Přístup na WAN z lokálních adres - povolit či nikoliv?

JSOB

Máme od místního poskytovatele konektivitu s několika veřejnými IP. Klienti tohoto poskytovatele na privatních IP se bohužel nemohou dostat na ty naše přidělené veřejné IP, kde běží nějaké služby. Pokud klient má od poskytovatele veřejnou IP tak mu to jde.
Rovněž to postrádá princip samotného internetu, kdy by neměl mít jakýkoliv počítač do něj připojen (klidně přes NAT) přístup na kteroukoliv veřejnou IP.

Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.

Jaký problém může vyvstat když toto pravidlo povolím? Nebo lepší apelovat na  poskytovatele, ať se jeho klienti s privatni IP chovají jako s veřejnou IP?
Předem děkuji za odpovědi.
« Poslední změna: 11. 01. 2023, 11:02:37 od Petr Krčmář »


Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #1 kdy: 11. 01. 2023, 11:49:49 »
Citace
Nebo lepší apelovat na  poskytovatele, ať se jeho klienti s privatni IP chovají jako s veřejnou IP?
Přesně tohle je nejlepší řešení. Ale otázkou je, jestli to u toho ISP je vůbec možné.

Medo77

  • ***
  • 229
    • Zobrazit profil
    • E-mail
Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #2 kdy: 11. 01. 2023, 19:27:23 »
Oni musia mat nejaku verejku, aj ked spolocnu. Staci isp donutit aby sa museli otocit cez jeho wanove rozhranie smerom k tebe a nie ako teraz, ze mozu ist priamo na teba.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #3 kdy: 11. 01. 2023, 22:20:18 »
Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv), např. na veřejné IP poběží FTP server, tak se tam dostane každý user, ať má on sám veřejnou nebo neveřejnou IP. A pokud jde o to, kdo se může dostat ke službám, jenž běží na veřejné IP adrese, tak to může úplně každý a je pouze věcí správce těchto služeb, aby si zajistil takovou bezpečnost, že se tam nedostane nikdo nepovolaný.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #4 kdy: 12. 01. 2023, 05:11:57 »
Oni musia mat nejaku verejku, aj ked spolocnu. Staci isp donutit aby sa museli otocit cez jeho wanove rozhranie smerom k tebe a nie ako teraz, ze mozu ist priamo na teba.

Coz je prave v nekterych topologiich siti takrka neresitelny problem. Napriklad v pripade globalniho NATu, kdy natujete lidi bez verejek az ve chvili, kdy opousti hranu vasi site. Zalezi na tom, jak ma kdo sit postavenou.


JSOB

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #5 kdy: 12. 01. 2023, 10:12:36 »
Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou?
Přesně o tohle jde. Klient s neveřejnou se nedostane na naše veřejky. Pokud mu dá ISP veřejku tak to jde. Musel bych zřejmě na WANu povolit přístup z privátních adres (192.xxxxx, 10.xxxxx), což se mi moc nechce a proto tento dotaz vznikl.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #6 kdy: 12. 01. 2023, 10:57:31 »
Oni musia mat nejaku verejku, aj ked spolocnu. Staci isp donutit aby sa museli otocit cez jeho wanove rozhranie smerom k tebe a nie ako teraz, ze mozu ist priamo na teba.

Coz je prave v nekterych topologiich siti takrka neresitelny problem. Napriklad v pripade globalniho NATu, kdy natujete lidi bez verejek az ve chvili, kdy opousti hranu vasi site. Zalezi na tom, jak ma kdo sit postavenou.

Nechápu proč by to měl být neřešitelný problém - na té "hraně sítě" je přeci možno po provedení NAT (což musí být vázané na zdrojové IP adresy, nikoliv na odchozí interface) normálně routovat zpátky k těm zákazníkům s veřejnými IP adresami! Pokud to má ISP udělané jinak, je to prostě jeho chybné nastavení.

Jose D

  • *****
  • 770
    • Zobrazit profil
Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #7 kdy: 12. 01. 2023, 14:01:55 »
jo, tohle je standardní problém u ISP s určitou topologií sítě..
..je to něco na pomezí vlastností NATovaných sítí a chybou konfigu u ISPíka.

Máš dvě možnosti:
* ISPík si nastaví srcnat, aby i connections v rámci jeho sítě měly jako src adresu doopravdickou (veřejnou) adresu, tzn. adresu jeho routeru
* ty si povolíš IP rozsahy ISPíka na inputu pro tu tvoji službu.

To druhý není v zásadě nic proti ničemu. V momentě kdy máš otevřenou službu do Internetu si neuvědomuju žádný přídavný attack surface pokud se otevřeš ISP rozsahům. To že to jsou privátní adresy je vlastně jedno.

Nebo mi nějaký z bezpečnostních důvodů uniká?

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #8 kdy: 12. 01. 2023, 14:59:10 »
Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou?
Přesně o tohle jde. Klient s neveřejnou se nedostane na naše veřejky. Pokud mu dá ISP veřejku tak to jde. Musel bych zřejmě na WANu povolit přístup z privátních adres (192.xxxxx, 10.xxxxx), což se mi moc nechce a proto tento dotaz vznikl.
Toto ovšem nesouvisí s ISP, ale s nastavením přímo u tebe. A ISP s tím pochopitelně nic neudělá, protože on má routování pro své klienty nějak dané a sotva bude vše měnit a každému přidělovat veřejnou IP (navíc v situaci, kdy je těch IP málo a ještě se dávají za extra příplatek, přičemž tedy valná část BFU ty veřejné IPv4 vůbec nevyužije). A popravdě nevidím důvod blokovat na tvé straně jakékoliv adresy, pakliže se nejedná o nějakou čistě "otravnou", jenž je potřeba eliminovat. A jestli se jedná o to, aby u ISP ve vnitřní síti bylo vše nastaveno tak, že jednotliví zákazníci nebudou vědět, že jde o vnitřní síť a bude se to navenek tvářit jako sítě cizí, pak na to odpověděl Jose D.
« Poslední změna: 12. 01. 2023, 15:02:56 od A.S.2 »

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #9 kdy: 12. 01. 2023, 21:19:22 »
Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv)
Dotaz není divný. Pokud je ISP nějaký šmudla, který prostě schová své zákazníky za NAT a veřejenou IP adresu svým zákazníkům udělá DNATem, chová se to přesně takhle. Aby to fungovalo, musí vedle DNATu veřejné IP adresy dělat i SNAT zákaznických adres, aby se paket s odpovědí dostal zpět na router/NAT. Bez toho de paket s odpovědí snaží jít přímou cestou (protože cílová adresa je ve stejné síti, jako zdrojová – obě jsou to privátní adresy za NATem), tudíž neproběhne „odNATování“ paketu a počítač klienta dostane „odpověď“ od serveru, kam nic neposílal – bude tam privátní adresa serveru a ne veřejná.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #10 kdy: 12. 01. 2023, 21:24:01 »
Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.
Ne, tohle by nestačilo. Abyste klientům na privátních adresách služby zpřístupnil, musel byste zprovoznit split-horizon DNS – tj. těmhle klientům byste musel poskytovat privátní adresu vašeho serveru, ne veřejnou. Pak by komunikovali přímo s vaším serverem v rámci privátní sítě toho ISP (pokud to ISP dovolí). Tj. provoz by nešel přes NAT vašeho ISP, takže by nemohl k…azit provoz.

(Další možnost by byla natvrdo u vás přepisovat privátní adresy klientů na IP adresu NATu ISP, ale to to už by byla tak hrozná prasárna, že si to ani nechci představovat.)

Správné řešení je, ať si ISP spraví svůj DNAT, kterým vám přiděluje veřejné IP adresy – tj. ať počítá s tím, že s tou veřejnou IP adresou chtějí komunikovat i ostatní klienti jeho sítě a udělá pro ně i SNAT.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #11 kdy: 12. 01. 2023, 21:41:49 »
Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv)
Dotaz není divný. Pokud je ISP nějaký šmudla, který prostě schová své zákazníky za NAT a veřejenou IP adresu svým zákazníkům udělá DNATem, chová se to přesně takhle. Aby to fungovalo, musí vedle DNATu veřejné IP adresy dělat i SNAT zákaznických adres, aby se paket s odpovědí dostal zpět na router/NAT. Bez toho de paket s odpovědí snaží jít přímou cestou (protože cílová adresa je ve stejné síti, jako zdrojová – obě jsou to privátní adresy za NATem), tudíž neproběhne „odNATování“ paketu a počítač klienta dostane „odpověď“ od serveru, kam nic neposílal – bude tam privátní adresa serveru a ne veřejná.
ISP nemusí být vůbec žádný šmudla, protože provoz ve vlastní síti není potřeba zbytečně komplikovat, což se týká hlavně lokálních ISP. A sotva někdo z ISP předpokládá, že se na straně usera s veřejnou IP najde správce, který se jen tak rozhodne blokovat přístup z neveřejných adres, což je podstatou celého problému.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #12 kdy: 12. 01. 2023, 22:07:04 »
ISP nemusí být vůbec žádný šmudla, protože provoz ve vlastní síti není potřeba zbytečně komplikovat, což se týká hlavně lokálních ISP. A sotva někdo z ISP předpokládá, že se na straně usera s veřejnou IP najde správce, který se jen tak rozhodne blokovat přístup z neveřejných adres, což je podstatou celého problému.
Ne, není to podstatou problému. Podstatou problému je to, že ISP nedělá u DNATu veřejných adres také SNAT pro své klienty. Kdyby to dělal, bude uživatel s „veřejnou“ IP adresou (ona je to ve skutečnosti veřejná IP adresa DNATovaná na zákazníkovu privátní adresu) dostávat provoz od ostatních klientů téhož ISP s IP adresou NATu ISP – což klidně může být veřejná IP adresa.

Mimochodem, to, že ten ISP neroutuje veřejné IP adresy, ale NATuje je, dělá právě proto, že si nechce síť zbytečně komplikovat a mít v síti s privátním IP adresami rozházená zařízení s veřejnými adresami.

To, že uživatel blokuje privátní IP adresy přicházející z WAN je naprosto v pořádku. Vždyť může mít ty samé adresy i na straně LAN, tak jak by pak poznal, kam má tu adresu routovat?

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #13 kdy: 12. 01. 2023, 22:16:39 »
Jinak samozřejmě pokud náhodou ISP veřejné IP adresy neNATuje ale routuje, ten SNAT bude provádět na routeru, který je mezi privátními IP adresami zákazníků a veřejnými IP adresami zákazníků, na principu to nic nemění.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #14 kdy: 12. 01. 2023, 22:58:07 »
To, že uživatel blokuje privátní IP adresy přicházející z WAN je naprosto v pořádku. Vždyť může mít ty samé adresy i na straně LAN, tak jak by pak poznal, kam má tu adresu routovat?
To jako všichni, jenž mají veřejnou IP adresu, aby podle tebe začali blokovat příchozí provoz z neveřejných IP? LOL, to nemá chybu :D
Jinak každý ISP, který používá uvedené řešení, tak nedává zákazníkům IP z rozsahu neveřejných adres v třídě C, tj. nedává 192.168.xxx.xxx a tedy žádné ty samé adresy na straně LAN nehrozí a každý s home routerem může být zcela v klidu.
Mimochodem kolika lidem poskytuješ připojení k netu? Jenom pro info...