Назад | Перейти на главную страницу

Должны ли сетевые и широковещательные IP-адреса отвечать?

У меня есть сеть / 24, которая разделена на несколько небольших участков. Я недавно изучил каждый маршрутизатор в сети (в основном Cisco), чтобы задокументировать, как эта сеть была разделена. Теперь посмотрим на результат проверки связи:

nmap -sP 192.168.1.*

Я вижу, что некоторые, но не все зарезервированные «сетевые» и «широковещательные» IP-адреса отвечают на эхо-запросы. Например, сеть 192.168.1.80/29 имеет сеть 192.168.1.80 и широковещательную передачу 192.168.1.87. В этой конкретной подсети оба этих IP-адреса дают мне ответ ping от внешнего интерфейса маршрутизатора (192.168.5.20).

Многие другие подсети ведут себя аналогичным образом. Однако другие этого не делают. Глядя на конфигурации маршрутизатора, мне ничего не выскакивает, что могло бы вызвать такое поведение.

Кто-нибудь знает причину такого поведения? Я хочу, чтобы эти адреса отвечали или нет? Немного не связано: должен ли я иметь обратные записи DNS для сетевых и широковещательных IP-адресов?

Вы не хотите, чтобы что-либо отвечало на пинг сети или широковещательные адреса через Интернет. Если бы это было возможно, вашу сеть можно было бы использовать как часть смурф атака.

Большинство программных брандмауэров на базе хостов в наши дни блокируют ответы на ICMP для сетевых / широковещательных адресов. Поскольку фактическая ценность, которую может принести включение ответов icmp на широковещательные рассылки, очень мала.

Ядро Linux по умолчанию игнорирует эти типы эхо-запросов, но это можно настроить, изменив значение параметра /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.

Что касается вашего вопроса о DNS. Я не знаю, есть ли в этом много преимуществ. Не помешало бы добавить это, но на самом деле для этого нет веской причины. Обратный поиск может быть полезен для тех, кто находится за пределами вашей сети, если они хотят найти тех, кому принадлежат эти адреса, и они не знают, как выполнить правильный поиск.

Для маршрутизаторов Cisco попробуйте добавить это к каждому интерфейсу

Нет направленного IP-вещания

Я думаю, что это значение по умолчанию, но вы можете попробовать и посмотреть.

Что касается других устройств, это будет зависеть от ОС.

Интересно, почему одни вели себя иначе, чем другие, и вот почему:

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#ios

В текущих версиях программного обеспечения Cisco IOS эта функция отключена по умолчанию; однако его можно включить с помощью команды настройки интерфейса ip direction-broadcast. В выпусках программного обеспечения Cisco IOS до 12.0 эта функция включена по умолчанию.

Некоторые устройства будут отвечать на эхо-запросы широковещательного адреса сети, в зависимости от того, какая операционная система на них установлена. У меня есть брандмауэр Watchguard и устройство Avocent ipkvm, которые будут отвечать на эхо-запросы на широковещательный адрес сети.

Я не верю, что хосты Windows ответят на эти эхо-запросы.