IP privado sendo roteado pela Internet

Navegue suas respostas
6

Estamos configurando um programa interno, em um servidor interno que usa a sub-rede privada 172.30.x.x ... quando fazemos ping no endereço 172.30.138.2, ele percorre a Internet: 

C:\>tracert 172.30.138.2
Tracing route to 172.30.138.2 over a maximum of 30 hops

  1     6 ms     1 ms     1 ms  xxxx.xxxxxxxxxxxxxxx.org [192.168.28.1]
  2     *        *        *     Request timed out.
  3    12 ms    13 ms     9 ms  xxxxxxxxxxx.xxxxxx.xx.xxx.xxxxxxx.net [68.85.xx.xx]
  4    15 ms    11 ms    55 ms  te-7-3-ar01.salisbury.md.bad.comcast.net [68.87.xx.xx]
  5    13 ms    14 ms    18 ms  xe-11-0-3-0-ar04.capitolhghts.md.bad.comcast.net [68.85.xx.xx]
  6    19 ms    18 ms    14 ms  te-1-0-0-4-cr01.denver.co.ibone.comcast.net [68.86.xx.xx]
  7    28 ms    30 ms    30 ms  pos-4-12-0-0-cr01.atlanta.ga.ibone.comcast.net [68.86.xx.xx]
  8    30 ms    43 ms    30 ms  68.86.xx.xx
  9    30 ms    29 ms    31 ms  172.30.138.2

Trace complete.

Isso nos deixa confusos. Se tivéssemos uma configuração de VPN, ela não seria exibida como sendo roteada pela Internet. Se acertar um servidor da Internet, os IPs privados (como 192.168) não devem ser roteados.

O que permitiria que um endereço IP privado fosse roteado pelos servidores? o fato de que tudo é comcast significa que eles têm seus roteadores configurados errados?

    
por WernerCD 27.03.2012 / 22:50

5 respostas

8

What would let a private IP address get routed across servers?

Se os roteadores entre você e o destino não tiverem filtros de entrada / saída que bloqueiam o espaço de endereçamento privado, ele provavelmente será encaminhado seguindo as rotas padrão. Você deve considerar seriamente a configuração de regras em seu roteador externo que proíba que qualquer coisa destinada a um endereço particular saia de sua rede.

Muitos roteadores simplesmente encaminham todo o tráfego e não fazem nenhum tipo de filtragem. Um endereço particular parece com qualquer outro endereço. Se o roteador não tiver uma rota definida explicitamente, envie-o para seu gateway padrão.

Você aparentemente conseguiu alcançar outra pessoa com um roteador mal configurado.

Também há casos em que podem vazar IP privado e ainda não ter esses IPs privados acessíveis publicamente. Vamos dizer que você tinha uma rede simples como essa. Vamos supor também que os endereços IP sejam todos publicamente roteáveis, exceto para a sub-rede entre o roteador 2 e o roteador 3. Quando você executa um traceroute do cliente 1 para o cliente 2, pode ou não ver uma resposta do roteador 3. Se tiver bom filtros no lugar você não verá uma resposta, se você não fizer isso, e nenhum outro sistema tiver filtros, você verá uma resposta. O pacote retornado de uma rota de rastreio geralmente incluirá o IP da interface em que o rastreio foi recebido, mas será destinado ao IP da máquina que está executando o traceroute. Como o endereço de destino é válido, o pacote será entregue, mesmo que tenha um IP privado como endereço de origem.

  • cliente 1 conectado ao roteador1
  • roteador 1 conectado ao roteador 2
  • rotuer 2 conectado ao roteador 3
  • roteador 3 conectado ao cliente 2

De muitas maneiras, isso retorna aos pontos desta pergunta sobre falsificação de IP . Quando não há filtros no lugar e você não se importa com as respostas, o endereço de origem pode ser o que você quiser. Como as implementações de traceroute usam ICMP, e o ICMP é sem estado, você pode ver endereços IP que não podem ser acessados diretamente ou podem até ser inválidos.

    
por 27.03.2012 / 23:18
6

Parece que sua rede de origem é 192.168.28.0. Sua máquina ou seu roteador sabem sobre a rede 172.30.138.x? Caso contrário, ele apenas envia a rota padrão como qualquer outra rede que não conhece.

Você precisará adicionar uma interface na rede 172.30.138.x em sua máquina de origem ou adicionar uma interface nessa rede em seu roteador para poder direcionar o tráfego adequadamente.

    
por 28.03.2012 / 00:35
0

would the fact that it's all comcast mean that they have their routers setup wrong?

Configurar errado? Sim , o endereçamento privado deve ser absolutamente filtrado no interior de sua rede. Mas se eles tiverem sido um pouco desleixados, então é possível que o caminho seja todos os redes de operadoras Comcast-in, especialmente desleixadas como a Comcast, o endereçamento privado é filtrado na borda rede diligentemente, mas não tanto no núcleo ou partes de acesso. No seu caso, parece que a rota inteira é somente Comcast, então é 'razoável' que isso possa realmente ser encaminhado para um destino também dentro da Comcast que realmente responda por isso. Não é uma implementação de rede limpa, com certeza, e você foi da área de Baltimore para Denver e finalmente para a Geórgia, mas é possível dentro de um "sistema autônomo" completo que permite .

    
por 28.03.2012 / 02:01
0

What would let a private IP address get routed across servers?

Vamos definir primeiro o que é um endereço IP privado: é um endereço que, por convenção, é aceito para não ser roteado na Internet. Isso significa que nós concordamos como uma comunidade para nunca anunciar essas rotas através do BGP. Isso também significa que um ISP provavelmente matará essas rotas nas fronteiras de sua rede para evitar que elas possivelmente se propaguem.

Isso não significa, no entanto, que um IP privado não possa cruzar roteadores. É muito provável e até altamente provável que a Comcast use intervalos de endereços IP privados para equipamentos de rede que não devem se comunicar com a Internet como um todo. Essas rotas podem ser encaminhadas por protocolos de roteamento internos em toda a rede Comcast.

Em suma, vou supor que é o caso de o seu roteador realizar a conversão de NAT e, em seguida, rotear por padrão todo o tráfego que não é local para o roteador de próximo salto, incluindo o espaço de IP privado. Não é muito provável, no entanto, que existam muitos roteadores Comcast com rotas padrão que acidentalmente percorrem todo o caminho até um host de resposta com um IP privado. É minha strong suposição de que isso é algo proposital. Pode ser um sensor de temperatura com monitoramento remoto ou algum outro dispositivo igualmente inócuo que nunca precise ser falado por ninguém fora da Comcast.

Would the fact that it's all Comcast mean that they have their routers setup wrong?

Como o seu traceroute mostra que todos os pacotes permanecem dentro da rede Comcast, na verdade não é uma circunstância muito surpreendente que você tenha encontrado. Ele fica dentro de um único sistema autônomo e não viola nenhum padrão.

    
por 31.03.2012 / 01:29
0

Um endereço privado é igual a qualquer outro endereço IP. Se for anunciado para a Internet, será roteável. Supostamente, os ISPs têm filtros de entrada / saída para evitar vazamentos desses endereços para "o que o usuário final percebe como a Internet".

Mas no seu caso, o tráfego nunca saiu da Comcast AS7922. A Comcast estava usando o endereço privado RFC1918, assim como todos os outros (os ISPs geralmente os usam para STB, modem, DHCP, DNS etc.). Se eles não filtrarem, então você pode alcançá-lo ...

    
por 06.08.2013 / 09:52

Tags

BIND, Mestre, Escravos e Notificar O ZFS substitui a necessidade de RAID de hardware / software?