Poskytovatel přenese jen neNATovaný provoz

M.

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #30 kdy: 04. 08. 2014, 09:38:43 »
No, tohle chování nemusí být ISPíkem úmyslně konfigurovaný stav.. Bylo psáno, že tam asi má Mikrotik, jakej? Pokud náhodou CRS, tak by mohlo stačit přesvědčit ISPíka, aby udělal uprgade ROSu (nebo ho vyresetoval a nasavit znova). :-)
Pokud tam běhá CDP, které Mikrotik emuluje, tak stačí wireshark a podívat se, co to bonzuje za typ.

Tohle tam prostě je, router musí o prefixu, který ti byl přidělen, vědět. A takhle by vypadala u tebe (Cisco-like):

ManNerdsBox#sh ip route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     192.168.1.0/24 is variably subnetted, 6 subnets, 2 masks
C       192.168.1.0/26 is directly connected, GigabitEthernet0/1
L       192.168.1.2/32 is directly connected, GigabitEthernet0/1
C       192.168.1.64/26 is directly connected, GigabitEthernet0/0
L       192.168.1.65/32 is directly connected, GigabitEthernet0/0
C       192.168.1.128/26 is directly connected, GigabitEthernet0/2
L       192.168.1.129/32 is directly connected, GigabitEthernet0/2
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Nebudu se pouštět do žádných "velkých akcí" ohledně CIDRu nebo route aggregation, nicméně na CISCO a Linux routerech to mám bezpečně vyzkoušené - běžně se tak segmentují sítě. Navíc tohle bude umět kdejaká krabička z Alzy nebo CZC.

Ano, pokud si tam dá Cisco krabičku, tak to takhle fungovat bude. Pokud si tam dá jakoukoliv z CZC a spol, tak ne. Protože takto nastaveno to předpokládá, že ten domácí router dělá proxy ARP, které je na Ciscu defaultně zapnuto (vypíná se 'no ip proxy-arp' v  interface). A spousta krabiček tuhle vlastnost neumí... Bez proxy arp by musel bý ten router u ISP nastaven, aby ty subsegmenty routoval na tu moji 192.168.1.2. Z levných krabiček umí proxy arp třeba ten zmíněný Mikrotik (v základu je vypnuto, zapíná se /interface ethernet set etherX arp=proxy-arp). Jinak detekce a zaříznutí proxy arp je celkem snadné. Tazatel zmiňoval použití nějaké fortinet krabičky, ty proxy arp umí také a asi je v defaultu i zapnuto.


Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #31 kdy: 04. 08. 2014, 09:40:28 »
Je otazka nakolik je toto napadnutelne, nejsem pravnik.
Pokud vím, tak moc není. Pokud je ve smlouvě určený rozhodce, tak s tím potom už asi nic neuděláš. Ale záleží dost na tom, kdo to je. Pokud nějakej kamarádíček providera, tak je to dost špatný. Občas se ale používá třeba Rozhodčí soud Hospodářské komory - tam asi celkem není čeho se bát.

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #32 kdy: 04. 08. 2014, 09:52:25 »
Pokud vím, tak moc není. Pokud je ve smlouvě určený rozhodce, tak s tím potom už asi nic neuděláš. Ale záleží dost na tom, kdo to je. Pokud nějakej kamarádíček providera, tak je to dost špatný. Občas se ale používá třeba Rozhodčí soud Hospodářské komory - tam asi celkem není čeho se bát.
Dnes už platí, že pokud je zákazníkem spotřebitel, musí rozhodčí doložku podepsat samostatně (nemůže to být schované někde ve smlouvě nebo všeobecných podmínkách), a rozhodce musí být zapsaný na seznamu rozhodců Ministerstva spravedlnosti. Nález pak musí být odůvodněn a musí tam být uvedeno poučení o možnosti zrušení soudem.

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #33 kdy: 04. 08. 2014, 09:57:38 »
Dnes už platí, že pokud je zákazníkem spotřebitel, musí rozhodčí doložku podepsat samostatně (nemůže to být schované někde ve smlouvě nebo všeobecných podmínkách), a rozhodce musí být zapsaný na seznamu rozhodců Ministerstva spravedlnosti. Nález pak musí být odůvodněn a musí tam být uvedeno poučení o možnosti zrušení soudem.
Jo, vím, že se podmínky nějak měnily, ale nevzpomněl jsem si, jak přesně. Dík za doplnění.

Karel

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #34 kdy: 04. 08. 2014, 16:15:47 »
@anonymous:
Diky za odpoved, ale mohl bys s tim TTLkem byt prosim trochu konkretnejsi? Mozna uvazuju, nebo ten mechanismus chapu spatne, ale:

Napr. Win klient defaultne u TCP packetu generuje TTL=128.
Pruchodem pres kazdy router by se mel TTL snizit o 1. Pokud se snazim pristoupit k cili, ktery je ode me cca 20 hopu(coz zkousim), tak nemam sanci TTL vycerpat. Nebo to chapu spatne?

Predtim jsem to neuvedl, ale takhle ta komunikace zhruba vypada. Muze byt tedy tou pricinou nizky TTL?
Tak mě napadá, jestli ISP nedělá to, že paketům směřujícím zvenku k tobě nenastavuje TTL=1? Pak by totiž paket dorazil jen ke tvému routeru a ten by ho zahodil a už by se neproNAToval nikam dál. Chtělo by to sniffnout co od ISP vlastně leze.


ManNerd

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #35 kdy: 04. 08. 2014, 18:47:26 »
Karle, Ty kluku usata! :-) Je to presne tak jak rikas, koukam na ty pakety a u prichoziho provozu je skoro vsude naprany TTL=1, nechava nemodifikovany jenom DNS dotazy a ICMP. Predtim jsem porad zkoumal hlavne rozdily mezi odchozimi pakety ode me a od routeru, ale nic zasadniho tam nebylo, prichozimu provozu jsem az takovou pozornost nevenoval. Dekuji vsem za pomoc!

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #36 kdy: 04. 08. 2014, 18:49:57 »
koukam na ty pakety a u prichoziho provozu je skoro vsude naprany TTL=1
Tyvado, tak to zas posunulo hranice toho, co jsem myslel, že jsou ISPs schopní udělat. A to už jsem myslel, že mě nepřekvapí vůbec nic :) To je teda hlína :))

Lol Phirae

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #37 kdy: 04. 08. 2014, 18:54:50 »
To sis s tím ISP tedy "polepšil"...  :o ::) Tohle je na okamžitou výpověď smlouvy.

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #38 kdy: 04. 08. 2014, 18:56:13 »
To sis s tím ISP tedy "polepšil"...  :o ::) Tohle je na okamžitou výpověď smlouvy.
Zas na druhou stranu se to dá snadno zas zvýšit ;)

Karel

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #39 kdy: 04. 08. 2014, 19:45:27 »
Jo nastavování TTL na 1 je stará finta, kterou se někteří ISP brání, aby uživatelé nesdíleli net a neschovávali za NAT třeba sousedy :)
Ale jak už se tu píše, jde to snadno obejít - pokud je na routeru např. linux, tak je to otázka jednoho řádku do iptables, který všem příchozím paketům nastaví TTL na nějakou vyšší hodnotu.

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #40 kdy: 04. 08. 2014, 19:56:34 »
Jo nastavování TTL na 1 je stará finta
Přiznej se, že tys u nějakýho ISP pracoval? Normálního člověka todle totiž nemůže napadnout :))

Lol Phirae

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #41 kdy: 04. 08. 2014, 20:20:03 »
Normálního člověka todle totiž nemůže napadnout :))

Ne, to opravdu ne. Stálo by za to zveřejnit toho "ISP".  ::)

Karel

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #42 kdy: 04. 08. 2014, 20:48:01 »
Jo nastavování TTL na 1 je stará finta
Přiznej se, že tys u nějakýho ISP pracoval? Normálního člověka todle totiž nemůže napadnout :))
Já u žádného ISP naštěstí nepracoval, jen jsem chodil na školu v tomhle oboru a člověk občas něco pochytí... dělat u nich, tak to tady přece neprozradím, no ne? ;D

omg

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #43 kdy: 04. 08. 2014, 20:52:35 »
Jo nastavování TTL na 1 je stará finta, kterou se někteří ISP brání, aby uživatelé nesdíleli net a neschovávali za NAT třeba sousedy :)
jo to je finta nekdy z roku 1998... od takovyho poskytovatele utikej pryc nejrychleji jak muzes.

omg

Re:Poskytovatel přenese jen neNATovaný provoz
« Odpověď #44 kdy: 04. 08. 2014, 20:54:01 »
to neni smlouva na internet, ale na kriplnet.