Penetrując ostatnio pewną sieć natknąłem się na ciekawy router GSM
d-linka. Otóż zewnętrzny IP providera byl dostępny od wewnątrz wraz z
wszystkimi forwardami portów, można było się połączyć z wewnetrznymi
usługami od wewnątrz (przez router) tak samo jak z zewnątrz.
Większość ruterów 3G jakie testowałem nie umożliwiały tego, forwardy
na interfejsie zewnętrznym działają tylko dla połączeń od strony tego
interfejsu. Jak się nazywa marketingowo ta funkcja, którą dysponuje
ten d-link? Nic w jego ustawieniach nie znalazłem co by sugerowało
taką konfigurację.
Czy są jakieś inne rutery 3G które to potrafią? Oczywiście nie pytam
jak to zrobić na iptables bo to banał, ale ciekawi mnie czy inne też
to mają out of the box.

--
Marek

do góry

On 23/10/2020 16:25, Marek wrote:
> Penetrując ostatnio pewną sieć natknąłem się na ciekawy router GSM
> d-linka. Otóż zewnętrzny IP providera byl dostępny od wewnątrz wraz z
> wszystkimi forwardami portów, można było się połączyć z wewnetrznymi
> usługami od wewnątrz (przez router)  tak samo jak z zewnątrz. Większość
> ruterów 3G jakie testowałem  nie umożliwiały tego, forwardy na
> interfejsie zewnętrznym działają tylko dla połączeń od strony tego
> interfejsu. Jak się nazywa marketingowo ta funkcja, którą dysponuje ten
> d-link? Nic w jego ustawieniach nie znalazłem co by sugerowało taką
> konfigurację.
> Czy są jakieś inne rutery 3G które to potrafią? Oczywiście nie pytam jak
> to zrobić na iptables bo to banał, ale ciekawi mnie czy inne też to mają
> out of the box.
>

chodzi Ci o DMZ?


BTW, chyba wszyscy operatorzy robią teraz CG-NAT więc z publicznym IP to
raczej nici...

c.

do góry

On Fri, 23 Oct 2020 16:56:01 +0100, Cezar <c...@t...pl.invalid>
wrote:
> chodzi Ci o DMZ?

Nie. "DMZ" to redirect calego ruchu z internetu do zewnątrznego IP na
wskazany wewnętrzny IP. W ten sposób można wystawić wew. serwer ze
wszystkimi jego portami (coś jak "wirtualny" serwer ale bez wskazania
portów):

Internet --> IP_zew[router]IP_wew ->IP_wew[serwer]

Ja pytam o taką sytuację, w której wewnętrzny host próbuje się łączyć
z zewIP routera na redirectowany port kierowany z powrotem do
wewnątrz.
Czyli mamy konfigurację na routerze "wirtualnego serwera" dla np.
portu 515 przekieruj na 192.168.8.10. Ponieważ taka reguła jest tylko
dla połączeń inicjowanych z zewnątrz a taki pakiet z wew. nie
wchodzi na zewnętrzny interfejs stąd nie wpada w regułę redirecta i
jest dropowany. Ale nie w tym d-linku, robi redirecty nawet dla
pakietów na interfejsie wew. ale z dst zew. Ciekawe.




> BTW, chyba wszyscy operatorzy robią teraz CG-NAT więc z publicznym
> IP to
> raczej nici...

--
Marek

do góry

W dniu 2020-10-23 o 17:25, Marek pisze:
Jak się nazywa marketingowo ta funkcja, którą dysponuje ten
> d-link? Nic w jego ustawieniach nie znalazłem co by sugerowało taką
> konfigurację.


Luka bezpieczeństwa.

do góry

On Fri, 23 Oct 2020 21:36:11 +0200, t-1 <t...@t...pl> wrote:
> Luka bezpieczeństwa.

No to opowiedz jaki scenariusz masz na mysli. W wielu przypadkach
może się przydać bo nie trzeba robić widoków DNS.
.

--
Marek

do góry

2020-10-23 o 21:06 +0200, Marek napisał:
> Nie. "DMZ" to redirect calego ruchu z internetu do zewnątrznego IP na
> wskazany wewnętrzny IP.

DMZ to jednak coś nieco innego, i z NATem nie ma nic wspólnego. To co
piszesz, to definicja którą wymyślili niektórzy producenci soho-boxów,
coby ich produkt brzmiał "poważnie".

> Czyli mamy konfigurację na routerze "wirtualnego serwera" dla np.
> portu 515 przekieruj na 192.168.8.10. Ponieważ taka reguła jest tylko
> dla połączeń inicjowanych z zewnątrz a taki pakiet z wew. nie
> wchodzi na zewnętrzny interfejs stąd nie wpada w regułę redirecta i
> jest dropowany. Ale nie w tym d-linku, robi redirecty nawet dla
> pakietów na interfejsie wew. ale z dst zew. Ciekawe.

To dość typowa konfiguracja, pozwalająca w łatwy sposób uniknąć
rzeźby z wpisami DNS zależnymi od tego, kto pyta. Przy czym
konfiguracja ta wymaga osobnej sieci (logicznej lub fizycznej) dla
hostowanych usług, w przeciwnym razie dochodzi do asymetrycznego
routingu, a ten w połączeniu z NATem po prostu nie zadziała.

Mateusz

do góry

On Sat, 24 Oct 2020 09:33:36 +0200, Mateusz Viste
<m...@x...invalid> wrote:
> DMZ to jednak coś nieco innego, i z NATem nie ma nic wspólnego. T
> o co
> piszesz, to definicja którą wymyślili niektórzy produce
> nci soho-boxów,
> coby ich produkt brzmiał "poważnie".

Oczywiście, że to bełkot marketingowy. Dlatego użyłem cudzysłowów.


> To dość typowa konfiguracja, pozwalająca w łatwy spos
> ób uniknąć [...]
> konfiguracja ta wymaga osobnej sieci (logicznej lub fizycznej) dla
> hostowanych usług,

Świetnie, stąd powiedz mi jak to się marketingowo nazywa i dlaczego w
innych routerach nie widzę takiej funkcji. A nawet w tym d-linku w
ustawieniach nie ma, choć to w nim działa.


>w przeciwnym razie dochodzi do asymetrycznego
> routingu, a ten w połączeniu z NATem po prostu nie zadziała.

??

--
Marek

do góry

2020-10-24 o 10:11 +0200, Marek napisał:
> Świetnie, stąd powiedz mi jak to się marketingowo nazywa i dlaczego w
> innych routerach nie widzę takiej funkcji.

Marketingowa nazwa zależy od producenta ("port forwarding", "redirect",
"DNAT"...). Operacja jest ściśle ta sama, co ta wykonana zwyczajowo na
pakietach pochodzących z zewnątrz - tyle, że reguła zostaje w tym
wypadku podpięta pod inny interfejs (zwyczajowo nazywany "LAN").

To konfiguracja którą spotykałem nagminnie w sieciach średnich i dużych
przedsiębiorstw 15 lat temu, kiedy to jeszcze interesowałem się
tematem. Byli oczywiście też tacy, co woleli walczyć z regułkami binda,
coby rozwiązywać firmowe adresy inaczej dla LAN, a inaczej dla reszty
świata. Kto adminowi zabroni.

> A nawet w tym d-linku w ustawieniach nie ma, choć to w nim działa.

Ale ja nie mówię o marketowych routerkach dla soho. Te robią co
im się podoba, i potrafią wymyślić najcudaczniejsze nazwy dla
elementarnych operacji.

> >w przeciwnym razie dochodzi do asymetrycznego
> > routingu, a ten w połączeniu z NATem po prostu nie zadziała.
>
> ??

- 10.0.0.2 wysyła do gw pakiet z dst=1.2.3.4
- gw nadpisuje dst=10.0.0.9 i przesyła do 10.0.0.9
- 10.0.0.9 odpowiada do 10.0.0.2 (bo takie jest IP src pakietu)

10.0.0.2 dziwi się, że wysłał SYN do 1.2.3.4, a dostał SYN/ACK od
10.0.0.9 -> Pakiet ląduje w koszu.

Prościej nie potrafię.

Przy czym i taki schemat da się na siłę doprowadzić do działania,
poprzez wykonanie operacji przepisania IP src (operacja czasem
nazywana "masquerade" lub "SNAT") na pakietach wychodzących z
interfejsu LAN, a posiadających src i dst w sieci lokalnej... Ale to
już podchodzi pod gimnastykę cyrkową, sam nie chciałbym zarządzać
siecią z taką obsługą ruchu.

Mateusz

do góry

On Sat, 24 Oct 2020 11:03:54 +0200, Mateusz Viste
<m...@x...invalid> wrote:
> Marketingowa nazwa zależy od producenta ("port forwarding",
> "redirect",
> "DNAT"...). Operacja jest ściśle ta sama, co ta wykonana zwyczajo

Cała odpowiedź jest nie na temat. Ja nie pytam o NAT, DNAT reirext
czy forward. Ja pytam o zawijanie routingu.

--
Marek

do góry

On 23.10.2020 17:25, Marek wrote:
> Penetrując ostatnio pewną sieć natknąłem się na ciekawy router GSM
> d-linka. Otóż zewnętrzny IP providera byl dostępny od wewnątrz wraz z
> wszystkimi forwardami portów, można było się połączyć z wewnetrznymi
> usługami od wewnątrz (przez router)  tak samo jak z zewnątrz. Większość
> ruterów 3G jakie testowałem  nie umożliwiały tego, forwardy na
> interfejsie zewnętrznym działają tylko dla połączeń od strony tego
> interfejsu. Jak się nazywa marketingowo ta funkcja,

Nie spotkałem się z żadną nazwą ani żeby jakiś producent się tym chwalił.
Po prostu jedne rutery tak robią, inne nie.
Oczywiście rutery typu Mikrotik można sobie ustawić jak chcesz.

--
Mirek.

do góry