Ping na NAT

Ping na NAT
« kdy: 12. 09. 2023, 22:35:10 »
je filozoficky správné, aby šel (cizími lidmi odkudkoli z internetu) "pingnout NAT" ? Nebo jinak vyjádřno "pingnout veřejná adresa někoho skupiny zákazníků jsoucí za daným natem "

Tedy, jestli provider si má nastavit, aby odpovídal jeho edge NAT na pingy z internetu.

(jasně, teoreticky na tom "natu"-jícím pc může běžet ještě  SMTP, www server,  pokud třeba daný ispíček poskytuje i sdílený hosting, tak teoreticky může Zároveň provozovat NAT pro zákazníky a server najednou a pak by dávalo mít smysl, aby šel pingnout... víte o někom, kdo takhle používá tento double hazard?)
Teoreticky to může obojí provozovat pod jednou IP, když se nebude obtěžovat tedy pro jeden svůj router-pc-server mít odlišné IP pro serverovou a natující část
« Poslední změna: 13. 09. 2023, 07:15:38 od Petr Krčmář »


Re:Ping na NAT
« Odpověď #1 kdy: 13. 09. 2023, 07:18:04 »
Nejde tu o adresu, ale o stroj připojený k internetu. V RFC 1122 s názvem Požadavky na internetové hostitele se v oddíle 3.2.2.6 píše: „Every host MUST implement an ICMP Echo server function that receives Echo Requests and sends corresponding Echo Replies.“

Takže odpověď zní: pokud je zařízení připojené k internetu, musí podle standardů reagovat na ping.

Re:Ping na NAT
« Odpověď #2 kdy: 13. 09. 2023, 07:34:11 »
Nie som odbornik na siete, ale (ak sa bavime o IPv4) kazde zariadenie, ktore ma v sieti internet verejnu IPv4 adresu, tak sa da pingut, pokial to nie je blokovane firewallom.

Tom5

Re:Ping na NAT
« Odpověď #3 kdy: 13. 09. 2023, 08:03:48 »
Nie som odbornik na siete, ale (ak sa bavime o IPv4) kazde zariadenie, ktore ma v sieti internet verejnu IPv4 adresu, tak sa da pingut, pokial to nie je blokovane firewallom.

Existuje velká množina rádoby expertů (pracují i u velkých telco společností), kteří to považují za bezpečnostní riziko a blokují ICMP echo kde mohou.

Fakt radost s takovými pracovat. Mimochodem řada z nich o jiném portu než 80 a 443 neslyšela a jsou schopni prohlásit "google jde, takže internet funguje"

rmrf

Re:Ping na NAT
« Odpověď #4 kdy: 13. 09. 2023, 08:07:47 »
V RFC 1122 s názvem Požadavky na internetové hostitele se v oddíle 3.2.2.6 píše: „Every host MUST implement an ICMP Echo server function that receives Echo Requests and sends corresponding Echo Replies.“

Takže odpověď zní: pokud je zařízení připojené k internetu, musí podle standardů reagovat na ping.

V Nordic Telecomu to tedy evidentně nečetli.

Konkrétní situace, jejich koncový router neodpovídá na pingy z internetu ani ze zákaznického zařízení. Při odeslání jednoho jediného arpingu (jako pokus o náhradu pingu) ze zákaznického zařízení na jejich router dojde k odbloknutí zákaznické ip adresy na cca 1 minutu.
« Poslední změna: 13. 09. 2023, 08:10:42 od rmrf »


Tom5

Re:Ping na NAT
« Odpověď #5 kdy: 13. 09. 2023, 08:32:53 »
Konkrétní situace, jejich koncový router neodpovídá na pingy z internetu ani ze zákaznického zařízení. Při odeslání jednoho jediného arpingu (jako pokus o náhradu pingu) ze zákaznického zařízení na jejich router dojde k odbloknutí zákaznické ip adresy na cca 1 minutu.

Zkusil bych se podívat na smluvní specifikaci služby a pokud by to tam nebylo, tak hlásit jako výpadek služby a příp. požadovat finanční náhradu (slevu z platby za službu).

Re:Ping na NAT
« Odpověď #6 kdy: 13. 09. 2023, 12:15:44 »
Nejde tu o adresu, ale o stroj připojený k internetu. V RFC 1122 s názvem Požadavky na internetové hostitele se v oddíle 3.2.2.6 píše: „Every host MUST implement an ICMP Echo server function that receives Echo Requests and sends corresponding Echo Replies.“

Takže odpověď zní: pokud je zařízení připojené k internetu, musí podle standardů reagovat na ping.

Tohle jsem z hlavy nevěděl, ale je skutečně zajímavé, že jsem u Windows viděl pravý opak.. I Google mi to potvrdil:

https://www.google.com/search?q=windows+server+icmp+blocked+by+default
Citace
In Windows Server 2016, 2019 and 2022, ICMP or Ping is disabled by default, making the system more secure, but sometimes it brings with it some monitoring difficulties. Since the ping command tells/shows that the remote computer is connected to the network, it is a useful command for system administrators.

jjrsk

  • ****
  • 394
    • Zobrazit profil
Re:Ping na NAT
« Odpověď #7 kdy: 13. 09. 2023, 16:34:59 »
Existuje velká množina rádoby expertů ...
jj, hlavne ti experti co chodi na root ... poslu ti na tvuj stroj rekneme Gbit megovych pingu, uvidime jak dlouho to prezije ju?

Re:Ping na NAT
« Odpověď #8 kdy: 13. 09. 2023, 16:42:09 »
V RFC 1122 s názvem Požadavky na internetové hostitele se v oddíle 3.2.2.6 píše: „Every host MUST implement an ICMP Echo server function that receives Echo Requests and sends corresponding Echo Replies.“

Takže odpověď zní: pokud je zařízení připojené k internetu, musí podle standardů reagovat na ping.

V Nordic Telecomu to tedy evidentně nečetli.

Konkrétní situace, jejich koncový router neodpovídá na pingy z internetu ani ze zákaznického zařízení. Při odeslání jednoho jediného arpingu (jako pokus o náhradu pingu) ze zákaznického zařízení na jejich router dojde k odbloknutí zákaznické ip adresy na cca 1 minutu.

S ČEZnetem si mohou plácnout. Cokoliv za NIXem už neodpovídá na ping. Pak mi ještě dělají radost s blokací traceroute, za jejich prvním routerem traceroute padne.

Tom5

Re:Ping na NAT
« Odpověď #9 kdy: 13. 09. 2023, 17:27:12 »
Existuje velká množina rádoby expertů ...
jj, hlavne ti experti co chodi na root ... poslu ti na tvuj stroj rekneme Gbit megovych pingu, uvidime jak dlouho to prezije ju?

můj stroj to přežije bez nejmenší ztráty kytičky. Jistě můžeš mi ucpat linku, ale k tomu nepotřebuješ ping. Blokování pingu je o ničem.