Veřejná, neveřejná IP adresa

Veřejná, neveřejná IP adresa
« kdy: 21. 06. 2019, 14:30:43 »
Ahoj,

mám nového ISP. Pevná veřejná adresa stojí pár drobných, tak jsem si ji připlatil a vím, že jich budu výhledově potřebovat víc. Byl jsem ale trochu zaražen, když jsem zjistil, že si u nich koupíte veřejnou adresu, kterou nedostanete, ale udělají vám NAT a pouze vám forwardují traffic. Když jsem se ozval, že bych si představoval, že mi to odroutují, tak to prý není klasický požadavek a prý mi to nacení. Přijde vám v pořádku, že zaplatíte za IP, kterou technicky nedostanete? Zatím nevím ani co si za to řeknou, ale zdá se mi to podivné. :)

Díky.
« Poslední změna: 24. 06. 2019, 08:07:51 od Petr Krčmář »


Re:Veřejná, neveřejná
« Odpověď #1 kdy: 21. 06. 2019, 14:57:12 »
Setkal jsem se s něčím podobným, dle názoru poskytovatele veřejná IP byla NAT 1:1. Po troše dohadování to odroutovali - peníze navíc nechtěli, ale veřejná IP od nich stojí 120 korun měsíčně.

McFly

  • *****
  • 560
    • Zobrazit profil
    • E-mail
Re:Veřejná, neveřejná
« Odpověď #2 kdy: 22. 06. 2019, 08:38:34 »
Dlouhé roky mám doma ISP, který dává neveřejné IP adresy a poskytuje NAT 1:1. Je to imho celkem běžná praktika. ;)

Re:Veřejná, neveřejná
« Odpověď #3 kdy: 22. 06. 2019, 11:36:45 »
A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.

Re:Veřejná, neveřejná
« Odpověď #4 kdy: 22. 06. 2019, 12:12:53 »
A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.

Pokud je to 1:1, tak tam žádný firewall není, to je protimluv.

Ono to štěstí člověka přejde jakmile začne chtít takové "šílenosti" jako je IPsec a musí začít řešit NAT-T. Také výborné to je u aplikací, které detekují vlasní místní IP adresu, která se pak používá pro spojení zpět. Asi nejtriviálnějším případem může být (aktivní) FTP.

Dál jsem se setkal s tím, že v těchto konfiguracích ISP předávají TCP a UDP a ostatní protokoly jsou lotynka, jestli projdou.

Prostě pokud někdo chce a platí si za veřejnou IP adresu, měla by být směrována až na interface, žádný NAT.

NAT 1:1


Re:Veřejná, neveřejná
« Odpověď #5 kdy: 22. 06. 2019, 13:06:19 »
No pokud ten provider nepatří mezi světlé výjimky, nemá rozběhaný PPPoE (a radius...) server, tak tomu docela rozumím. IPv4 adresy nejsou a víc než na 90% případů NAT 1:1 stačí. Prasárna by byla, pokud by Ti veřejku posílal na interface nějakým tunelem (třeba PPtP) a krátil ti MTU.
A nebo Ti to taky může naúčtovat tak, jako to dělá jeden lokální provider v těsné blízkosti Prahy - veřejka přes NAT 1:1 je za XX Kč, routovaná veřejka je 4x dražší (... tj. zaplatíte za alokované IP, které padnou na Váš požadavek veřejné IP adresy routované až na interface).

Ahoj,

mám nového ISP. Pevná veřejná adresa stojí pár drobných, tak jsem si ji připlatil a vím, že jich budu výhledově potřebovat víc. Byl jsem ale trochu zaražen, když jsem zjistil, že si u nich koupíte veřejnou adresu, kterou nedostanete, ale udělají vám NAT a pouze vám forwardují traffic. Když jsem se ozval, že bych si představoval, že mi to odroutují, tak to prý není klasický požadavek a prý mi to nacení. Přijde vám v pořádku, že zaplatíte za IP, kterou technicky nedostanete? Zatím nevím ani co si za to řeknou, ale zdá se mi to podivné. :)

Díky.
« Poslední změna: 22. 06. 2019, 13:09:10 od Libor Petr »

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:Veřejná, neveřejná
« Odpověď #6 kdy: 22. 06. 2019, 15:58:56 »
Pokud je to 1:1, tak tam žádný firewall není, to je protimluv.
:) :) :)
V čem je to protimluv?
Jakým způsobem omezuje statický NAT 1:1 použití např. IPS/IDS, mitigaci DoS, blokování blacklistovaných IP?

Případně bych prosil pouze odpověď na otázku (v čem je to protimluv), rozjíždějí "úhybných" témat jako, jestli tyto služby daný ISP používá nebo ne, si odpusťte  8)

McFly

  • *****
  • 560
    • Zobrazit profil
    • E-mail
Re:Veřejná, neveřejná
« Odpověď #7 kdy: 22. 06. 2019, 16:12:33 »
V čem je to protimluv?

A pokud ISP dává zákazníkovi plnohodnotnou veřejnou IP adresu, poskytuje ISP taky "firewall"? ;) Imho je to jedno, jestli je tam NAT 1:1 nebo plnohodnotná veřejná IP - buď ISP nějaký ten firewall (IPS/IDS, blacklisty, atd) má nebo nemá.

Btw u jednoho ISP mám plnohodnotnou veřejnou, u druhého ISP mám NAT 1:1, třetí ISP v práci nám routuje celý IP rozsah a portscany a podobné legrácky (z principu) vidím u všech třech... :)
« Poslední změna: 22. 06. 2019, 16:14:17 od McFly »

Re:Veřejná, neveřejná
« Odpověď #8 kdy: 23. 06. 2019, 18:15:52 »
Jak zmiňoval pan Šilhavý, je problém například s tím IPSecem. Pokud je vrcholem toho, co jsi kdy řešil forwarding ssh portu, můžeš si s natem vystačit, ale někdo chce víc. Já jsem osobně toho názoru, že pokud za tu veřejnou zaplatím, měl bych ji dostat, neznám snad nikoho, komu by NAT alespoň někdy nezpůsobil potíže.

A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.

Re:Veřejná, neveřejná
« Odpověď #9 kdy: 23. 06. 2019, 18:17:16 »
Tak mi komunikace na všechny porty prochází, ale jsem za firewallem? Jak to jde dohromady?

A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.

Re:Veřejná, neveřejná
« Odpověď #10 kdy: 23. 06. 2019, 20:58:04 »
Tak mi komunikace na všechny porty prochází, ale jsem za firewallem? Jak to jde dohromady?
Firewall blokuje provoz podle nějakých pravidel. Ta pravidla nemusí brát ohled na porty nebo to může být podmínka „port + další podmínka“. Firewall může blokovat i provoz, který žádné porty nemá (nemáme jen protokoly TCP a UDP).

Re:Veřejná, neveřejná
« Odpověď #11 kdy: 23. 06. 2019, 21:18:06 »
Firewall blokuje provoz podle nějakých pravidel. Ta pravidla nemusí brát ohled na porty nebo to může být podmínka „port + další podmínka“. Firewall může blokovat i provoz, který žádné porty nemá (nemáme jen protokoly TCP a UDP).

Doslovně vzato máte pravdu. Ve skutečnosti lidé za slovem "port" skrývají i protokoly - ale to je spíš otázka jazykovědná, než technická. (Do auta lijete taky benzín nebo naftu, ačkoliv to tak zdaleka není).

Nepatří k dobrému vychování ISP nějak extenzivně zasahovat do provozu, zejména ne tam, kde zákazník platí za veřejnou IP adresu a je tedy velmi pravděpodobné, že směr dovnitř si chce "menežovat" sám.

Re:Veřejná, neveřejná
« Odpověď #12 kdy: 23. 06. 2019, 21:42:04 »
To nic nemění na tom, že i když bude mít možnost navázat z venku spojení na libovolný port TCP i poslat UDP paket na libovolný port (a paket dorazí až na cílový počítač), pořád ještě to neznamená, že tam není firewall. Firewall může blokovat třeba pakety nepatřící do žádného spojení nebo třeba tyhle pakety. Stejně tak přítomnost firewallu nijak nesouvisí ani s tím, zda je ta IP adresa routovaná nebo zda je to řešené jako NAT 1:1.

Re:Veřejná, neveřejná
« Odpověď #13 kdy: 23. 06. 2019, 22:09:34 »
Od takového poskytovatele honem pryč. Dřív nebo později se objeví služba, která nepojede. Taky jsem měl možnost se střetnout s jedním nejmenovaným ISP patlalem, který dělal NAT 1:1. Když jsem musel používat cisco vpn k jednomu zákazníkovia nebylo cesty mu vysvětlit chybu jejich služby. Co hůř jejich "odborník" se se mnou dohadoval na chybě v konfiguraci Cisco VPN. Řešením bylo odejít ke konkurenci kde jsem měl veřejnou až "do domu" a ejhle bez jakékoliv změna všechno začalo fungovat jak mělo. Prostě dvojitý NAT není cesta nikam jinam něž do pekel.

Re:Veřejná, neveřejná
« Odpověď #14 kdy: 23. 06. 2019, 23:08:55 »
Možná laický dotaz, ale zajímalo by mě to, jak se to liší od normálního připojení k internetu plnohodnotného, případně když jsem v privátní síti za domácím ADSL NATem (spíš co to s tím bude mít společného). Čili dá se toto uspořádat takto: Plnohodnotné připojení > nebo >= Situace v dotazu > Připojení přes domácí NAT 10.0.0.4. ? Jaké jsou výhody a nevýhody konektivity vůči těm 2 modelům?

Jaká je například IP adresa providera, jaká je IP adresa např 4 jeho zákazníků bez "veřejné", 4 jeho zákazníků se touto poloveřejnou a 4 jeho zákazníků s plnoveřejnou za 4xpříplatek? Jaké jsou v těchto případech vnitřní a vnější adresy? Jsou snad některé stejné?

Bude daný komp globálně dostupné z celého internetu? Budou na sebe vidět klienti daného providera? Jak zjistíma podle čeho, že jde o tento případ "poloveřejné"  IP? Je (moje) označení "poloveřejná" korektní? Stojí dané chování providera nějaké prostředky nebo ušetří něco oproti 2 zbylým stavům v úvodu (všichni za NAT, všichni IP kvalitně)

Zajimají mě spíš praktické odpovědi
« Poslední změna: 23. 06. 2019, 23:11:24 od Pivotal »