, aby u ISP ve vnitřní síti bylo vše nastaveno tak, že jednotliví zákazníci nebudou vědět, že jde o vnitřní síť a bude se to navenek tvářit jako sítě cizí, pak na to odpověděl Jose D.
-
Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv)
Dotaz není divný. Pokud je ISP nějaký šmudla, který prostě schová své zákazníky za NAT a veřejenou IP adresu svým zákazníkům udělá DNATem, chová se to přesně takhle. Aby to fungovalo, musí vedle DNATu veřejné IP adresy dělat i SNAT zákaznických adres, aby se paket s odpovědí dostal zpět na router/NAT. Bez toho de paket s odpovědí snaží jít přímou cestou (protože cílová adresa je ve stejné síti, jako zdrojová – obě jsou to privátní adresy za NATem), tudíž neproběhne „odNATování“ paketu a počítač klienta dostane „odpověď“ od serveru, kam nic neposílal – bude tam privátní adresa serveru a ne veřejná.
-
Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.
Ne, tohle by nestačilo. Abyste klientům na privátních adresách služby zpřístupnil, musel byste zprovoznit split-horizon DNS – tj. těmhle klientům byste musel poskytovat privátní adresu vašeho serveru, ne veřejnou. Pak by komunikovali přímo s vaším serverem v rámci privátní sítě toho ISP (pokud to ISP dovolí). Tj. provoz by nešel přes NAT vašeho ISP, takže by nemohl k…azit provoz.
(Další možnost by byla natvrdo u vás přepisovat privátní adresy klientů na IP adresu NATu ISP, ale to to už by byla tak hrozná prasárna, že si to ani nechci představovat.)
Správné řešení je, ať si ISP spraví svůj DNAT, kterým vám přiděluje veřejné IP adresy – tj. ať počítá s tím, že s tou veřejnou IP adresou chtějí komunikovat i ostatní klienti jeho sítě a udělá pro ně i SNAT.
-
Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv)
Dotaz není divný. Pokud je ISP nějaký šmudla, který prostě schová své zákazníky za NAT a veřejenou IP adresu svým zákazníkům udělá DNATem, chová se to přesně takhle. Aby to fungovalo, musí vedle DNATu veřejné IP adresy dělat i SNAT zákaznických adres, aby se paket s odpovědí dostal zpět na router/NAT. Bez toho de paket s odpovědí snaží jít přímou cestou (protože cílová adresa je ve stejné síti, jako zdrojová – obě jsou to privátní adresy za NATem), tudíž neproběhne „odNATování“ paketu a počítač klienta dostane „odpověď“ od serveru, kam nic neposílal – bude tam privátní adresa serveru a ne veřejná.
ISP nemusí být vůbec žádný šmudla, protože provoz ve vlastní síti není potřeba zbytečně komplikovat, což se týká hlavně lokálních ISP. A sotva někdo z ISP předpokládá, že se na straně usera s veřejnou IP najde správce, který se jen tak rozhodne blokovat přístup z neveřejných adres, což je podstatou celého problému.
-
ISP nemusí být vůbec žádný šmudla, protože provoz ve vlastní síti není potřeba zbytečně komplikovat, což se týká hlavně lokálních ISP. A sotva někdo z ISP předpokládá, že se na straně usera s veřejnou IP najde správce, který se jen tak rozhodne blokovat přístup z neveřejných adres, což je podstatou celého problému.
Ne, není to podstatou problému. Podstatou problému je to, že ISP nedělá u DNATu veřejných adres také SNAT pro své klienty. Kdyby to dělal, bude uživatel s „veřejnou“ IP adresou (ona je to ve skutečnosti veřejná IP adresa DNATovaná na zákazníkovu privátní adresu) dostávat provoz od ostatních klientů téhož ISP s IP adresou NATu ISP – což klidně může být veřejná IP adresa.
Mimochodem, to, že ten ISP neroutuje veřejné IP adresy, ale NATuje je, dělá právě proto, že si nechce síť zbytečně komplikovat a mít v síti s privátním IP adresami rozházená zařízení s veřejnými adresami.
To, že uživatel blokuje privátní IP adresy přicházející z WAN je naprosto v pořádku. Vždyť může mít ty samé adresy i na straně LAN, tak jak by pak poznal, kam má tu adresu routovat?
-
Jinak samozřejmě pokud náhodou ISP veřejné IP adresy neNATuje ale routuje, ten SNAT bude provádět na routeru, který je mezi privátními IP adresami zákazníků a veřejnými IP adresami zákazníků, na principu to nic nemění.
-
To, že uživatel blokuje privátní IP adresy přicházející z WAN je naprosto v pořádku. Vždyť může mít ty samé adresy i na straně LAN, tak jak by pak poznal, kam má tu adresu routovat?
To jako všichni, jenž mají veřejnou IP adresu, aby podle tebe začali blokovat příchozí provoz z neveřejných IP? LOL, to nemá chybu :D
Jinak každý ISP, který používá uvedené řešení, tak nedává zákazníkům IP z rozsahu neveřejných adres v třídě C, tj. nedává 192.168.xxx.xxx a tedy žádné ty samé adresy na straně LAN nehrozí a každý s home routerem může být zcela v klidu.
Mimochodem kolika lidem poskytuješ připojení k netu? Jenom pro info...
-
To jako všichni, jenž mají veřejnou IP adresu, aby podle tebe začali blokovat příchozí provoz z neveřejných IP? LOL, to nemá chybu :D
Nikoli. Všichni by měli na WAN blokovat provoz, který má jako odchozí adresy privátní rozsahy. Protože na ně nemají jak odpovědět. Dokonce to máte napsané v RFC 1812 v sekci 5.3.7 (https://datatracker.ietf.org/doc/html/rfc1812#section-5.3.7).
Výjimkou jsou případy, kdy by WAN byla záměrně připojená i do jiné privátní sítě, ne jen do internetu – ale pokud má někdo složitější topologii sítě, snad ví, co dělá, a umí to správně nastavit.
Jinak každý ISP, který používá uvedené řešení, tak nedává zákazníkům IP z rozsahu neveřejných adres v třídě C, tj. nedává 192.168.xxx.xxx a tedy žádné ty samé adresy na straně LAN nehrozí a každý s home routerem může být zcela v klidu.
To je úplně jedno. Zákazník může ve své síti používat kteroukoli z privátních sítí. Může tam mít třeba připojení do velké VPN, u které bude dobrý důvod používat třeba 10.0.0.0/8. To, že vy si neumíte představit nic většího, než třídu C, je váš problém.
Naopak ISP by pro sítě za NATem neměl používat privátní adresy, pro tyhle účely je vyhrazen blok 100.64.0.0/10.
Mimochodem kolika lidem poskytuješ připojení k netu? Jenom pro info...
Já hlavně doufám, že vy se držíte co nejdál od sítí, když se tváříte, že tomu rozumíte, ale píšete hlouposti.
-
Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.
Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil (a máš pocit, že tady s tím někoho ohromíš, byť vůbec nevíš, která bije). To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).
Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.
-
Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.
Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil (a máš pocit, že tady s tím někoho ohromíš, byť vůbec nevíš, která bije). To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).
Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.
Musim suhlasit s Jirsakom, toto tu je absolutny blabol, alebo neprecitanie si povodneho prispevku, alebo averzia k Jirsakovi .... Z toho co napisal JSOB usudzujem, ze sa nejedna o home usera, ale firmu s jednym serverom, alebo celou farmou "s par sluzbami" ... kludne moze pouzivat vnutorne 10.x rozsah to nebolo definovane, v zasade mal otazku ci vadi bezpecnosti ak na WAN povoli komunikaciu pre LANkove rozsahy 10./8,172.16./12,192.168./16 ... napis k tomu nieco aj so security podtextom inak sa na to vykasli ....
-
Kdyby se jednalo o firemní připojení, tak si to firma dojedná přímo s ISP a nebude tady vůbec takový dotaz (který je zjevně na home připojení nebo max. nějaké rádoby-firemní, ale ve skutečnosti home).
A že lokální ISP používají řešení, které se někomu neznalému může zdát divné, to je prostě fakt a neználkům nezbývá, než se s tím smířit. Ono to totiž v praxi bývá tak, že lokální ISP dodá koncákům modem/router, ten je nastavený a tím to hasne. Nikdo nemá potřebu měnit jakési rozsahy v routeru do vnitřní sítě a zabývat se nesmysly. A jenom trouba, co lokální sítě nezná, tady bude vypisovat jakási svoje moudra o tom, jak to má vypadat. Ať si jde dotyčný dělat svoje sítě a může všem ukázat, zač je toho loket, když tady v debatě má řečí jak Palacký...
-
Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.
Koncový uživatel by neměl mít potřebu to blokovat, protože to za něj má dělat ISP. Ale je v pořádku, pokud to koncový uživatel dělá.
Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil
Já jsem si to nevygooglil, nepotřebuju googlit věci, které znám. Vy jste si to možná vygooglil, ale evidentně vám to nepomohlo, protože jste to stejně nepochopil. Koncový zákazník samozřejmě do velké VPN může být připojen. Koncový zákazník je třeba člověk, které se z domova připojuje do velké korporátní VPN. Nebo může být koncový zákazník malá pobočka nějaké velké firmy, která je propojena právě pomocí VPN.
To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).
Tak si nastudujte, k čemu se používá VPN. Je to pro to, aby se do té interní sítě někdo dostal i z jiné sítě, přes internet. Když pracuje zaměstnanec z domova, připojuje se právě přes VPN. A ten zaměstnanec se k internetu nepřipojuje přes internetové připojení firmy (že bu mu vedla optika z firmy až domů), ale připojuje se k internetu přes nějakého ISP v místě svého bydliště, což může být klidně nějaký wifinář.
Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.
Ano, příspěvky jednoho z nás dvou jsou naprosto zmatené. Ale ty moje to nejsou.
-
Opět máš další post do sbírky, gratuluji. Ale jak jsem psal, obsahově je to jenom žumpa bez hlavy a paty, dál je na tebe ztráta času reagovat.
-
Jenom ještě poznámka, že slova "Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly" se vztahovala k tomu, že si běžný user nebude takovou VPN provozovat, což jasně vyplynulo z kontextu diskuze. Pochopitelně Jirsák to zase obrátil jak se mu to hodí a začne tady vypisovat cosi o tom, že se koncový zákazník kamsi připojuje. Což samozřejmě může a je úplně šumák, jestli je v nějaké síti lokálního ISP na neveřejné IP adrese, protože jakmile provoz opustí tuto vnitřní neveřejnou síť lokálního ISP, pak už nějaký rozsah a třída této neveřejné sítě nikoho mimo tuto síť nezajímá (radši jsem to napsal tak polopaticky, aby to zase nemohl někdo otočit k obrazu svému a vykládat jinak).
-
Jenom ještě poznámka, že slova "Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly" se vztahovala k tomu, že si běžný user nebude takovou VPN provozovat, což jasně vyplynulo z kontextu diskuze. Pochopitelně Jirsák to zase obrátil jak se mu to hodí a začne tady vypisovat cosi o tom, že se koncový zákazník kamsi připojuje. Což samozřejmě může a je úplně šumák, jestli je v nějaké síti lokálního ISP na neveřejné IP adrese, protože jakmile provoz opustí tuto vnitřní neveřejnou síť lokálního ISP, pak už nějaký rozsah a třída této neveřejné sítě nikoho mimo tuto síť nezajímá (radši jsem to napsal tak polopaticky, aby to zase nemohl někdo otočit k obrazu svému a vykládat jinak).
Ano, z kontextu diskuse to vyplynulo. Já jsem s tím také počítal, a upozornil jsem vás na takovou maličkost, kterou vy nevíte. Totiž že u VPN nezáleží na tom, kde máte nějaký VPN server, router, nebo koncentrátor, ale síťově jsou VPN ovlivněni i klienti té VPN.
Takže abyste se seznámil s jednoduchým příkladem, jak funguje VPN: Firma používá třeba síť 10.0.0.0/16, na 10.0.0.10 bude mít svůj poštovní server, na 10.0.0.12 intranet, na 10.0.0.15 Sambu. Třeba 10.0.160.0/20 vyhradí pro VPN. Zaměstnanec firmy se z domova připojí do VPN, takže dostane adresu třeba 10.0.160.179 a zároveň se mu do routovací tabulky přidá záznam, že 10.0.0.0/16 se má routovat skrze tu VPN. A to je drobnost, která vám unikla. Protože jakmile tam bude mít jiný routovací záznam pro stejnou síť nebo její část, něco přestane fungovat.
Možná byste chtěl argumentovat, že zaměstnanec se do té VPN připojuje z koncového zařízení ve své síti a ne z routeru své sítě. Ano, v drtivé většině případů ano, ale nemusí to tak být ve 100 % případů. Ale hlavně nemusí jít o připojení zaměstnance, ale může se takhle připojovat nějaká malá pobočka. A tam už se nebude připojovat každý zvlášť ze svého počítače, ale připojí se právě ten router, aby do té VPN byla připojena celá pobočka.
No a o nějaké takové malé firmě byla nejspíš v dotazu řeč. Protože domácí uživatel by asi nepsal „mám pár serverů na veřejných IP adresách“. A velká firma by asi zase nepsala „máme pár serverů na veřejných IP adresách, náš ISP není schopen k nám správně směrovat provoz na tyto adresy a v konfiguraci routeru mám nějaký knoflík, můžu ho zmáčknout?“
Takže bych vám doporučil, abyste zde přestal poučovat ostatní, když jste ani nepochopil, o čem je v dotazu řeč a nechápete ani odpovědi.
-
Tady bude odpověď velmi stručná - pokud zaměstnanec (natož nějaká pobočka) používá VPN, tak má jistě firma IT specialistu a ten si s tím u zaměstnance poradí (nepochybně IT specialista řeší u VPN celou řadu obtíží, než jenom příp. shodu rozsahu sítí). A není tudíž nutné malovat Jirsákovské čerty na zeď a strašit okolí, jaký to bude údajně nepřekonatelný problém v lokální síti ISP s neveřejnými IP adresami :P
-
Tady bude odpověď velmi stručná - pokud zaměstnanec (natož nějaká pobočka) používá VPN, tak má jistě firma IT specialistu a ten si s tím u zaměstnance poradí (nepochybně IT specialista řeší u VPN celou řadu obtíží, než jenom příp. shodu rozsahu sítí). A není tudíž nutné malovat Jirsákovské čerty na zeď a strašit okolí, jaký to bude údajně nepřekonatelný problém v lokální síti ISP s neveřejnými IP adresami :P
Já jsem netvrdil, že to bude nepřekonatelný problém. Ale pokud bude jeden router připojen do dvou různých sítí s překrývajícími se rozsahy, bude to dost velký problém.
Nicméně VPN je jenom jeden z příkladů, kdy to může způsobit problém. Podstatné je ale to, že ISP připojuje své zákazníky do internetu, WAN rozhraní zákazníkova routeru je tedy připojené do internetu. A pakety se zdrojovou IP adresou z privátních rozsahů nemají na internetu co dělat a je zcela v pořádku je blokovat.
Ale abychom to nějak uzavřeli. Já jsem argumentoval následujícím:
- RFC 1812, RFC 1918,
- Popsal jsem dvě možné topologie sítě ISP odpovídající dotazu a pro oba dva případy jsem popsal možné řešení.
Naproti tomu A.S.2:
- Napsal, že dotaz je divný a začal řešit úplně něco jiného, než na co se tazatel ptal.
- Nenapsal nic k tomu, jak problém vyřešit.
- Neodkázal se na žádný standard.
- Vůbec neřešil, jak může vypadat síťová topologie, kde takový problém vznikne.
- Za to má spoustu ničím nepodložených dojmů.
-
Nejlepší bude, když dotyčného ISP kontaktuješ a sdělíš mu svoje rozumy. Jistě ho poleje horko, strachy zbledne, pak studem přejde do červené a nakonec pokorně přistoupí na tvoje rady, celou síť předělá a všichni budou spokojeni, nejvíc pochopitelně tvoje ego :D
-
celou síť předělá
To, že jste nepochopil ani to, jakou jednoduchou změnu má ISP udělat, aby mu začaly veřejné IP adresy fungovat správně, jste si mohl nechat pro sebe. Nebylo potřeba to hlásit.
-
Tohle by stálo za článek, nějak to osvětlit, až tato odpověď mi trochu osvětlila trochu dotaz a předchozí odpovědi. bylo to takov vágní, nepřesné, jako kdyby tazatel neuměl popsat problém a ostatní odpovídali na něco jiného
Jinak by mě zajímalo, veřejenou IP adresu svým zákazníkům udělá DNATem jde udělat přes iptables ? Já s tím umím jen porty:
PRE:
DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6789 to:192.168.1.1:443
POST:
SNAT tcp -- * wg0 0.0.0.0/0 192.168.1.1 tcp dpt:443 to:10.1.1.4
teď už z hlavy nevím jestli ten SNAT tam je fakt třeba, myslím, že to tam bylo kvůli jen kvůli wg, že jsem mu nechtěl dávat allowed-ips celý internet
(use case je jiný- port forwarding)
Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv)
Dotaz není divný. Pokud je ISP nějaký šmudla, který prostě schová své zákazníky za NAT a -, chová se to přesně takhle. Aby to fungovalo, musí vedle ***DNATu veřejné IP adresy dělat i SNAT zákaznických adres***, aby se paket s odpovědí dostal zpět na router/NAT. Bez toho de paket s odpovědí snaží jít přímou cestou (protože cílová adresa je ve stejné síti, jako zdrojová – obě jsou to privátní adresy za NATem), tudíž neproběhne „odNATování“ paketu a počítač klienta dostane „odpověď“ od serveru, kam nic neposílal – bude tam privátní adresa serveru a ne veřejná.
-
celou síť předělá
To, že jste nepochopil ani to, jakou jednoduchou změnu má ISP udělat, aby mu začaly veřejné IP adresy fungovat správně, jste si mohl nechat pro sebe. Nebylo potřeba to hlásit.
Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo :D
-
Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo :D
Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?
-
Jinak by mě zajímalo, veřejenou IP adresu svým zákazníkům udělá DNATem jde udělat přes iptables ? Já s tím umím jen porty:
Ano, DNAT může měnit i IP adresu. Třeba:
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 10.0.10.137
Pokud ISP používá ve své síti a pro klienty privátní rozsahy a nechce veřejné IP adresy routovat, použije právě DNAT. Není to ideální řešení, protože DNATovaná veřejná IP adresa není úplně plnohodnotná, ale někteří ISP to používají, protože je to nejjednodušší řešení. No a když má ISP poskytování veřejných IP adres řešené takhle, musí na provoz ze své sítě na ty DNATované veřejné IP adresy dělat i SNAT, aby se pakety vracely zpátky na ten NATující stroj. (Teda dalo by se to řešit třeba i ARP proxy, ale když už na tom zařízení máte DNAT, je nejjednodušší přidat tam druhé pravidlo pro SNAT.)
-
Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo :D
Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?
Snad ti to autor dotazu sdělí, když jsi takový odborník (=Brouk Pytlík), ne? :P
-
Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo :D
Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?
Snad ti to autor dotazu sdělí, když jsi takový odborník (=Brouk Pytlík), ne? :P
Popravdě mi až po odeslání předchozího komentáře došlo, že vy možná víte, o kterého ISP se jedná – zároveň by to vysvětlilo vaše komentáře.
Na to, abych uměl napsat jedno pravidlo do NATu, není potřeba být odborník. A já jsem alespoň něco poradil, na rozdíl od vás – vy tu jen blbě žvaníte.
-
O jakého ISP jde opravdu nevím a stejně tak nevím, proč se na to tazatele přímo nezeptáš a pak danému ISP nedáš svoji cennou radu. Když je to všechno tak triviální, jak tady naznačuješ. Jestli to ale spíš není tak, že ona triviálnost je pouze v tvých představách a daný ISP má svoji síť udělanou, že 1) změna není nijak snadno možná nebo 2) má svoje důvody, proč je to řešeno jak je. Ono od netu na dálku se to dobře mudruje, ale v praxi to pak bývá o poznání horší...
-
Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.
Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil (a máš pocit, že tady s tím někoho ohromíš, byť vůbec nevíš, která bije). To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).
Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.
Musim suhlasit s Jirsakom, toto tu je absolutny blabol, alebo neprecitanie si povodneho prispevku, alebo averzia k Jirsakovi .... Z toho co napisal JSOB usudzujem, ze sa nejedna o home usera, ale firmu s jednym serverom, alebo celou farmou "s par sluzbami" ... kludne moze pouzivat vnutorne 10.x rozsah to nebolo definovane, v zasade mal otazku ci vadi bezpecnosti ak na WAN povoli komunikaciu pre LANkove rozsahy 10./8,172.16./12,192.168./16 ... napis k tomu nieco aj so security podtextom inak sa na to vykasli ....
Ne, tohle je už je přesvědčení, že když rekvalifikovaný dojič kozlů splácal síť, že je mistr světa a ví jak se to dělá a že zákazník prostě bude držet hubu a krok
Obvykle je diskuze s F.J. hutná a náročná, ale prvních pár příspěvků ve vláknu jsou hodnotné a věcné, nesmí se to stočit v ping-pong.
Vypozoroval jsem, že
-
O jakého ISP jde opravdu nevím a stejně tak nevím, proč se na to tazatele přímo nezeptáš a pak danému ISP nedáš svoji cennou radu.
Já jsem svoji radu napsal sem. Je na tazateli, jak s tím naloží. Pokud tedy rozumné odpovědi najde mezi vašimi bláboly. Mimochodem, tazatel není první ani poslední, který se tu ptá na to, co má dělat s tím, když mu ISP poskytuje veřejnou IP adresu ale poskytuje mu jí špatně.
Já zase nevím, proč do téhle diskuse vůbec přispíváte, když nejste schopen tazateli nic poradit.
Když je to všechno tak triviální, jak tady naznačuješ. Jestli to ale spíš není tak, že ona triviálnost je pouze v tvých představách a daný ISP má svoji síť udělanou, že 1) změna není nijak snadno možná nebo 2) má svoje důvody, proč je to řešeno jak je. Ono od netu na dálku se to dobře mudruje, ale v praxi to pak bývá o poznání horší...
Problém je, že se pokoušíte diskutovat o věcech, kterým nerozumíte. Já jsem nikde nepsal, že to na 100% je triviální. Já jsem napsal, co s největší pravděpodobností způsobuje problém – a protože daný případ má jednoduché řešení, tak jsem ho popsal. A proč si myslím, že je vysoká pravděpodobnost, že je to takhle? No protože už jsem viděl několik sítí, kde to takhle bylo udělané, a už jsem viděl dost dotazů na internetu „jsem u malého ISP, poskytuje mi veřejnou IP pomocí DNATu a sousedé u stejného ISP se na mou veřejnou IP nedostanou“. Větší ISP mají síť samozřejmě řešenou jinak, jenže ti si za prvé nedovolí posílat klientům na předávací rozhraní pakety se zdrojovou IP adresou z privátního rozsahu, za druhé si nedovolí poskytnout svým zákazníkům veřejnou IP adresu způsobem, že se na ni ostatní zákazníci téhož ISP nedostanou. Zkuste se zamyslet nad tím, co by se asi stalo, kdyby takhle postupovalo třeba O2 a svým zákazníkům by poskytovalo veřejné IP adresy tak, že by se na ně ostatní zákazníci O2 nedostali.
To, že takovéhle věci nevíte, je v pořádku, nikdo neví vše. Ale proč máte potřebu se k tomu vyjadřovat a shazovat lidi, kteří to vědí a poradí ostatním, to nechápu.
-
Jediný problém je pouze ten, že ty umíš akorát mlátit hubou naprázdno na netu, ale v reálu skutek-utek. Sám poskytuješ připojení k netu jako ISP přesně 0 počtu klientů, takže o tom víš velké lejno a tvoje pseudo-rady nějakým userům jsou také k ničemu, protože pokud chceš radit a hrát si na nějakého guru v IT, pak by to muselo směřovat k ISP, který jediný může zjednat nápravu.
Takže suma sumárum, honíš tady akorát počet postů a svoje ego, ale na věci to nic nezmění a tazateli pochopitelně vůbec nepomůže.
Jinak argument s O2 (tedy spíš s Cetinem) jsem pochopitelně čekal už dávno a hned bych na to reagoval tím, že zde je řeč o lokálním ISP. A to opravdu není totéž co největší poskytovatel netu v ČR. I když tobě to z neznalosti asi všechno splývá dohromady, a jelikož sám nikomu net neposkytuješ, tak ani nepřekvapí, že jsi zcela dezorientován v dané problematice.
-
Mimochodem v celé této debatě je klíčem k řešení toto z úvodního dotazu: "Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.". Ne nějaké oduševnělé rady, co by měl dělat ISP (ten ať si dělá co chce a komu se to nelíbí, nechť si (_!_) políbí, jak praví jedno rčení).
-
Jinak argument s O2 (tedy spíš s Cetinem) jsem pochopitelně čekal už dávno a hned bych na to reagoval tím, že zde je řeč o lokálním ISP. A to opravdu není totéž co největší poskytovatel netu v ČR. I když tobě to z neznalosti asi všechno splývá dohromady, a jelikož sám nikomu net neposkytuješ, tak ani nepřekvapí, že jsi zcela dezorientován v dané problematice.
Výborně, takže už jste pochopil, že jde o lokálního ISP. Tak teď si zkuste zjistit, jaké techniky používají takoví ISP pro poskytování veřejných IP adres klientům.
Mimochodem v celé této debatě je klíčem k řešení toto z úvodního dotazu: "Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.". Ne nějaké oduševnělé rady, co by měl dělat ISP (ten ať si dělá co chce a komu se to nelíbí, nechť si (_!_) políbí, jak praví jedno rčení).
Za prvé, pokud opravdu ISP posílá na přejímací rozhraní zákazníka pakety se zdrojovou IP adresou z privátních rozsahů, je to jednoznačně chyba ISP a řešením problému je, že si to ten ISP spraví.
Za druhé, i kdyby tazatel chtěl zkoušet nějaký workaround a napravovat u sebe chybu ISP, záleží na tom, jak vypadá síť ISP – je dost možné, že zrušení toho (správného) pravidla na firewallu, které zakazuje na WAN příchozí komunikaci z privátních adres, ničemu nepomůže a komunikace od zákazníků ISP dál nebude fungovat.
Každopádně děkuji za váš nechtěný příspěvek do diskuse k NATům. Až zase někdo bude tvrdit, že má síť „schovanou a chráněnou“ za NATem, odkážu ho na vás, že vy považujete za naprosto normální, že se na WAN rozhraní objevují pakety s IP adresami z privátních sítí a vy je propouštíte do své sítě.
-
Že jde o lokálního ISP já vím už dávno, zatímco tobě tento fakt zjevně dlouhou dobu unikal :D A jak to má lokální ISP vyřešeno je jeho rozhodnutí a má pro to asi své důvody.
Tazatel nemusí nic napravovat po ISP. Tazatel má přestat nesmyslně blokovat přístup z neveřejných IP adres a bude po problému. A jestli nebude - jak tady spekuluješ - pak ať si to tazatel řeší přímo s ISP, jistě nějaké řešení najdou. A jestli ne, tak je vždy možnost změnit ISP na jiného.
Za normální považuji, že jsou lokální sítě řešeny poněkud odlišně, než sítě velké. Přičemž znovu zopakuji, že neveřejné IP adresy mohou "putovat" po síti daného ISP, ale dost těžko tuto síť opustí, takže jestli se tazateli na WAN objevuje přístup z neveřejných IP adres, pak se vždy jedná jen a pouze o interní síť jednoho ISP a není důvod se znepokojovat a vymýšlet nějaké blokace.
-
Že jde o lokálního ISP já vím už dávno, zatímco tobě tento fakt zjevně dlouhou dobu unikal :D
Jasně, mně to unikalo, a proto jsem s tím operoval hned ve své první odpovědi.
A jak to má lokální ISP vyřešeno je jeho rozhodnutí a má pro to asi své důvody.
Akorát že to řešení musí odpovídat všeobecně uznávaným standardům (např. internetovým RFC).
Tazatel nemusí nic napravovat po ISP.
Musí. Pokud tazatel něco nezatajil, třeba že by blokoval provoz nějakých veřejných nebo jiných než privátních rozsahů, pak je to problém na straně ISP.
Tazatel má přestat nesmyslně blokovat přístup z neveřejných IP adres a bude po problému.
To blokování není nesmyslné. Privátní IP adresy nemají na WAN co dělat, s výjimkou případné spojovací sítě mezi ISP a zákazníkem, pokud pro to ISP chybně používá privátní IP adresy.
A jestli nebude - jak tady spekuluješ - pak ať si to tazatel řeší přímo s ISP, jistě nějaké řešení najdou.
Ano, spekuluju, protože je to častý případ těchto lokálních ISP. Nebudu tazateli radit „rozbijte si firewall, vyřešíte problém za ISP, určitě to pomůže“, když vím, že to pomoci nemusí. A že chyba je na straně ISP a má to vyřešit on i v případě, kdyby by se problém dal obejít hackem na straně zákazníka.
A jestli ne, tak je vždy možnost změnit ISP na jiného.
V místech, kde působí tihle lokální poskytovatelé, často moc na výběr nebývá.
Za normální považuji, že jsou lokální sítě řešeny poněkud odlišně, než sítě velké. Přičemž znovu zopakuji, že neveřejné IP adresy mohou "putovat" po síti daného ISP, ale dost těžko tuto síť opustí, takže jestli se tazateli na WAN objevuje přístup z neveřejných IP adres, pak se vždy jedná jen a pouze o interní síť jednoho ISP a není důvod se znepokojovat a vymýšlet nějaké blokace.
Tak si rozmyslete, co vlastně tvrdíte. Nejprve tvrdíte, že je v pořádku, když privátní IP adresy opouštějí síť ISP a vstupují do sítě zákazníka. Pak zase tvrdíte, že privátní IP adresy těžko síť ISP opustí. Tak co teda tvrdíte? (Správně je samozřejmě to druhé. Privátní IP adresy jsou nadefinované tak, že jsou určené pro privátní sítě a nesmějí je opustit. Takže pokud se na WAN zákazníka dostane jakýkoli paket s privátní adresou jinou, než má to WAN rozhraní přiřazené, je to špatně. Znamená to, že ten paket opustil privátní síť. A takový paket má být zahozen.)
-
Ve své první odpovědi jsi hlavně operoval s tím, že je údajně "ISP nějaký šmudla". Samozřejmě aniž bys ho znal a věděl něco bližšího.
Jakési tvoje všeobecně uznávané standardy nejsou pochopitelně pro nikoho dalšího závazné a opět nezbývá než dodat, že ISP má k řešení své sítě také své důvody a jestli s tím máš problém, pak toho ISP kontaktuj a prober to s ním. Tlachání na webu asi imho k ničemu nebude.
Tazatel opravdu nic napravovat po ISP nemusí, přičemž to, jestli se mu na WAN jeho routeru objevují neveřejné IP adresy, mu může být úplně šumák. Zatím tady nebyl dodán žádný důkaz, že by neveřejné IP adresy na WAN tazatelova routeru způsobovaly nějaké obtíže, vyjma toho, když si tazatel dobrovolně tyto IP zablokoval a tím je pro sebe také znepřístupnil.
Nikdy jsem netvrdil, že by neveřejné IP adresy opouštěly síť daného ISP, to sis tak akorát vymyslel, protože já opakovaně psal ohledně neveřejných IP adres (už od strany 1), že se jedná o provoz ve vlastní síti daného ISP. Takže více číst a méně fantazírovat :P
-
Jinak tedy - případné neveřejné IP adresy z cizích sítí (což je ale čistě hypotetická věc) by zahodil sám ISP, takže je nesmysl se o tom vůbec bavit a řešit nějakou blokaci na straně tazatele. K němu by totiž tyto neveřejné IP adresy vůbec nedošly.
-
Ve své první odpovědi jsi hlavně operoval s tím, že je údajně "ISP nějaký šmudla". Samozřejmě aniž bys ho znal a věděl něco bližšího.
Informace, že mu nefunguje správně přístup veřejné IP adresy od jeho zákazníků, je postačující.
Jakési tvoje všeobecně uznávané standardy nejsou pochopitelně pro nikoho dalšího závazné
RFC opravdu nejsou moje standardy. Pořád se tu pasujete do role znalého, ale ani nevíte, co jsou RFC standardy?
Tazatel opravdu nic napravovat po ISP nemusí, přičemž to, jestli se mu na WAN jeho routeru objevují neveřejné IP adresy, mu může být úplně šumák.
Ano, tazatel nic napravovat po ISP nemusí, má to napravit ISP. Jestli s emu na WAN routeru objevují privátní IP adresy mu může být jedno a klidně je může zahazovat, protože tam nemají co dělat.
Zatím tady nebyl dodán žádný důkaz, že by neveřejné IP adresy na WAN tazatelova routeru způsobovaly nějaké obtíže, vyjma toho, když si tazatel dobrovolně tyto IP zablokoval a tím je pro sebe také znepřístupnil.
Ano, nebyl tu podán takový důkaz, což vám nebrání tvrdit, že ty privátní IP adresy potíže způsobují. Že je tazatel zablokoval a tím znepřístupnil je v pořádku, protože s žádnými privátními adresami na WAN komunikovat nemá.
Nikdy jsem netvrdil, že by neveřejné IP adresy opouštěly síť daného ISP, to sis tak akorát vymyslel, protože já opakovaně psal ohledně neveřejných IP adres (už od strany 1), že se jedná o provoz ve vlastní síti daného ISP. Takže více číst a méně fantazírovat :P
Pardon, zapomněl jsem, že sítím nerozumíte. Když chcete, aby zákazníkův router přijímal na WAN pakety se zdrojovou adresou z privátního rozsahu, a pouštěl je dál do sítě zákazníka, chcete, aby neveřejné IP adresy opouštěly síť ISP. Síť ISP totiž končí WAN rozhraním zákazníkova routeru, LAN rozhraní jeho routeru je už součástí sítě zákazníka, ne sítě ISP.
Takže ještě jednou – ve vlastní síti ať si ISP dělá s adresami co chce, ale na WAN rozhraní routeru zákazníka, což je předávací rozhraní mezi sítí ISP a sítí zákazníka, nemají privátní IP adresy co dělat. Jedinou všeobecně tolerovanou výjimkou jsou IP adresy pro spojovací síť mezi zákazníkem a ISP, pro tu se dnes (bohužel) běžně privátní adresy používají.
Jinak tedy - případné neveřejné IP adresy z cizích sítí (což je ale čistě hypotetická věc) by zahodil sám ISP, takže je nesmysl se o tom vůbec bavit a řešit nějakou blokaci na straně tazatele. K němu by totiž tyto neveřejné IP adresy vůbec nedošly.
Pokud ISP opravdu zahazuje privátní adresy z cizích sítí, než je zákazníkova síť, pak vypnutí toho pravidla na firewallu nic nezmění, protože už teď tam žádné takové pakety nepřicházejí. Ale vůbec ničemu nevadí, když zákazník takové pravidlo na svém firewallu má. To, že ho před něčím (možná) chrání ISP, neznamená, že si to nemůže pojistit i u sebe.
-
Znovu ti zopakuji - kontaktuj toho ISP a sděl mu svoje dojmy, třeba na ně dá. Další debata na toto téma je mlácením prázdné slámy.
Pokud si tazatel zablokuje přístup z neveřejných IP adres, pak ze všech, tj. i těch z vnitřní sítě ISP, což je samozřejmě špatně a není k tomu vůbec žádný důvod. A popravdě ani neznám nikoho, kdo by něco takového dělal.
A že ty si tady z totální neznalosti dané problematiky vytváříš jakési pseudo-teorie co a jak o nějakých sítích, a pak se do toho sám zamotáš, že ti úplně uniká celá debata, už není můj problém.
-
Pokud si tazatel zablokuje přístup z neveřejných IP adres, pak ze všech, tj. i těch z vnitřní sítě ISP, což je samozřejmě špatně a není k tomu vůbec žádný důvod. A popravdě ani neznám nikoho, kdo by něco takového dělal.
Není na tom vůbec nic špatně. Dělá se to proto, aby se do vnitřní sítě nedostal provoz, který tam nemá co dělat a může jít třeba o podvržené pakety.
A že ty si tady z totální neznalosti dané problematiky vytváříš jakési pseudo-teorie co a jak o nějakých sítích, a pak se do toho sám zamotáš, že ti úplně uniká celá debata, už není můj problém.
Totální neznalost problematiky jste tu předvedl akorát vy. Neznáte internetová RFC, klidně byste do své sítě pustil provoz z cizí privátní sítě, nemáte představu, jak může síť malého ISP vypadat.
-
Pokud si tazatel zablokuje přístup z neveřejných IP adres, pak ze všech, tj. i těch z vnitřní sítě ISP, což je samozřejmě špatně a není k tomu vůbec žádný důvod. A popravdě ani neznám nikoho, kdo by něco takového dělal.
Není na tom vůbec nic špatně. Dělá se to proto, aby se do vnitřní sítě nedostal provoz, který tam nemá co dělat a může jít třeba o podvržené pakety.
Ano, dělá se to na ingresu z Internetu, kde opravdu pakety z rfc1918 nemají co dělat. Nicméně tazatelem popsaný případ se ingresu z internetu moc nepodobá, spíš nějaká forma přístupu do privátní sítě ISP, a zcela zřejmé a nejjednodušší řešení je samozřejmě blokovat pouze lokální adresy, které jsou použité v jeho místní síti, a ze všech ostatních (veřejnou) službu povolit.
Optimálně podle možností routeru nějakým antispoofem, rp-filtrem apod., vypisovat do filtru interní sítě ručně je cestou do pekla a současně časovanou bombou.
O tom, že to má lokální provider zprasené by se dalo dlouze diskutovat, dost často (k jednomu takovému providerovi jsem připojený taky) to historicky vypadá tak, že nějak udělá (samozřejmě na privátkách) natovanou síť pro vesnici dvě tři, pak se mu tam objeví zákazník šťoural který chce veřejku, tak mu jí tak nějak dobastlí - v mém případě 1:1 NAT na vstupu na privátku, která na mě reálně kouká z antény. Kvůli těm pár jednotkám zákošů se mu nevyplatí to celé předělávat a u nich zase ví, že nejsou překvapení že prostě občas jim kromě z veřejek přijde něco i z 100.64/16. Jak se říká, za ty prachy to jedno leftid navíc v ipsec.conf člověk přežije ;-)
-
O tom, že to má lokální provider zprasené by se dalo dlouze diskutovat, dost často (k jednomu takovému providerovi jsem připojený taky) to historicky vypadá tak, že nějak udělá (samozřejmě na privátkách) natovanou síť pro vesnici dvě tři, pak se mu tam objeví zákazník šťoural který chce veřejku, tak mu jí tak nějak dobastlí - v mém případě 1:1 NAT na vstupu na privátku, která na mě reálně kouká z antény. Kvůli těm pár jednotkám zákošů se mu nevyplatí to celé předělávat a u nich zase ví, že nejsou překvapení že prostě občas jim kromě z veřejek přijde něco i z 100.64/16. Jak se říká, za ty prachy to jedno leftid navíc v ipsec.conf člověk přežije ;-)
Ano, tohle je skoro přesně případ, o kterém jsem psal hned ve svém prvním komentáři. Akorát že 100.64.0.0/16 není privátní rozsah, je to rozsah určený právě pro NAT ISP, takže je to v pořádku. Ale hlavně – aby tohle fungovalo, musí ISP vedle DNATu veřejné IP adresy na vaši privátní také SNATovat adresy svých zákazníků za něco, co nebude zákaznický router považovat za adresu v síti svého WAN rozhraní, ale za něco z internetu, co má poslat zpátky na bránu. Když ISP SNAT neudělá (občas na to některý zapomene), může mít zákazník na firewallu nastavený volný průchod dovnitř i ven a stejně to nebude fungovat. No a když už ISP ten SNAT dělá, stačí, aby nepoužíval adresy z privátního rozsahu. Které se na WAN zákaznického routeru prostě objevovat nesmí, protože tak jsou privátní IP adresy nadefinované – mohou se používat pouze pro komunikaci uvnitř privátní sítě.
-
Totální neznalost problematiky jste tu předvedl akorát vy. Neznáte internetová RFC, klidně byste do své sítě pustil provoz z cizí privátní sítě, nemáte představu, jak může síť malého ISP vypadat.
Jediný, kdo nemá představu, jsi ty sám, protože neprovozuješ ani jednu síť (možná tak nějakou houpací na zahradě ano), tak si nevymýšlej, že by někdo pustil do své sítě neveřejné IP ze sítí cizích. Vůbec nevíš, jak sítě fungují a "rady" z Google, kde zjevně čerpáš, jsou ti k ničemu, když tomu celému absolutně nerozumíš.
-
Ano, tohle je skoro přesně případ, o kterém jsem psal hned ve svém prvním komentáři. Akorát že 100.64.0.0/16 není privátní rozsah, je to rozsah určený právě pro NAT ISP, takže je to v pořádku. Ale hlavně – aby tohle fungovalo, musí ISP vedle DNATu veřejné IP adresy na vaši privátní také SNATovat adresy svých zákazníků za něco, co nebude zákaznický router považovat za adresu v síti svého WAN rozhraní, ale za něco z internetu, co má poslat zpátky na bránu.
Moment, tohle je nějak divné. Zákaznický router ma defaultu ven, dovnitř k zákošovi třeba jen 192.168.1.0/24, a obvykle ta síť providera nebejvá plochá, ale spíš nějaká kombinace OSPF/iBGP (neboli nexthop pro CE router je anténa na střeše, ta má zase jako nexthop nějakej PE na kostele. Aby se to doroutovalo zpátky, vůbec netřeba aby to SNATovalo za internet, stačí cokoli co se dokáže vrátit (i když za veřejku by to bylo lepší, dokážu si představit validní argumenty, proč to někdo dovnitř vlastní sítě neNATuje za veřejku, ale za privátku/nějaký privátní subnet)
BTW to jestli 100.64/10 je privátní nebo CGNAT rozsah je v našem případě irelevantní (a ve skutečnosti můj provider používá kus desítek, jen jsem nechtěl dávat přesnou identifikaci podle které by se poznal když ho tu "pomlouvám"), oboje jsou adresy, které nemají ve veřejném internetu co dělat, ale v případě připojení k síti providera na nich není nic špatného, pokud ofc nedojde ke konfliktu s adresami v LANce (i to se dá řešit, ale nekomplikujme to, tazatel kdyby to uměl řešit by se v první řadě vůbec nemusel ptát.).
Které se na WAN zákaznického routeru prostě objevovat nesmí, protože tak jsou privátní IP adresy nadefinované – mohou se používat pouze pro komunikaci uvnitř privátní sítě.
Fajn, a co s tím chcete dělat? Jednak je to slovíčkaření (veřejný internet vs. pakety od zákošů s privátními adresy providera chodí z privátního rozsahu providera....), druhá věc je čistě praktická - buď můžete být pokročilý zákazník, který když je ze strany zákoše neřešitelný problém, tak se domluvíte přímo s technikem, nebo můžete být věrozvěst-puritán, jinými slovy problémista, což stejně k absenci neveřejných adres na WANu nepovede (i malý ISP je podnikatelský subjekt, jehož smyslem existence je dle OZ tvorba zisku a kvůli dvoum lidem z několika tisíc síť předělávat nebude ani riskovat výpadek při konfigurační chybě...), zato třeba při nastavení reverze se z "kolega Vám to nastaví jak se vrátí z oběda" stane "Litujeme, ale tuto službu domácnostem neposkytujeme, pokud chcete provozovat mailserver, máme zde ceník pro business zákazníky", případně z "hmm, když Vám to občas v noci zakolísá, tak k Vám skočím a dáme tam nové pojítko v licencovaném pásmu" se stane "Podle měření Vaše připojení odpovídá smlouvě" apod.
Případně stížnostmi donutíte providera tu službu (veřejná IP) maximálně zrušit úplně, což je úplně nejhorší varianta a pár lidí z okolí Vám za to rozhodně nepoděkuje (ano, vždycky můžete zavolat na Cetin, že máte zájem o xDSL, velmi rádi Vám nacení výkop, pár metrů přes silnici to vychází kolem 150k)
-
Jediný, kdo nemá představu, jsi ty sám, protože neprovozuješ ani jednu síť (možná tak nějakou houpací na zahradě ano), tak si nevymýšlej, že by někdo pustil do své sítě neveřejné IP ze sítí cizích. Vůbec nevíš, jak sítě fungují a "rady" z Google, kde zjevně čerpáš, jsou ti k ničemu, když tomu celému absolutně nerozumíš.
Až vám dojde, že síť ISP a síť zákazníka jsou dvě různé sítě, mezi kterými nemůže být provoz privátních adres, pochopíte to.
-
Moment, tohle je nějak divné. Zákaznický router ma defaultu ven, dovnitř k zákošovi třeba jen 192.168.1.0/24, a obvykle ta síť providera nebejvá plochá, ale spíš nějaká kombinace OSPF/iBGP (neboli nexthop pro CE router je anténa na střeše, ta má zase jako nexthop nějakej PE na kostele. Aby se to doroutovalo zpátky, vůbec netřeba aby to SNATovalo za internet, stačí cokoli co se dokáže vrátit (i když za veřejku by to bylo lepší, dokážu si představit validní argumenty, proč to někdo dovnitř vlastní sítě neNATuje za veřejku, ale za privátku/nějaký privátní subnet)
Aby DNAT té veřejné IP adresy na privátní fungoval, je potřeba, aby se paket s odpovědí dostal zpět na to NATující zařízení. Protože to musí odpovědní paket „odNATovat“.
BTW to jestli 100.64/10 je privátní nebo CGNAT rozsah je v našem případě irelevantní (a ve skutečnosti můj provider používá kus desítek, jen jsem nechtěl dávat přesnou identifikaci podle které by se poznal když ho tu "pomlouvám"), oboje jsou adresy, které nemají ve veřejném internetu co dělat, ale v případě připojení k síti providera na nich není nic špatného, pokud ofc nedojde ke konfliktu s adresami v LANce (i to se dá řešit, ale nekomplikujme to, tazatel kdyby to uměl řešit by se v první řadě vůbec nemusel ptát.).
Není to jedno. Privátní adresy se nesmějí používat pro komunikaci mezi sítěmi. Naopak 100.64.0.0/16 je blok určený pro sdílení mezi ISP a jeho zákazníky. Takže to nemá zákazník na WAN blokovat a nemůže se stít, že by měl tyto adresy zákazník ve své síti.
Fajn, a co s tím chcete dělat?
Neposílat zákazníkovi pakety se zdrojovou IP adresou z privátních rozsahů.
Jednak je to slovíčkaření (veřejný internet vs. pakety od zákošů s privátními adresy providera chodí z privátního rozsahu providera....)
Není to slovíčkaření. Různé bloky IP adres jsou určené pro různé účely. Když někdo začne adresy používat pro jiné účely, způsobuje to problémy. Je to jako kdyby ISP vzal nějaké veřejné adresy úplně někoho jiného a začal je používat ve své síti, a tvrdil by, že to, že ty adresy mají být globálně unikátní, je jenom takové slovíčkaření.
druhá věc je čistě praktická - buď můžete být pokročilý zákazník, který když je ze strany zákoše neřešitelný problém, tak se domluvíte přímo s technikem, nebo můžete být věrozvěst-puritán, jinými slovy problémista, což stejně k absenci neveřejných adres na WANu nepovede
No a co třeba to udělat tak, aby to fungovalo a zákazník na WAN pakety se zdrojovou adresou z privátních rozsahů nedostával?
Bavíme se o malých ISP, kteří mají jedno nebo několik zařízení, které SNATuje provoz zákazníků do internetu a zároveň DNATuje veřejné adresy těch zákazníků, kteří mají veřejnou IP adresu. Jediné, co je potřeba, je upravit to SNATové pravidlo, které SNATuje provoz zákazníků do internetu, abys SNATovalo i provoz na ty veřejné IP adresy zákazníků. Opravdu je nepřekonatelný problém podmínku toho SNATu rozšířit? Třeba místo odchozího rozhraní dát jako podmínku to, že cílová adresa není z IP rozsahu privátních adres používaných ISP?
-
Kdyby se jednalo o firemní připojení, tak si to firma dojedná přímo s ISP a nebude tady vůbec takový dotaz (který je zjevně na home připojení nebo max. nějaké rádoby-firemní, ale ve skutečnosti home).
Jedná se slušně velkou LAN používající rozsah 192 i 10 . Prosím zkus být méně agresivní. Děkuji
-
A co jako? Co tady pořád řešíš? Přestaň blokovat neveřejné IP adresy (tak jako je neblokuje ani nikdo jiný, kdo má sám IP veřejnou), všechno bude fungovat a zdejší bláboly na 4 stranách se mohou klidně smazat, ty méně agresivní :P
-
Přestaň blokovat neveřejné IP adresy (tak jako je neblokuje ani nikdo jiný, kdo má sám IP veřejnou), všechno bude
Právě naopak, ostatní, kteří mají veřejnou IP adresu, běžně adresy z privátních rozsahů blokují. Třeba proto, že je sami používají, a fakt nechtějí, aby jim do privátní sítě lezl někdo z venku.
všechno bude fungovat
To je dost odvážné tvrzení (jako v tom vtipu: „Ten kůň není blbý, on je odvážný!“). Zejména když vám tu několik lidí popsalo, jak to v síti takového ISP často vypadá a že pak žádná úprava na firewallu zákazníka nepomůže, dokud si to nespraví ISP.
-
Tak vida, že to jde i normálně.
Ne nemám. Ale také nemám důvod si jen tak bezdůvodně blokovat přístup z neveřejných IP adres jenom proto, že bagr. Kdyby nějaké problémy byly, pak je začnu řešit se svým ISP, kterému platím. Ale v celé této debatě na 4 stranách se řeší jenom to, že si někdo zablokoval přístup z neveřejných IP adres, zjevně k tomu neměl žádný důvod, pak zjistil, že k němu nemohou přistupovat někteří jiní useři a místo, aby ten přístup povolil (tedy min. do doby, než to se svým ISP vyřeší - když má tedy vehementní potřebu to vůbec řešit), tak hledá jakousi neexistující variantu, kterou bez svého ISP prostě nemá šanci najít. A k tomu pak ten obvyklý balast od jedinců, co jenom sbírají počty postů...
-
Dobry den,
tak nejak jsem nepochopil, jak se muze tak banalni problem, resit v teto diskusi na 4 stranky, kde uz davno zanikla klicova pointa.
Bydlim v Novem Jicine a nemuzu se dostat na zadne stranky Noveho Jicina(coz mi jako obcanovi prijde docela dost divne). Mam lokalniho ISP, mam privatni IP.
Z magistratu v Novem Jicine jsem se dozvedel, ze Magistrat blokuje na svem firewallu privatni rozsahy.
Ano vim, existuje na to RFC, ale ted se dostavam k tomu podstatnemu.
Magistrat blokuje pristup z privatnich IP u sluzby, ktera je otevrena do Internetu? (porty tcp_80,443)
Vazne ma tohle nejakou logiku?
takze Magistrat se boji Privatnich Subnetu, ale uz se vlastne vubec neboji celeho verejneho IPv4 adresniho rozsahu, kde hrozi to opravdove nebezpeci?
Muj nazor je, ze tomu borci z Magistratu vubec nerozumi a misto toho, aby to vyresili na svem firewallu vymlouvaji se na ISP....za me dosti prasarna a idiotismus....a jediny kdo to odsere jsou obyvatele mesta Noveho Jicina, vcetne me.....
Lokalni ISP, pouziva Centralni NAT, coz mi prijde vpohode, ja sam tuto variantu pouzivam, NATuju na svem EDGE natovadle....samozrejme mam ty NATy 2, kvuli redundanci....
Zkusim jim napsat otevreny dopis a klidne to dam do novin, protoze jako obcan mam snad alespon nejake pravo se dostat na stranky mesta (obecne info, odpady, oteviraci doba atd atd..)
Zdarec
M.
-
mijosek
Nezbývá než vysvětlit magistrátu, že tvůj a jeho ISP je prostě dobytek, co neumí pořádně upravit pravidla ve své síti a proto by měli polevit v konfiguraci firewallu na své straně(magistrát, tady skutečně neudělal nic neobvyklého a špatného).
No a nezbývá nic jiného, než terorizovat ISP, ať tenhle stav napraví, nebo se postarat o dostatečný odliv zákazníků od takových neumětelů, aby se jim takové prasárny nevyplatilo provozovat.
Inu, nic jiného, s tím nenaděláte.
-
to LA User:
ja si vazne nemyslim, ze je chyba na strane ISP, protoze uplne stejny model, kdy mam v siti centralni NATy, pouzivam ve sve siti a menit to vazne nehodlam....design je jednoduchy a funkcni...
Kdyz jsem uplne to stejne resil s jinym Magistratem(a nasledne s cca 3 strednima skolama, kteri tam meli nejaky derivat PFsense, OPNsense atd), tak jejich IT uplne v pohode u webove sluzby, vypli restrikci na blokaci privatnich IP.....
At si to pravidlo u zbytku sluzeb nastavi a privaty si klidne blokuji, ale vazne mi to prijde nelogicke u OTEVRENEHO PORTU DO INTERNETU, blokovat privaty......
A hlavne to pravidlo, ktere to blokuje je na strane Magistratu Noveho Jicina, muj ISP nic neblokuje ;-)
Kdyby tam nekdo alespon vedel co jsou to iptables, tak si tam nastavi vyjimku a vsichni jsou spokojeni, jenze.....
nechci hazet do jednoho pytle, ale pokud stezi zvladate vymenu toneru do tiskarny, jasny ze nemate koule neco nastavit na firewallu ;-)
takze asi tak.....
M.
-
Magistrat blokuje pristup z privatnich IP u sluzby, ktera je otevrena do Internetu? (porty tcp_80,443)
Vazne ma tohle nejakou logiku?
Ano, má to logiku. Pokud má ISP správně nastavenou svou síť, privátní adresy se nemají jak na firewall magistrátu dostat. A pokud má ISP svou sít nakonfigurovanou špatně, má si konfiguraci opravit.
Magistrat blokuje pristup z privatnich IP
takze Magistrat se boji Privatnich Subnetu, ale uz se vlastne vubec neboji celeho verejneho IPv4 adresniho rozsahu, kde hrozi to opravdove nebezpeci?
Magistrát se privátních subnetů bát nemusí. Ale je to provoz, který nemá v internetu co dělat a pokud se tam vyskytne, je to chyba.
Muj nazor je, ze tomu borci z Magistratu vubec nerozumi a misto toho, aby to vyresili na svem firewallu vymlouvaji se na ISP....za me dosti prasarna a idiotismus....a jediny kdo to odsere jsou obyvatele mesta Noveho Jicina, vcetne me.....
Evidentně tomu nerozumíte vy. To není výmluva na ISP – pokud je to tak, jak se tu o tom diskutovalo, je to chyba ISP. Privátní IP rozsahy jsou privátní proto, že nejsou routovatelné ve veřejném internetu, tudíž je ISP vůbec nemá do veřejného internetu pouštět.
Zkusim jim napsat otevreny dopis a klidne to dam do novin, protoze jako obcan mam snad alespon nejake pravo se dostat na stranky mesta (obecne info, odpady, oteviraci doba atd atd..)
Než se budete veřejně ztrapňovat v novinách, zkuste pochopit, že je to problém ISP. A asi bude lepší napsat nejprve na podporu ISP než ho rovnou vláčet v novinách.
ja si vazne nemyslim, ze je chyba na strane ISP, protoze uplne stejny model, kdy mam v siti centralni NATy, pouzivam ve sve siti a menit to vazne nehodlam....design je jednoduchy a funkcni...
To, že něco používáte a nehodláte to měnit, neříká nic o tom, jestli je to správně nebo ne.
K čemu slouží které bloky IP adres je definováno v příslušných RFC. A je to tam z dobrých důvodů. IP adresy z privátních rozsahů nejsou v internetu routovatelné, takové pakety nesmějí opustit místní síť a pokud přijdou z internetu, jediná rozumná věc, co se s nimi dá udělat, je zahodit je. Protože stejně nedokážete poslat odpověď – ty adresy se nedají v internetu routovat, takže byste stejěn nevěděl, kam poslat odpověď.
A hlavne to pravidlo, ktere to blokuje je na strane Magistratu Noveho Jicina, muj ISP nic neblokuje ;-)
Váš ISP špatně překládá adresy.
Kdyby tam nekdo alespon vedel co jsou to iptables, tak si tam nastavi vyjimku a vsichni jsou spokojeni, jenze.....
Firewall nejsou jen iptables. Podstatné je ale to, aby to konfiguroval někdo, kdo rozumí sítím. To samé platí i u ISP, tam snad ještě víc. U vás je to něco jiného – to, že nerozumíte sítím, je v zásaě jen váš problém, maximálně se ztrapníte v diskusi na Rootu nebo v novinách. Ale ISP má mít svou síť nakonfigurovanou správně a na veřejné IP adresy svých zákazníků neposílat pakety s privátními IP adresami. A mezi privátními IP adresami svých zákazníků nemá dovolit komunikaci vůbec.
Mimochodem, v každé debatě o NATu se objeví někdo, kdo tvrdí, že NAT je vlastně firewall a filtruje provoz. No a pak se objeví někdo, jako vy, kdo začne tvrdit, že je legální používat ve veřejném internetu privátní adresy. A bezpečnostní průšvih je na světě.
-
ja si vazne nemyslim, ze je chyba na strane ISP, protoze uplne stejny model, kdy mam v siti centralni NATy, pouzivam ve sve siti a menit to vazne nehodlam....design je jednoduchy a funkcni...
nechci hazet do jednoho pytle, ale pokud stezi zvladate vymenu toneru do tiskarny, jasny ze nemate koule neco nastavit na firewallu ;-)
takze asi tak.....
Hehe, tato souvětí takhle za sebou... Mi přijdou úsměvná..
Faktem je, že se svět neřídí tím, co si myslíte Vy, ale platnými RFC..
A dle nich, to máte špatně jak Vy, tak i ten záhadnej ISP a je to jen a pouze, jeho chyba.