Přístup na WAN z lokálních adres - povolit či nikoliv?

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #45 kdy: 14. 01. 2023, 12:48:20 »
Pokud si tazatel zablokuje přístup z neveřejných IP adres, pak ze všech, tj. i těch z vnitřní sítě ISP, což je samozřejmě špatně a není k tomu vůbec žádný důvod. A popravdě ani neznám nikoho, kdo by něco takového dělal.
Není na tom vůbec nic špatně. Dělá se to proto, aby se do vnitřní sítě nedostal provoz, který tam nemá co dělat a může jít třeba o podvržené pakety.

A že ty si tady z totální neznalosti dané problematiky vytváříš jakési pseudo-teorie co a jak o nějakých sítích, a pak se do toho sám zamotáš, že ti úplně uniká celá debata, už není můj problém.
Totální neznalost problematiky jste tu předvedl akorát vy. Neznáte internetová RFC, klidně byste do své sítě pustil provoz z cizí privátní sítě, nemáte představu, jak může síť malého ISP vypadat.


Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #46 kdy: 15. 01. 2023, 04:14:14 »
Pokud si tazatel zablokuje přístup z neveřejných IP adres, pak ze všech, tj. i těch z vnitřní sítě ISP, což je samozřejmě špatně a není k tomu vůbec žádný důvod. A popravdě ani neznám nikoho, kdo by něco takového dělal.
Není na tom vůbec nic špatně. Dělá se to proto, aby se do vnitřní sítě nedostal provoz, který tam nemá co dělat a může jít třeba o podvržené pakety.
Ano, dělá se to na ingresu z Internetu, kde opravdu pakety z rfc1918 nemají co dělat. Nicméně tazatelem popsaný případ se ingresu z internetu moc nepodobá, spíš nějaká forma přístupu do privátní sítě ISP, a zcela zřejmé a nejjednodušší řešení je samozřejmě blokovat pouze lokální adresy, které jsou použité v jeho místní síti, a ze všech ostatních (veřejnou) službu povolit.
Optimálně podle možností routeru nějakým antispoofem, rp-filtrem apod., vypisovat do filtru interní sítě ručně je cestou do pekla a současně časovanou bombou.

O tom, že to má lokální provider zprasené by se dalo dlouze diskutovat, dost často (k jednomu takovému providerovi jsem připojený taky) to historicky vypadá tak, že nějak udělá (samozřejmě na privátkách) natovanou síť pro vesnici dvě tři, pak se mu tam objeví zákazník šťoural který chce veřejku, tak mu jí tak nějak dobastlí - v mém případě 1:1 NAT na vstupu na privátku, která na mě reálně kouká z antény. Kvůli těm pár jednotkám zákošů se mu nevyplatí to celé předělávat a u nich zase ví, že nejsou překvapení že prostě občas jim kromě z veřejek přijde něco i z 100.64/16. Jak se říká, za ty prachy to jedno leftid navíc v ipsec.conf člověk přežije ;-)

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #47 kdy: 15. 01. 2023, 09:32:55 »
O tom, že to má lokální provider zprasené by se dalo dlouze diskutovat, dost často (k jednomu takovému providerovi jsem připojený taky) to historicky vypadá tak, že nějak udělá (samozřejmě na privátkách) natovanou síť pro vesnici dvě tři, pak se mu tam objeví zákazník šťoural který chce veřejku, tak mu jí tak nějak dobastlí - v mém případě 1:1 NAT na vstupu na privátku, která na mě reálně kouká z antény. Kvůli těm pár jednotkám zákošů se mu nevyplatí to celé předělávat a u nich zase ví, že nejsou překvapení že prostě občas jim kromě z veřejek přijde něco i z 100.64/16. Jak se říká, za ty prachy to jedno leftid navíc v ipsec.conf člověk přežije ;-)
Ano, tohle je skoro přesně případ, o kterém jsem psal hned ve svém prvním komentáři. Akorát že 100.64.0.0/16 není privátní rozsah, je to rozsah určený právě pro NAT ISP, takže je to v pořádku. Ale hlavně – aby tohle fungovalo, musí ISP vedle DNATu veřejné IP adresy na vaši privátní také SNATovat adresy svých zákazníků za něco, co nebude zákaznický router považovat za adresu v síti svého WAN rozhraní, ale za něco z internetu, co má poslat zpátky na bránu. Když ISP SNAT neudělá (občas na to některý zapomene), může mít zákazník na firewallu nastavený volný průchod dovnitř i ven a stejně to nebude fungovat. No a když už ISP ten SNAT dělá, stačí, aby nepoužíval adresy z privátního rozsahu. Které se na WAN zákaznického routeru prostě objevovat nesmí, protože tak jsou privátní IP adresy nadefinované – mohou se používat pouze pro komunikaci uvnitř privátní sítě.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #48 kdy: 15. 01. 2023, 16:52:31 »
Totální neznalost problematiky jste tu předvedl akorát vy. Neznáte internetová RFC, klidně byste do své sítě pustil provoz z cizí privátní sítě, nemáte představu, jak může síť malého ISP vypadat.
Jediný, kdo nemá představu, jsi ty sám, protože neprovozuješ ani jednu síť (možná tak nějakou houpací na zahradě ano), tak si nevymýšlej, že by někdo pustil do své sítě neveřejné IP ze sítí cizích. Vůbec nevíš, jak sítě fungují a "rady" z Google, kde zjevně čerpáš, jsou ti k ničemu, když tomu celému absolutně nerozumíš.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #49 kdy: 15. 01. 2023, 17:01:26 »

Ano, tohle je skoro přesně případ, o kterém jsem psal hned ve svém prvním komentáři. Akorát že 100.64.0.0/16 není privátní rozsah, je to rozsah určený právě pro NAT ISP, takže je to v pořádku. Ale hlavně – aby tohle fungovalo, musí ISP vedle DNATu veřejné IP adresy na vaši privátní také SNATovat adresy svých zákazníků za něco, co nebude zákaznický router považovat za adresu v síti svého WAN rozhraní, ale za něco z internetu, co má poslat zpátky na bránu.
Moment, tohle je nějak divné. Zákaznický router ma defaultu ven, dovnitř k zákošovi třeba jen 192.168.1.0/24, a obvykle ta síť providera nebejvá plochá, ale spíš nějaká kombinace OSPF/iBGP (neboli nexthop pro CE router je anténa na střeše, ta má zase jako nexthop nějakej PE na kostele. Aby se to doroutovalo zpátky, vůbec netřeba aby to SNATovalo za internet, stačí cokoli co se dokáže vrátit (i když za veřejku by to bylo lepší, dokážu si představit validní argumenty, proč to někdo dovnitř vlastní sítě neNATuje za veřejku, ale za privátku/nějaký privátní subnet)

BTW to jestli 100.64/10 je privátní nebo CGNAT rozsah je v našem případě irelevantní (a ve skutečnosti můj provider používá kus desítek, jen jsem nechtěl dávat přesnou identifikaci podle které by se poznal když ho tu "pomlouvám"), oboje jsou adresy, které nemají ve veřejném internetu co dělat, ale v případě připojení k síti providera na nich není nic špatného, pokud ofc nedojde ke konfliktu s adresami v LANce (i to se dá řešit, ale nekomplikujme to, tazatel kdyby to uměl řešit by se v první řadě vůbec nemusel ptát.).

Citace
Které se na WAN zákaznického routeru prostě objevovat nesmí, protože tak jsou privátní IP adresy nadefinované – mohou se používat pouze pro komunikaci uvnitř privátní sítě.
Fajn, a co s tím chcete dělat? Jednak je to slovíčkaření (veřejný internet vs. pakety od zákošů s privátními adresy providera chodí z privátního rozsahu providera....), druhá věc je čistě praktická - buď můžete být pokročilý zákazník, který když je ze strany zákoše neřešitelný problém, tak se domluvíte přímo s technikem, nebo můžete být věrozvěst-puritán, jinými slovy problémista, což stejně k absenci neveřejných adres na WANu nepovede (i malý ISP je podnikatelský subjekt, jehož smyslem existence je dle OZ tvorba zisku a kvůli dvoum lidem z několika tisíc síť předělávat nebude ani riskovat výpadek při konfigurační chybě...), zato třeba při nastavení reverze se z "kolega Vám to nastaví jak se vrátí z oběda" stane "Litujeme, ale tuto službu domácnostem neposkytujeme, pokud chcete provozovat mailserver, máme zde ceník pro business zákazníky", případně z "hmm, když Vám to občas v noci zakolísá, tak k Vám skočím a dáme tam nové pojítko v licencovaném pásmu" se stane "Podle měření Vaše připojení odpovídá smlouvě" apod.
Případně stížnostmi donutíte providera tu službu (veřejná IP) maximálně zrušit úplně, což je úplně nejhorší varianta a pár lidí z okolí Vám za to rozhodně nepoděkuje (ano, vždycky můžete zavolat na Cetin, že máte zájem o xDSL, velmi rádi Vám nacení výkop, pár metrů přes silnici to vychází kolem 150k)


Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #50 kdy: 15. 01. 2023, 18:22:13 »
Jediný, kdo nemá představu, jsi ty sám, protože neprovozuješ ani jednu síť (možná tak nějakou houpací na zahradě ano), tak si nevymýšlej, že by někdo pustil do své sítě neveřejné IP ze sítí cizích. Vůbec nevíš, jak sítě fungují a "rady" z Google, kde zjevně čerpáš, jsou ti k ničemu, když tomu celému absolutně nerozumíš.
Až vám dojde, že síť ISP a síť zákazníka jsou dvě různé sítě, mezi kterými nemůže být provoz privátních adres, pochopíte to.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #51 kdy: 15. 01. 2023, 18:38:35 »
Moment, tohle je nějak divné. Zákaznický router ma defaultu ven, dovnitř k zákošovi třeba jen 192.168.1.0/24, a obvykle ta síť providera nebejvá plochá, ale spíš nějaká kombinace OSPF/iBGP (neboli nexthop pro CE router je anténa na střeše, ta má zase jako nexthop nějakej PE na kostele. Aby se to doroutovalo zpátky, vůbec netřeba aby to SNATovalo za internet, stačí cokoli co se dokáže vrátit (i když za veřejku by to bylo lepší, dokážu si představit validní argumenty, proč to někdo dovnitř vlastní sítě neNATuje za veřejku, ale za privátku/nějaký privátní subnet)
Aby DNAT té veřejné IP adresy na privátní fungoval, je potřeba, aby se paket s odpovědí dostal zpět na to NATující zařízení. Protože to musí odpovědní paket „odNATovat“.

BTW to jestli 100.64/10 je privátní nebo CGNAT rozsah je v našem případě irelevantní (a ve skutečnosti můj provider používá kus desítek, jen jsem nechtěl dávat přesnou identifikaci podle které by se poznal když ho tu "pomlouvám"), oboje jsou adresy, které nemají ve veřejném internetu co dělat, ale v případě připojení k síti providera na nich není nic špatného, pokud ofc nedojde ke konfliktu s adresami v LANce (i to se dá řešit, ale nekomplikujme to, tazatel kdyby to uměl řešit by se v první řadě vůbec nemusel ptát.).
Není to jedno. Privátní adresy se nesmějí používat pro komunikaci mezi sítěmi. Naopak 100.64.0.0/16 je blok určený pro sdílení mezi ISP a jeho zákazníky. Takže to nemá zákazník na WAN blokovat a nemůže se stít, že by měl tyto adresy zákazník ve své síti.

Fajn, a co s tím chcete dělat?
Neposílat zákazníkovi pakety se zdrojovou IP adresou z privátních rozsahů.

Jednak je to slovíčkaření (veřejný internet vs. pakety od zákošů s privátními adresy providera chodí z privátního rozsahu providera....)
Není to slovíčkaření. Různé bloky IP adres jsou určené pro různé účely. Když někdo začne adresy používat pro jiné účely, způsobuje to problémy. Je to jako kdyby ISP vzal nějaké veřejné adresy úplně někoho jiného a začal je používat ve své síti, a tvrdil by, že to, že ty adresy mají být globálně unikátní, je jenom takové slovíčkaření.

druhá věc je čistě praktická - buď můžete být pokročilý zákazník, který když je ze strany zákoše neřešitelný problém, tak se domluvíte přímo s technikem, nebo můžete být věrozvěst-puritán, jinými slovy problémista, což stejně k absenci neveřejných adres na WANu nepovede
No a co třeba to udělat tak, aby to fungovalo a zákazník na WAN pakety se zdrojovou adresou z privátních rozsahů nedostával?

Bavíme se o malých ISP, kteří mají jedno nebo několik zařízení, které SNATuje provoz zákazníků do internetu a zároveň DNATuje veřejné adresy těch zákazníků, kteří mají veřejnou IP adresu. Jediné, co je potřeba, je upravit to SNATové pravidlo, které SNATuje provoz zákazníků do internetu, abys SNATovalo i provoz na ty veřejné IP adresy zákazníků. Opravdu je nepřekonatelný problém podmínku toho SNATu rozšířit? Třeba místo odchozího rozhraní dát jako podmínku to, že cílová adresa není z IP rozsahu privátních adres používaných ISP?

JSOB

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #52 kdy: 16. 01. 2023, 12:36:20 »
Kdyby se jednalo o firemní připojení, tak si to firma dojedná přímo s ISP a nebude tady vůbec takový dotaz (který je zjevně na home připojení nebo max. nějaké rádoby-firemní, ale ve skutečnosti home).
Jedná se slušně velkou LAN používající rozsah 192 i 10 . Prosím zkus být méně agresivní. Děkuji

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #53 kdy: 16. 01. 2023, 12:52:53 »
A co jako? Co tady pořád řešíš? Přestaň blokovat neveřejné IP adresy (tak jako je neblokuje ani nikdo jiný, kdo má sám IP veřejnou), všechno bude fungovat a zdejší bláboly na 4 stranách se mohou klidně smazat, ty méně agresivní :P

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #54 kdy: 16. 01. 2023, 14:29:37 »
Přestaň blokovat neveřejné IP adresy (tak jako je neblokuje ani nikdo jiný, kdo má sám IP veřejnou), všechno bude
Právě naopak, ostatní, kteří mají veřejnou IP adresu, běžně adresy z privátních rozsahů blokují. Třeba proto, že je sami používají, a fakt nechtějí, aby jim do privátní sítě lezl někdo z venku.

všechno bude fungovat
To je dost odvážné tvrzení (jako v tom vtipu: „Ten kůň není blbý, on je odvážný!“). Zejména když vám tu několik lidí popsalo, jak to v síti takového ISP často vypadá a že pak žádná úprava na firewallu zákazníka nepomůže, dokud si to nespraví ISP.

A.S.2

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #55 kdy: 16. 01. 2023, 19:36:51 »
Tak vida, že to jde i normálně.

Ne nemám. Ale také nemám důvod si jen tak bezdůvodně blokovat přístup z neveřejných IP adres jenom proto, že bagr. Kdyby nějaké problémy byly, pak je začnu řešit se svým ISP, kterému platím. Ale v celé této debatě na 4 stranách se řeší jenom to, že si někdo zablokoval přístup z neveřejných IP adres, zjevně k tomu neměl žádný důvod, pak zjistil, že k němu nemohou přistupovat někteří jiní useři a místo, aby ten přístup povolil (tedy min. do doby, než to se svým ISP vyřeší - když má tedy vehementní potřebu to vůbec řešit), tak hledá jakousi neexistující variantu, kterou bez svého ISP prostě nemá šanci najít. A k tomu pak ten obvyklý balast od jedinců, co jenom sbírají počty postů...

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #56 kdy: 14. 09. 2023, 14:53:52 »
Dobry den,

tak nejak jsem nepochopil, jak se muze tak banalni problem, resit v teto diskusi na 4 stranky, kde uz davno zanikla klicova pointa.

Bydlim v Novem Jicine a nemuzu se dostat na zadne stranky Noveho Jicina(coz mi jako obcanovi prijde docela dost divne). Mam lokalniho ISP, mam privatni IP.

Z magistratu v Novem Jicine jsem se dozvedel, ze Magistrat blokuje na svem firewallu privatni rozsahy.
Ano vim, existuje na to RFC, ale ted se dostavam k tomu podstatnemu.

Magistrat blokuje pristup z privatnich IP u sluzby, ktera je otevrena do Internetu? (porty tcp_80,443)
Vazne ma tohle nejakou logiku?

takze Magistrat se boji Privatnich Subnetu, ale uz se vlastne vubec neboji celeho verejneho IPv4 adresniho rozsahu, kde hrozi to opravdove nebezpeci?

Muj nazor je, ze tomu borci z Magistratu vubec nerozumi a misto toho, aby to vyresili na svem firewallu vymlouvaji se na ISP....za me dosti prasarna a idiotismus....a jediny kdo to odsere jsou obyvatele mesta Noveho Jicina, vcetne me.....

Lokalni ISP, pouziva Centralni NAT, coz mi prijde vpohode, ja sam tuto variantu pouzivam, NATuju na svem EDGE natovadle....samozrejme mam ty NATy 2, kvuli redundanci....

Zkusim jim napsat otevreny dopis a klidne to dam do novin, protoze jako obcan mam snad alespon nejake pravo se dostat na stranky mesta (obecne info, odpady, oteviraci doba atd atd..)

Zdarec

M.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #57 kdy: 14. 09. 2023, 16:04:52 »
mijosek

Nezbývá než vysvětlit magistrátu, že tvůj a jeho ISP je prostě dobytek, co neumí pořádně upravit pravidla ve své síti a proto by měli polevit v konfiguraci firewallu na své straně(magistrát, tady skutečně neudělal nic neobvyklého a špatného).

No a nezbývá nic jiného, než terorizovat ISP, ať tenhle stav napraví, nebo se postarat o dostatečný odliv zákazníků od takových neumětelů, aby se jim takové prasárny nevyplatilo provozovat.

Inu, nic jiného, s tím nenaděláte.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #58 kdy: 14. 09. 2023, 17:27:31 »
to LA User:

ja si vazne nemyslim, ze je chyba na strane ISP, protoze uplne stejny model, kdy mam v siti centralni NATy, pouzivam ve sve siti a menit to vazne nehodlam....design je jednoduchy a funkcni...

Kdyz jsem uplne  to stejne resil s jinym Magistratem(a nasledne s cca 3 strednima skolama, kteri tam meli nejaky derivat PFsense, OPNsense atd), tak jejich IT uplne v pohode u webove sluzby, vypli restrikci na blokaci privatnich IP.....

At si to pravidlo u zbytku sluzeb nastavi a privaty si klidne blokuji, ale vazne mi to prijde nelogicke u OTEVRENEHO PORTU DO INTERNETU, blokovat privaty......

A hlavne to pravidlo, ktere to blokuje je na strane Magistratu Noveho Jicina, muj ISP nic neblokuje ;-)
Kdyby tam nekdo alespon vedel co jsou to iptables, tak si tam nastavi vyjimku  a vsichni jsou spokojeni, jenze.....

nechci hazet do jednoho pytle, ale pokud stezi zvladate vymenu toneru do tiskarny, jasny ze nemate koule neco nastavit na firewallu ;-)

takze asi tak.....

M.

Re:Přístup na WAN z lokálních adres - povolit či nikoliv?
« Odpověď #59 kdy: 14. 09. 2023, 17:59:54 »
Magistrat blokuje pristup z privatnich IP u sluzby, ktera je otevrena do Internetu? (porty tcp_80,443)
Vazne ma tohle nejakou logiku?
Ano, má to logiku. Pokud má ISP správně nastavenou svou síť, privátní adresy se nemají jak na firewall magistrátu dostat. A pokud má ISP svou sít nakonfigurovanou špatně, má si konfiguraci opravit.

Magistrat blokuje pristup z privatnich IP
takze Magistrat se boji Privatnich Subnetu, ale uz se vlastne vubec neboji celeho verejneho IPv4 adresniho rozsahu, kde hrozi to opravdove nebezpeci?
Magistrát se privátních subnetů bát nemusí. Ale je to provoz, který nemá v internetu co dělat a pokud se tam vyskytne, je to chyba.

Muj nazor je, ze tomu borci z Magistratu vubec nerozumi a misto toho, aby to vyresili na svem firewallu vymlouvaji se na ISP....za me dosti prasarna a idiotismus....a jediny kdo to odsere jsou obyvatele mesta Noveho Jicina, vcetne me.....
Evidentně tomu nerozumíte vy. To není výmluva na ISP – pokud je to tak, jak se tu o tom diskutovalo, je to chyba ISP. Privátní IP rozsahy jsou privátní proto, že nejsou routovatelné ve veřejném internetu, tudíž je ISP vůbec nemá do veřejného internetu pouštět.

Zkusim jim napsat otevreny dopis a klidne to dam do novin, protoze jako obcan mam snad alespon nejake pravo se dostat na stranky mesta (obecne info, odpady, oteviraci doba atd atd..)
Než se budete veřejně ztrapňovat v novinách, zkuste pochopit, že je to problém ISP. A asi bude lepší napsat nejprve na podporu ISP než ho rovnou vláčet v novinách.

ja si vazne nemyslim, ze je chyba na strane ISP, protoze uplne stejny model, kdy mam v siti centralni NATy, pouzivam ve sve siti a menit to vazne nehodlam....design je jednoduchy a funkcni...
To, že něco používáte a nehodláte to měnit, neříká nic o tom, jestli je to správně nebo ne.

K čemu slouží které bloky IP adres je definováno v příslušných RFC. A je to tam z dobrých důvodů. IP adresy z privátních rozsahů nejsou v internetu routovatelné, takové pakety nesmějí opustit místní síť a pokud přijdou z internetu, jediná rozumná věc, co se s nimi dá udělat, je zahodit je. Protože stejně nedokážete poslat odpověď – ty adresy se nedají v internetu routovat, takže byste stejěn nevěděl, kam poslat odpověď.

A hlavne to pravidlo, ktere to blokuje je na strane Magistratu Noveho Jicina, muj ISP nic neblokuje ;-)
Váš ISP špatně překládá adresy.

Kdyby tam nekdo alespon vedel co jsou to iptables, tak si tam nastavi vyjimku  a vsichni jsou spokojeni, jenze.....
Firewall nejsou jen iptables. Podstatné je ale to, aby to konfiguroval někdo, kdo rozumí sítím. To samé platí i u ISP, tam snad ještě víc. U vás je to něco jiného – to, že nerozumíte sítím, je v zásaě jen váš problém, maximálně se ztrapníte v diskusi na Rootu nebo v novinách. Ale ISP má mít svou síť nakonfigurovanou správně a na veřejné IP adresy svých zákazníků neposílat pakety s privátními IP adresami. A mezi privátními IP adresami svých zákazníků nemá dovolit komunikaci vůbec.

Mimochodem, v každé debatě o NATu se objeví někdo, kdo tvrdí, že NAT je vlastně firewall a filtruje provoz. No a pak se objeví někdo, jako vy, kdo začne tvrdit, že je legální používat ve veřejném internetu privátní adresy. A bezpečnostní průšvih je na světě.