Rede e roteamento de intervalos de IP privados

Navegue suas respostas
3

Os servidores da Internet não devem rotear intervalos de IP privados, como 192.168.x.x.

Como eles conseguem isso? Um administrador deve habilitar uma regra de firewall específica no roteador ou ela está codificada no hardware / firmware / kernel do roteador?

    
por yannisf 18.08.2011 / 15:40

3 respostas

6

A maioria dos ISPs terá ACLs codificadas para impedir o roteamento de tráfego privado. Caso isso não aconteça, a falta de um endereço de retorno localizável impedirá que esses pacotes cheguem a qualquer lugar, independentemente. O BGP (Border Gateway Protocol), o principal protocolo de roteamento da Internet, apenas anuncia rotas públicas.

É comum encontrar uma ACL semelhante à seguinte em roteadores Cisco voltados para a Internet: 

access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 169.254.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.0.255.255 any

Isso bloqueará os endereços privados, incluindo APIPA e endereços de loopback, de atravessarem uma interface de roteador após serem aplicados por meio de um grupo de acesso.

O firmware em alguns roteadores SOHO possui essa funcionalidade embutida.

    
por 18.08.2011 / 15:54
2

Você precisa entender melhor como funciona a Internet e o roteamento.

Os intervalos de endereços IP privados simplesmente não estão disponíveis para uso por outras empresas. Eles são registrados por um RIR.

Este é o registro Whois para 192.168.0.1: 

NetRange:       192.168.0.0 - 192.168.255.255
CIDR:           192.168.0.0/16
OriginAS:       
NetName:        PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
NetHandle:      NET-192-168-0-0-1
Parent:         NET-192-0-0-0-0
NetType:        IANA Special Use
Comment:        This block is used as private address space.
Comment:        Traffic from these addresses does not come from IANA.
Comment:        IANA has simply reserved these numbers in its database 
Comment:        and does not use or operate them. We are not the source 
Comment:        of activity you may see on logs or in e-mail records.
Comment:        Please refer to  http://www.iana.org/abuse/
Comment:             
Comment:        Addresses from this block can be used by 
Comment:        anyone without any need to coordinate with 
Comment:        IANA or an Internet registry. Addresses from
Comment:        this block are used in multiple, separately 
Comment:        operated networks.
Comment:        
Comment:        This block was assigned by the IETF in the
Comment:        Best Current Practice document, RFC 1918
Comment:        which can be found at:
Comment:        
Comment:        http://www.rfc-editor.org/rfc/rfc1918.txt
RegDate:        1994-03-15
Updated:        2011-04-12
Ref:            http://whois.arin.net/rest/net/NET-192-168-0-0-1

Se qualquer provedor de Internet tentasse usá-lo em sua infra-estrutura (voltada para o público / conectada à Internet) e configurasse rotas em um roteador de acordo, não haveria nada que as impedisse de usá-lo internamente.

No entanto, se eles começarem a distribuir esses IPs para seus assinantes via DHCP / estático, e seus clientes também usarem esses endereços internamente, isso poderá levar a alguns problemas muito interessantes no lado do cliente.

Além disso, os provedores de internet se conectam através de uma variedade de métodos. A menos que todos os outros ISPs também adicionem rotas, elas simplesmente não serão alcançadas.

Isto é sem entrar no BGP ou algo mais complicado ...

... Para tentar torná-lo um pouco mais simples ...

Coloque desta forma, qualquer ISP pode usar qualquer bloco de IP que eles gostem, mas, para que a internet funcione, eles precisam configurar a forma como cada rota entre si. Os intervalos de IP privados são apenas reservados / registrados pela autoridade que distribui outros blocos de IP.

Da mesma forma, posso usar facilmente intervalos de endereços IP públicos na minha rede interna, mas pessoas externas / externas não poderão rotear para minha rede sem adicionar suas próprias rotas personalizadas.

** Eu tentei reescrever isso algumas vezes, é uma situação bastante complexa e difícil de explicar ... Se você tiver outras perguntas, fique à vontade para perguntar. **

    
por 18.08.2011 / 15:58
1

Se qualquer provedor de Internet tentasse usá-lo em sua infra-estrutura (voltada para o público / conectada à Internet) e configurasse rotas em um roteador de acordo, não haveria nada que as impedisse de usá-lo internamente.

    
por 18.02.2012 / 04:17

Tags

Como o NMap decide imprimir uma linha de progresso? Acho que meu laptop acabou de morrer