Назад | Перейти на главную страницу

Маршрутизация частного IP-адреса через Интернет

Мы настраиваем внутреннюю программу на внутреннем сервере, который использует частную подсеть 172.30.x.x ... когда мы пингуем адрес 172.30.138.2, он маршрутизируется через Интернет:

C:\>tracert 172.30.138.2
Tracing route to 172.30.138.2 over a maximum of 30 hops

  1     6 ms     1 ms     1 ms  xxxx.xxxxxxxxxxxxxxx.org [192.168.28.1]
  2     *        *        *     Request timed out.
  3    12 ms    13 ms     9 ms  xxxxxxxxxxx.xxxxxx.xx.xxx.xxxxxxx.net [68.85.xx.xx]
  4    15 ms    11 ms    55 ms  te-7-3-ar01.salisbury.md.bad.comcast.net [68.87.xx.xx]
  5    13 ms    14 ms    18 ms  xe-11-0-3-0-ar04.capitolhghts.md.bad.comcast.net [68.85.xx.xx]
  6    19 ms    18 ms    14 ms  te-1-0-0-4-cr01.denver.co.ibone.comcast.net [68.86.xx.xx]
  7    28 ms    30 ms    30 ms  pos-4-12-0-0-cr01.atlanta.ga.ibone.comcast.net [68.86.xx.xx]
  8    30 ms    43 ms    30 ms  68.86.xx.xx
  9    30 ms    29 ms    31 ms  172.30.138.2

Trace complete.

Это многих сбивает с толку. Если бы у нас была настройка VPN, она бы не отображалась как маршрутизируемая через Интернет. Если он попадает на интернет-сервер, частные IP-адреса (например, 192.168) не должны маршрутизироваться.

Что позволит частному IP-адресу маршрутизироваться между серверами? будет ли тот факт, что это все comcast, означать, что их маршрутизаторы настроены неправильно?

Что позволит частному IP-адресу маршрутизироваться между серверами?

Если маршрутизаторы между вами и пунктом назначения не имеют входных / исходящих фильтров, которые блокируют частное адресное пространство, то он, вероятно, будет маршрутизироваться по маршрутам по умолчанию. Вам следует серьезно подумать о настройке правил на вашем внешнем маршрутизаторе, которые запрещают всем, предназначенным для частного адреса, покидать вашу сеть.

Многие маршрутизаторы просто пересылают весь трафик и вообще не выполняют никакой фильтрации. Частный адрес выглядит так же, как и любой другой адрес. Если у маршрутизатора нет явно определенного маршрута, он отправляет его на свой шлюз по умолчанию.

Очевидно, вам удалось связаться с кем-то еще с плохо настроенным маршрутизатором.

Также бывают случаи, когда может произойти утечка частного IP-адреса, но при этом эти частные IP-адреса не будут общедоступными. Допустим, у вас была такая простая сеть. Предположим также, что все IP-адреса являются общедоступными, за исключением подсети между маршрутизатором 2 и маршрутизатором 3. Когда вы запускаете traceroute от клиента 1 к клиенту 2, вы можете увидеть или не увидеть ответ от маршрутизатора 3. Если у вас все в порядке с установленными фильтрами, вы не увидите ответа, если нет, и ни в одной другой системе нет фильтров, вы увидите ответ. Пакет, возвращаемый из маршрута трассировки, обычно включает IP-адрес интерфейса, на котором была получена трассировка, но он будет адресован IP-адресу машины, на которой выполняется трассировка. Поскольку адрес назначения действителен, пакет будет доставлен, даже если он имеет частный IP-адрес в качестве адреса источника.

  • клиент 1 подключен к router1
  • маршрутизатор 1 подключен к маршрутизатору 2
  • ротор 2 подключен к роутеру 3
  • маршрутизатор 3 подключен к клиенту 2

Во многом это возвращается к пунктам этого вопроса о Подделка IP. Когда нет фильтров и вас не интересуют ответы, исходным адресом может быть что угодно. Поскольку реализации traceroute используют протокол ICMP, а протокол ICMP не имеет состояния, вы можете увидеть IP-адреса, к которым вы не можете напрямую подключиться или которые могут быть даже недействительными.

Похоже, ваша исходная сеть - 192.168.28.0. Знает ли ваша машина или ваш маршрутизатор о сети 172.30.138.x? Если нет, он просто отправит ему свой маршрут по умолчанию, как и любую другую сеть, которую он не знает.

Вам нужно будет либо добавить интерфейс в сеть 172.30.138.x на исходном компьютере, либо добавить интерфейс в этой сети на вашем маршрутизаторе, чтобы он мог правильно направлять трафик.

будет ли тот факт, что это все comcast, означать, что их маршрутизаторы настроены неправильно?

Неправильная настройка? да, частные адресации должны обязательно фильтроваться внутри их сети. Но если они были немного небрежны, то это возможно, если путь все Comcast- в операторских сетях, особенно небрежные, такие как Comcast, частная адресация тщательно фильтруется на периферии сети, но не так сильно на ядре или частях доступа. В вашем случае кажется, что весь маршрут предназначен только для Comcast, поэтому «разумно», что он действительно может быть перенаправлен в пункт назначения также в Comcast, который фактически отвечает за него. Конечно, это не чистая сетевая реализация, и вы действительно поехали из Балтимора в Денвер и, наконец, в Джорджию, но это возможно в рамках полной «автономной системы», которая позволяет это.

Что позволит частному IP-адресу маршрутизироваться между серверами?

Давайте сначала определим, что такое частный IP-адрес: это адрес, который по соглашению не маршрутизируется в Интернете. Это означает, что мы как сообщество соглашаемся никогда не объявлять эти маршруты через BGP. Это также означает, что интернет-провайдер, вероятно, уничтожит эти маршруты на границах своей сети, чтобы предотвратить их возможное распространение.

Однако это не означает, что частный IP-адрес не может проходить через маршрутизаторы. Очень возможно и даже очень вероятно, что Comcast использует диапазоны частных IP-адресов для сетевого оборудования, которое никогда не должно связываться с Интернетом в целом. Эти маршруты могут пересылаться протоколами внутренней маршрутизации по всей сети Comcast.

В общем, я собираюсь предположить, что это тот случай, когда ваш маршрутизатор выполняет преобразование NAT, а затем по умолчанию маршрутизирует весь трафик, который не является локальным, для маршрутизатора следующего перехода, включая частное IP-пространство. Однако маловероятно, что существует много маршрутизаторов Comcast, имеющих маршруты по умолчанию, которые случайно проходят весь путь до отвечающего хоста с частным IP. Я твердо уверен, что это что-то целенаправленное. Это может быть датчик температуры с дистанционным мониторингом или какое-либо другое не менее безобидное устройство, с которым не нужно разговаривать никому за пределами Comcast.

Означает ли тот факт, что это все Comcast, неправильную настройку маршрутизаторов?

Поскольку ваш traceroute показывает, что все пакеты остаются в сети Comcast, на самом деле это не очень удивительное обстоятельство, с которым вы столкнулись. Он находится в единой автономной системе и не нарушает никаких стандартов.

Частный адрес такой же, как и любой другой IP-адрес. Если он будет объявлен в Интернете, он будет маршрутизируемым. Предположительно, у интернет-провайдеров есть входящие / исходящие фильтры для предотвращения утечки этих адресов в «то, что конечный пользователь воспринимает как Интернет».

Но в вашем случае трафик так и не ушел из Comcast AS7922. Comcast использовал частный адрес RFC1918, как и все остальные (интернет-провайдеры обычно используют их для STB, модема, DHCP, DNS и т. Д.). Если они не фильтруют его, то вы можете добраться до него ...