Dispositivo ADSL que fornece nenhuma DMZ NAT ao lado de NAT (IPv4)

0

Eu tenho um modem / roteador / switch ADSL que realiza o NAT. Ele faz isso mesmo para o host que pode ser configurado para fornecer uma DMZ.

Eu quero ser capaz de realizar varreduras do Nmap a partir de um host específico e não deve haver NAT ocorrendo para esse host. Uma das coisas que não posso fazer atualmente por trás do NAT é nmap --traceroute com nada além de ICMP. Ao mesmo tempo, quero que os outros hosts da minha rede estejam atrás do NAT. Meu ISP me atribui um único endereço IPv4, mas acredito que, como cliente de negócios, posso solicitar um endereço adicional.

É tecnicamente possível que um dispositivo forneça esse tipo de funcionalidade? Existe uma classe de dispositivo que fornece isso?

Extra: Por que não o nmap --traceroute work

Os seguintes trabalhos funcionam como esperado: -

nmap -sP -PE --traceroute scanme.nmap.org

TRACEROUTE (using proto 1/icmp)
HOP RTT       ADDRESS
1   16.00 ms  my.router (192.168.1.1)
2   55.00 ms  lo0.10.central10.ptn-bng01.plus.net (195.166.128.228)
3   42.00 ms  irb.10.ptw-cr02.plus.net (84.93.249.2)
4   37.00 ms  10gigabitethernet5-1.core1.lon1.he.net (5.57.80.128)
5   33.00 ms  10ge3-1.core1.lon2.he.net (72.52.92.222)
6   100.00 ms 100ge1-1.core1.nyc4.he.net (72.52.92.166)
7   183.00 ms 10ge9-7.core1.sjc2.he.net (184.105.213.197)
8   179.00 ms 10ge3-2.core3.fmt2.he.net (184.105.222.13)
9   176.00 ms router3-fmt.linode.com (65.49.10.218)
10  168.00 ms scanme.nmap.org (74.207.244.221)

Nmap done: 1 IP address (1 host up) scanned in 5.58 seconds

Isso não funciona como esperado: -

nmap -sP -PS80 --traceroute scanme.nmap.org

TRACEROUTE (using port 80/tcp)
HOP RTT       ADDRESS
1   ... 9
10  166.00 ms scanme.nmap.org (74.207.244.221)

Nmap done: 1 IP address (1 host up) scanned in 6.15 seconds

Meu entendimento disso é que my.router desconsidera as mensagens ICMP Time Exceeded dos saltos intermediários e acho que isso é porque my.router está esperando respostas TCP para as entradas TCP em sua tabela NAT e considera as respostas ICMP inválidas .

(eu perguntei a versão original desta questão em Engenharia de Redes e foi aconselhado a perguntar aqui)

    
por jah 25.04.2014 / 23:32

1 resposta

1

IPv4 NAT (SNAT / MASQUERADE, para ser preciso) não pode ser ativado no modo de gateway. É o modo básico de operação de um dispositivo de gateway da Internet para uso pessoal.

Você precisará alternar para o modo de ponte, se possível, e usar o discador PPPoE de um host de sua escolha. Dessa forma, o host selecionado (e somente esse host) terá acesso à Internet não filtrado.

Você não receberá um endereço adicional, que geralmente é um recurso dos contratos comerciais. Seu roteador provavelmente não aguenta isso de qualquer maneira.

O host chamado DMZ é, na verdade, o "host exposto". Basicamente, está encaminhando todas as portas de entrada para esse host. Naturalmente, isso não é realmente uma DMZ.

    
por 25.04.2014 / 23:39