Přístup na WAN z lokálních adres - povolit či nikoliv?

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #30 kdy: 13. 01. 2023, 22:12:48 »
Jinak by mě zajímalo, veřejenou IP adresu svým zákazníkům udělá DNATem jde udělat přes iptables ? Já s tím umím jen porty:
Ano, DNAT může měnit i IP adresu. Třeba:

Kód: [Vybrat]
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 10.0.10.137

Pokud ISP používá ve své síti a pro klienty privátní rozsahy a nechce veřejné IP adresy routovat, použije právě DNAT. Není to ideální řešení, protože DNATovaná veřejná IP adresa není úplně plnohodnotná, ale někteří ISP to používají, protože je to nejjednodušší řešení. No a když má ISP poskytování veřejných IP adres řešené takhle, musí na provoz ze své sítě na ty DNATované veřejné IP adresy dělat i SNAT, aby se pakety vracely zpátky na ten NATující stroj. (Teda dalo by se to řešit třeba i ARP proxy, ale když už na tom zařízení máte DNAT, je nejjednodušší přidat tam druhé pravidlo pro SNAT.)


A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #31 kdy: 13. 01. 2023, 22:19:31 »
Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo :D
Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?
Snad ti to autor dotazu sdělí, když jsi takový odborník (=Brouk Pytlík), ne? :P

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #32 kdy: 13. 01. 2023, 22:32:02 »
Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo :D
Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?
Snad ti to autor dotazu sdělí, když jsi takový odborník (=Brouk Pytlík), ne? :P
Popravdě mi až po odeslání předchozího komentáře došlo, že vy možná víte, o kterého ISP se jedná – zároveň by to vysvětlilo vaše komentáře.

Na to, abych uměl napsat jedno pravidlo do NATu, není potřeba být odborník. A já jsem alespoň něco poradil, na rozdíl od vás – vy tu jen blbě žvaníte.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #33 kdy: 13. 01. 2023, 22:46:53 »
O jakého ISP jde opravdu nevím a stejně tak nevím, proč se na to tazatele přímo nezeptáš a pak danému ISP nedáš svoji cennou radu. Když je to všechno tak triviální, jak tady naznačuješ. Jestli to ale spíš není tak, že ona triviálnost je pouze v tvých představách a daný ISP má svoji síť udělanou, že 1) změna není nijak snadno možná nebo 2) má svoje důvody, proč je to řešeno jak je. Ono od netu na dálku se to dobře mudruje, ale v praxi to pak bývá o poznání horší...

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #34 kdy: 13. 01. 2023, 22:56:46 »
Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.

Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil (a máš pocit, že tady s tím někoho ohromíš, byť vůbec nevíš, která bije). To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).

Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.

Musim suhlasit s Jirsakom, toto tu je absolutny blabol, alebo neprecitanie si povodneho prispevku, alebo averzia k Jirsakovi .... Z toho co napisal JSOB usudzujem, ze sa nejedna o home usera, ale firmu s jednym serverom, alebo celou farmou "s par sluzbami" ... kludne moze pouzivat vnutorne 10.x rozsah to nebolo definovane, v zasade mal otazku ci vadi bezpecnosti ak na WAN povoli komunikaciu pre LANkove rozsahy 10./8,172.16./12,192.168./16 ... napis k tomu nieco aj so security podtextom inak sa na to vykasli ....
Ne, tohle je už je přesvědčení, že když rekvalifikovaný dojič kozlů splácal síť, že je mistr světa a ví jak se to dělá a že zákazník prostě bude držet hubu a krok
Obvykle je diskuze s F.J. hutná a náročná, ale prvních pár příspěvků ve vláknu jsou hodnotné a věcné, nesmí se to stočit v ping-pong.
Vypozoroval jsem, že


Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #35 kdy: 14. 01. 2023, 09:38:59 »
O jakého ISP jde opravdu nevím a stejně tak nevím, proč se na to tazatele přímo nezeptáš a pak danému ISP nedáš svoji cennou radu.
Já jsem svoji radu napsal sem. Je na tazateli, jak s tím naloží. Pokud tedy rozumné odpovědi najde mezi vašimi bláboly. Mimochodem, tazatel není první ani poslední, který se tu ptá na to, co má dělat s tím, když mu ISP poskytuje veřejnou IP adresu ale poskytuje mu jí špatně.

Já zase nevím, proč do téhle diskuse vůbec přispíváte, když nejste schopen tazateli nic poradit.

Když je to všechno tak triviální, jak tady naznačuješ. Jestli to ale spíš není tak, že ona triviálnost je pouze v tvých představách a daný ISP má svoji síť udělanou, že 1) změna není nijak snadno možná nebo 2) má svoje důvody, proč je to řešeno jak je. Ono od netu na dálku se to dobře mudruje, ale v praxi to pak bývá o poznání horší...
Problém je, že se pokoušíte diskutovat o věcech, kterým nerozumíte. Já jsem nikde nepsal, že to na 100% je triviální. Já jsem napsal, co s největší pravděpodobností způsobuje problém – a protože daný případ má jednoduché řešení, tak jsem ho popsal. A proč si myslím, že je vysoká pravděpodobnost, že je to takhle? No protože už jsem viděl několik sítí, kde to takhle bylo udělané, a už jsem viděl dost dotazů na internetu „jsem u malého ISP, poskytuje mi veřejnou IP pomocí DNATu a sousedé u stejného ISP se na mou veřejnou IP nedostanou“. Větší ISP mají síť samozřejmě řešenou jinak, jenže ti si za prvé nedovolí posílat klientům na předávací rozhraní pakety se zdrojovou IP adresou z privátního rozsahu, za druhé si nedovolí poskytnout svým zákazníkům veřejnou IP adresu způsobem, že se na ni ostatní zákazníci téhož ISP nedostanou. Zkuste se zamyslet nad tím, co by se asi stalo, kdyby takhle postupovalo třeba O2 a svým zákazníkům by poskytovalo veřejné IP adresy tak, že by se na ně ostatní zákazníci O2 nedostali.

To, že takovéhle věci nevíte, je v pořádku, nikdo neví vše. Ale proč máte potřebu se k tomu vyjadřovat a shazovat lidi, kteří to vědí a poradí ostatním, to nechápu.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #36 kdy: 14. 01. 2023, 10:09:02 »
Jediný problém je pouze ten, že ty umíš akorát mlátit hubou naprázdno na netu, ale v reálu skutek-utek. Sám poskytuješ připojení k netu jako ISP přesně 0 počtu klientů, takže o tom víš velké lejno a tvoje pseudo-rady nějakým userům jsou také k ničemu, protože pokud chceš radit a hrát si na nějakého guru v IT, pak by to muselo směřovat k ISP, který jediný může zjednat nápravu.

Takže suma sumárum, honíš tady akorát počet postů a svoje ego, ale na věci to nic nezmění a tazateli pochopitelně vůbec nepomůže.

Jinak argument s O2 (tedy spíš s Cetinem) jsem pochopitelně čekal už dávno a hned bych na to reagoval tím, že zde je řeč o lokálním ISP. A to opravdu není totéž co největší poskytovatel netu v ČR. I když tobě to z neznalosti asi všechno splývá dohromady, a jelikož sám nikomu net neposkytuješ, tak ani nepřekvapí, že jsi zcela dezorientován v dané problematice.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #37 kdy: 14. 01. 2023, 10:17:50 »
Mimochodem v celé této debatě je klíčem k řešení toto z úvodního dotazu: "Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.". Ne nějaké oduševnělé rady, co by měl dělat ISP (ten ať si dělá co chce a komu se to nelíbí, nechť si (_!_) políbí, jak praví jedno rčení).

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #38 kdy: 14. 01. 2023, 10:41:13 »
Jinak argument s O2 (tedy spíš s Cetinem) jsem pochopitelně čekal už dávno a hned bych na to reagoval tím, že zde je řeč o lokálním ISP. A to opravdu není totéž co největší poskytovatel netu v ČR. I když tobě to z neznalosti asi všechno splývá dohromady, a jelikož sám nikomu net neposkytuješ, tak ani nepřekvapí, že jsi zcela dezorientován v dané problematice.
Výborně, takže už jste pochopil, že jde o lokálního ISP. Tak teď si zkuste zjistit, jaké techniky používají takoví ISP pro poskytování veřejných IP adres klientům.

Mimochodem v celé této debatě je klíčem k řešení toto z úvodního dotazu: "Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.". Ne nějaké oduševnělé rady, co by měl dělat ISP (ten ať si dělá co chce a komu se to nelíbí, nechť si (_!_) políbí, jak praví jedno rčení).
Za prvé, pokud opravdu ISP posílá na přejímací rozhraní zákazníka pakety se zdrojovou IP adresou z privátních rozsahů, je to jednoznačně chyba ISP a řešením problému je, že si to ten ISP spraví.

Za druhé, i kdyby tazatel chtěl zkoušet nějaký workaround a napravovat u sebe chybu ISP, záleží na tom, jak vypadá síť ISP – je dost možné, že zrušení toho (správného) pravidla na firewallu, které zakazuje na WAN příchozí komunikaci z privátních adres, ničemu nepomůže a komunikace od zákazníků ISP dál nebude fungovat.

Každopádně děkuji za váš nechtěný příspěvek do diskuse k NATům. Až zase někdo bude tvrdit, že má síť „schovanou a chráněnou“ za NATem, odkážu ho na vás, že vy považujete za naprosto normální, že se na WAN rozhraní objevují pakety s IP adresami z privátních sítí a vy je propouštíte do své sítě.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #39 kdy: 14. 01. 2023, 11:01:08 »
Že jde o lokálního ISP já vím už dávno, zatímco tobě tento fakt zjevně dlouhou dobu unikal :D A jak to má lokální ISP vyřešeno je jeho rozhodnutí a má pro to asi své důvody.

Tazatel nemusí nic napravovat po ISP. Tazatel má přestat nesmyslně blokovat přístup z neveřejných IP adres a bude po problému. A jestli nebude - jak tady spekuluješ - pak ať si to tazatel řeší přímo s ISP, jistě nějaké řešení najdou. A jestli ne, tak je vždy možnost změnit ISP na jiného.

Za normální považuji, že jsou lokální sítě řešeny poněkud odlišně, než sítě velké. Přičemž znovu zopakuji, že neveřejné IP adresy mohou "putovat" po síti daného ISP, ale dost těžko tuto síť opustí, takže jestli se tazateli na WAN objevuje přístup z neveřejných IP adres, pak se vždy jedná jen a pouze o interní síť jednoho ISP a není důvod se znepokojovat a vymýšlet nějaké blokace.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #40 kdy: 14. 01. 2023, 11:19:08 »
Že jde o lokálního ISP já vím už dávno, zatímco tobě tento fakt zjevně dlouhou dobu unikal :D
Jasně, mně to unikalo, a proto jsem s tím operoval hned ve své první odpovědi.

A jak to má lokální ISP vyřešeno je jeho rozhodnutí a má pro to asi své důvody.
Akorát že to řešení musí odpovídat všeobecně uznávaným standardům (např. internetovým RFC).

Tazatel nemusí nic napravovat po ISP.
Musí. Pokud tazatel něco nezatajil, třeba že by blokoval provoz nějakých veřejných nebo jiných než privátních rozsahů, pak je to problém na straně ISP.

Tazatel má přestat nesmyslně blokovat přístup z neveřejných IP adres a bude po problému.
To blokování není nesmyslné. Privátní IP adresy nemají na WAN co dělat, s výjimkou případné spojovací sítě mezi ISP a zákazníkem, pokud pro to ISP chybně používá privátní IP adresy.

A jestli nebude - jak tady spekuluješ - pak ať si to tazatel řeší přímo s ISP, jistě nějaké řešení najdou.
Ano, spekuluju, protože je to častý případ těchto lokálních ISP. Nebudu tazateli radit „rozbijte si firewall, vyřešíte problém za ISP, určitě to pomůže“, když vím, že to pomoci nemusí. A že chyba je na straně ISP a má to vyřešit on i v případě, kdyby by se problém dal obejít hackem na straně zákazníka.

A jestli ne, tak je vždy možnost změnit ISP na jiného.
V místech, kde působí tihle lokální poskytovatelé, často moc na výběr nebývá.

Za normální považuji, že jsou lokální sítě řešeny poněkud odlišně, než sítě velké. Přičemž znovu zopakuji, že neveřejné IP adresy mohou "putovat" po síti daného ISP, ale dost těžko tuto síť opustí, takže jestli se tazateli na WAN objevuje přístup z neveřejných IP adres, pak se vždy jedná jen a pouze o interní síť jednoho ISP a není důvod se znepokojovat a vymýšlet nějaké blokace.
Tak si rozmyslete, co vlastně tvrdíte. Nejprve tvrdíte, že je v pořádku, když privátní IP adresy opouštějí síť ISP a vstupují do sítě zákazníka. Pak zase tvrdíte, že privátní IP adresy těžko síť ISP opustí. Tak co teda tvrdíte? (Správně je samozřejmě to druhé. Privátní IP adresy jsou nadefinované tak, že jsou určené pro privátní sítě a nesmějí je opustit. Takže pokud se na WAN zákazníka dostane jakýkoli paket s privátní adresou jinou, než má to WAN rozhraní přiřazené, je to špatně. Znamená to, že ten paket opustil privátní síť. A takový paket má být zahozen.)

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #41 kdy: 14. 01. 2023, 11:46:55 »
Ve své první odpovědi jsi hlavně operoval s tím, že je údajně "ISP nějaký šmudla". Samozřejmě aniž bys ho znal a věděl něco bližšího.

Jakési tvoje všeobecně uznávané standardy nejsou pochopitelně pro nikoho dalšího závazné a opět nezbývá než dodat, že ISP má k řešení své sítě také své důvody a jestli s tím máš problém, pak toho ISP kontaktuj a prober to s ním. Tlachání na webu asi imho k ničemu nebude.

Tazatel opravdu nic napravovat po ISP nemusí, přičemž to, jestli se mu na WAN jeho routeru objevují neveřejné IP adresy, mu může být úplně šumák. Zatím tady nebyl dodán žádný důkaz, že by neveřejné IP adresy na WAN tazatelova routeru způsobovaly nějaké obtíže, vyjma toho, když si tazatel dobrovolně tyto IP zablokoval a tím je pro sebe také znepřístupnil.

Nikdy jsem netvrdil, že by neveřejné IP adresy opouštěly síť daného ISP, to sis tak akorát vymyslel, protože já opakovaně psal ohledně neveřejných IP adres (už od strany 1), že se jedná o provoz ve vlastní síti daného ISP. Takže více číst a méně fantazírovat :P

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #42 kdy: 14. 01. 2023, 11:59:47 »
Jinak tedy - případné neveřejné IP adresy z cizích sítí (což je ale čistě hypotetická věc) by zahodil sám ISP, takže je nesmysl se o tom vůbec bavit a řešit nějakou blokaci na straně tazatele. K němu by totiž tyto neveřejné IP adresy vůbec nedošly.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #43 kdy: 14. 01. 2023, 12:16:27 »
Ve své první odpovědi jsi hlavně operoval s tím, že je údajně "ISP nějaký šmudla". Samozřejmě aniž bys ho znal a věděl něco bližšího.
Informace, že mu nefunguje správně přístup veřejné IP adresy od jeho zákazníků, je postačující.

Jakési tvoje všeobecně uznávané standardy nejsou pochopitelně pro nikoho dalšího závazné
RFC opravdu nejsou moje standardy. Pořád se tu pasujete do role znalého, ale ani nevíte, co jsou RFC standardy?

Tazatel opravdu nic napravovat po ISP nemusí, přičemž to, jestli se mu na WAN jeho routeru objevují neveřejné IP adresy, mu může být úplně šumák.
Ano, tazatel nic napravovat po ISP nemusí, má to napravit ISP. Jestli s emu na WAN routeru objevují privátní IP adresy mu může být jedno a klidně je může zahazovat, protože tam nemají co dělat.

Zatím tady nebyl dodán žádný důkaz, že by neveřejné IP adresy na WAN tazatelova routeru způsobovaly nějaké obtíže, vyjma toho, když si tazatel dobrovolně tyto IP zablokoval a tím je pro sebe také znepřístupnil.
Ano, nebyl tu podán takový důkaz, což vám nebrání tvrdit, že ty privátní IP adresy potíže způsobují. Že je tazatel zablokoval a tím znepřístupnil je v pořádku, protože s žádnými privátními adresami na WAN komunikovat nemá.

Nikdy jsem netvrdil, že by neveřejné IP adresy opouštěly síť daného ISP, to sis tak akorát vymyslel, protože já opakovaně psal ohledně neveřejných IP adres (už od strany 1), že se jedná o provoz ve vlastní síti daného ISP. Takže více číst a méně fantazírovat :P
Pardon, zapomněl jsem, že sítím nerozumíte. Když chcete, aby zákazníkův router přijímal na WAN pakety se zdrojovou adresou z privátního rozsahu, a pouštěl je dál do sítě zákazníka, chcete, aby neveřejné IP adresy opouštěly síť ISP. Síť ISP totiž končí WAN rozhraním zákazníkova routeru, LAN rozhraní jeho routeru je už součástí sítě zákazníka, ne sítě ISP.

Takže ještě jednou – ve vlastní síti ať si ISP dělá s adresami co chce, ale na WAN rozhraní routeru zákazníka, což je předávací rozhraní mezi sítí ISP a sítí zákazníka, nemají privátní IP adresy co dělat. Jedinou všeobecně tolerovanou výjimkou jsou IP adresy pro spojovací síť mezi zákazníkem a ISP, pro tu se dnes (bohužel) běžně privátní adresy používají.

Jinak tedy - případné neveřejné IP adresy z cizích sítí (což je ale čistě hypotetická věc) by zahodil sám ISP, takže je nesmysl se o tom vůbec bavit a řešit nějakou blokaci na straně tazatele. K němu by totiž tyto neveřejné IP adresy vůbec nedošly.
Pokud ISP opravdu zahazuje privátní adresy z cizích sítí, než je zákazníkova síť, pak vypnutí toho pravidla na firewallu nic nezmění, protože už teď tam žádné takové pakety nepřicházejí. Ale vůbec ničemu nevadí, když zákazník takové pravidlo na svém firewallu má. To, že ho před něčím (možná) chrání ISP, neznamená, že si to nemůže pojistit i u sebe.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #44 kdy: 14. 01. 2023, 12:34:09 »
Znovu ti zopakuji - kontaktuj toho ISP a sděl mu svoje dojmy, třeba na ně dá. Další debata na toto téma je mlácením prázdné slámy.

Pokud si tazatel zablokuje přístup z neveřejných IP adres, pak ze všech, tj. i těch z vnitřní sítě ISP, což je samozřejmě špatně a není k tomu vůbec žádný důvod. A popravdě ani neznám nikoho, kdo by něco takového dělal.
A že ty si tady z totální neznalosti dané problematiky vytváříš jakési pseudo-teorie co a jak o nějakých sítích, a pak se do toho sám zamotáš, že ti úplně uniká celá debata, už není můj problém.