Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

NAT og routing

petterg

Av petterg
i Internett og nettverk

Anbefalte innlegg

petterg

petterg

Skrevet
Skrevet

Først et senario:

Om man har en gateway som utfører NAT kan man komme seg inn på LANet dersom det ikke er noen brannmur som beskytter.

F.x om gatewayen er satt opp med:

LAN: 192.168.1.1/24

WAN: 123.123.123.123/24

og man har en pc med adresse 123.123.123.124/24 (altså i samme subnet som gatewayen) kan man sette gateway på PC til 123.123.123.123 og dermed kunne nå PC'r på innsiden f.x med ip 192.168.1.2 fra pc'n på utsiden.

 

Så det hypotetiske spørsmålet:

Dersom PC'n på utsiden er i et annet subnet, kanskje også på en annen ISP, er det da noen mulighet til å komme seg inn på 192.168.1.0/24 nettet?

 

(Anta at man ikke har tilgang til å endre routingtabeller hos ISP, og ikke setter opp gatewayen med portforward, ip forward eller 1-1 nat.)

Videoannonse

Videoannonse
Annonse
anatiwa

anatiwa

Skrevet
Skrevet
Først et senario:

Om man har en gateway som utfører NAT kan man komme seg inn på LANet dersom det ikke er noen brannmur som beskytter.

Du kan komme inn i den forstand at hvis forespørslen kom fra LANet kommer også svaret inn. Hvis du sender en forespørsel til en gateway og den ikke finner noe i NAT tabellen som tilsier at dette er et svar på noe fra innsiden dropper den pakken

F.x om gatewayen er satt opp med:

LAN: 192.168.1.1/24

WAN: 123.123.123.123/24

og man har en pc med adresse 123.123.123.124/24 (altså i samme subnet som gatewayen) kan man sette gateway på PC til 123.123.123.123 og dermed kunne nå PC'r på innsiden f.x med ip 192.168.1.2 fra pc'n på utsiden.

192.168.x.x er en reservert range og routes ikke så nei det vil ikke virke

Så det hypotetiske spørsmålet:

Dersom PC'n på utsiden er i et annet subnet, kanskje også på en annen ISP, er det da noen mulighet til å komme seg inn på 192.168.1.0/24 nettet?

 

(Anta at man ikke har tilgang til å endre routingtabeller hos ISP, og ikke setter opp gatewayen med portforward, ip forward eller 1-1 nat.)

8351123[/snapback]

Svaret her blir det samme, for at det skal virke man man nettop sette opp portforwarding eller lignende

petterg

petterg

Skrevet
  • Forfatter
Skrevet
Først et senario:

Om man har en gateway som utfører NAT kan man komme seg inn på LANet dersom det ikke er noen brannmur som beskytter.

Du kan komme inn i den forstand at hvis forespørslen kom fra LANet kommer også svaret inn. Hvis du sender en forespørsel til en gateway og den ikke finner noe i NAT tabellen som tilsier at dette er et svar på noe fra innsiden dropper den pakken

 

 

Nei. Den dropper ikke. Skrur man av brannmur på en hvilken som helst gateway med NAT (også hjemmeroutere), vil man klare å komme seg inn på den måten.

 

For det hypotetiske spørsmålet blir det i praksis: Når man er på et annet subnet enn gatewayens public IP, vil det da være mulig å sette en route slik at all trafikk til 192.168.x.x skal gå via 123.123.123.123, når man selv befinner seg på 213.213.213.213?

Bussey

Bussey

Skrevet
Skrevet
Først et senario:

Om man har en gateway som utfører NAT kan man komme seg inn på LANet dersom det ikke er noen brannmur som beskytter.

Du kan komme inn i den forstand at hvis forespørslen kom fra LANet kommer også svaret inn. Hvis du sender en forespørsel til en gateway og den ikke finner noe i NAT tabellen som tilsier at dette er et svar på noe fra innsiden dropper den pakken

 

 

Nei. Den dropper ikke. Skrur man av brannmur på en hvilken som helst gateway med NAT (også hjemmeroutere), vil man klare å komme seg inn på den måten.

 

For det hypotetiske spørsmålet blir det i praksis: Når man er på et annet subnet enn gatewayens public IP, vil det da være mulig å sette en route slik at all trafikk til 192.168.x.x skal gå via 123.123.123.123, når man selv befinner seg på 213.213.213.213?

8365184[/snapback]

 

Nei dette skal ikke virke da 192.168.x.x nettene ikke rutes. så for å få det til må du kunne sette en statisk rute og må da ha next-hop som 123.123.123.123 noe som betyr at du må befinne deg i 123.123.123.0/24 nettet i tilfellet du har trukket frem.

Knopfix

Knopfix

Skrevet
Skrevet (endret)

Jeg hadde en merkelig opplevelse da jeg brukte en scanner for å finne porter og addresser i mitt private nettverk hjemme.

Hadde da konfigurert mitt LAN i 192.168.x.x rangen.

Etter scanningen i MITT nettverk dukket det opp en hel haug med private addresser som var i 192.168.x.x rangen og da jeg sjekket var det blant annet flere maskiner fra en bedrift som kom opp som var subnettet med private addresser som var i mitt private 192.168.x.x nettverk og dette til tross for at jeg var bak en ruter med ekstern 81.x.x.x addresse.Dette skal jo ikke gå ann.

Feilen er borte nå,får kun egne addresser.

Endret av Knopfix
Knopfix

Knopfix

Skrevet
Skrevet

Hvis det ikke er ISP som har gjort noe feil.Det er lagt opp fibernett som er lagt opp lignende et bedrifts nett med plass til kun 254 hosts pr nett.Vet at denne bedriften holder til 4-5 km fra meg.Men de holder også til flere steder i landet.

Mener å huske at det var flere andre private addresser som også kom inn i mitt nett.Dette kan jo også bety at disse hadde tilgang til mitt nett siden jeg kom inn på deres.

Dette nettet er er ganske ferskt så jeg tenkte ISP kanskje gjorde en feil med routingen da det skjedde kort tid ettet at nettet kom opp i distriktet.

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...