Witam!

Czy poprawnym jest umieszczanie w sieci publicznej routerów z IP
należącym do adresów niepublicznych ? Oto przykład:

HOST LOSS RCVD SENT BEST AVG WORST
[...]
213.155.191.25 13% 14 16 9.00 12.85 18.96
10.201.0.9 0% 16 16 8.25 59.04 157.07
193.219.28.81 0% 16 16 15.09 70.58 194.92
193.219.28.234 7% 15 16 43.09 89.11 178.00
217.153.3.4 7% 15 16 30.07 118.25 296.05
195.94.192.182 19% 13 16 42.11 131.64 357.95
217.153.6.8 7% 15 16 31.91 90.28 235.05
217.153.136.66 7% 15 16 40.15 93.95 194.07
[...]

A teraz w drugą stronę:

traceroute to 212.14.xx.xx (212.14.xx.xx), 30 hops max, 38 byte packets
[...]
2 217.153.136.65 2.907 ms 1.835 ms 1.704 ms
3 217.153.6.1 5.803 ms 22.460 ms 1.880 ms
4 217.153.6.74 68.161 ms 78.275 ms 77.907 ms
5 212.14.0.30 213.387 ms 217.959 ms 370.791 ms
6 10.201.0.10 257.847 ms 264.954 ms 288.432 ms
7 213.155.191.28 312.847 ms 339.212 ms 393.301 ms
[...]

Czy w przypadku gdy np. na 10.201.0.10 (hop 6) brak będzie dalszej trasy
do 212.14.xx.xx to komputer inicjujący połączenie dostanie odpowiedni
komunikat ? W większości przypadków na wejściach do sieci lokalnych cięte
jest wpuszczanie pakietów z sieci niepublicznych. Czy też (jak poradzono
w ACI-Szczecin) należy odblokować na fw wpuszczanie pakietów z ich
routera korzystającego z adresów niepublicznych ?

Tak więc podsumowując: czy to poprawne rozwiązanie które (w celu
oszczędzania publicznych IP) należy wprowadzić ?

Pozdrawiam,
Andrzej

--
email: dzemik at pingwin.eu.org

do góry

On Thu, 3 Jun 2004 12:44:34 +0000 (UTC) I had a dream that Andrzej Nakonieczny
<d...@p...invalid> wrote:
> Tak więc podsumowując: czy to poprawne rozwiązanie które (w celu
> oszczędzania publicznych IP) należy wprowadzić ?

Niepoprawne. A jak ktoś chce zaoszczędzić adresy, to niech stosuje
ip unnumbered i podobne.

--
Grzegorz Janoszka odpowiadając POPRAW adres

UWAGA, mam specyficzne poczucie humoru! Na newsach wyrażam swoje prywatne
specyficzne poglądy, a nie moich byłych, obecnych i przyszłych pracodawców.

do góry

Dnia Thu, 3 Jun 2004 12:50:18 +0000 (UTC), Pan(i) Grzegorz Janoszka
<G...@S...pro.onet.pl> popełnił(a):
> On Thu, 3 Jun 2004 12:44:34 +0000 (UTC) I had a dream that Andrzej Nakonieczny
> <d...@p...invalid> wrote:
>> Tak więc podsumowując: czy to poprawne rozwiązanie które (w celu
>> oszczędzania publicznych IP) należy wprowadzić ?
>
> Niepoprawne. A jak ktoś chce zaoszczędzić adresy, to niech stosuje
> ip unnumbered i podobne.

CHyba tylko ideologicznie, bo problemu opisanego przez Andrzeja nie zauwazymy,
tzn, host rozpoczynajacy polaczenie dostanie informacje, niezaleznie czy router
bedzie mial adres prywatny czy publiczny.
Sadze ze przemawia tu tez kwestia bezpieczenstwa maszyny z adresem prywatnym,
nie tyle oszczednosc adresow IP.

--
Tomasz Kuźniar <m...@m...eu.org>
_Cały_ świat jest robiony nogami.

do góry

m...@m...eu.org wrote:

[...]

> CHyba tylko ideologicznie, bo problemu opisanego przez Andrzeja nie zauwazymy,
> tzn, host rozpoczynajacy polaczenie dostanie informacje, niezaleznie czy router
> bedzie mial adres prywatny czy publiczny.

Jeśli to ten właśnie router wyśle ICMP (że host jest nieosiągalny) to mam
prawo przypuszczać, że jednak to do mnie nie dotrze - z sieciami z
którymi ja się spotkałem na interfejsie WAN wycinane są wszystkie adresy
niepubliczne, tak więc taki ICMP nie zostanie do niej wpuszczony.
Zostanie on (jak mogę przypuszczać) zablokowany także na routerze
brzegowym operatora (jeśli jest poprawnie skonfigurowany) ... choć jak
można było zobaczyć w pierwszy poście w wątku tak nie było ...
Czy naprawdę mam serio potraktować to co mi zaproponowano i zacząć
wpuszczać 10/8 na moim interfejsie WAN ?

Andrzej

--
email: dzemik at pingwin.eu.org

do góry

Dnia Thu, 3 Jun 2004 13:15:02 +0000 (UTC), Pan(i) Andrzej Nakonieczny
<d...@p...invalid> popełnił(a):
> Jeśli to ten właśnie router wyśle ICMP (że host jest nieosiągalny) to mam
> prawo przypuszczać, że jednak to do mnie nie dotrze - z sieciami z
> którymi ja się spotkałem na interfejsie WAN wycinane są wszystkie adresy
> niepubliczne, tak więc taki ICMP nie zostanie do niej wpuszczony.

Tak, patrzac "od tej strony" tak bedzie, ale, IMO adres proywatny w wiekszosci
bedzie nalezal do firewalli, ktore i tak nie "wydalaja" nic od siebie, a od
strony sieci bedzie stal router np. z jednym interfejsem publicznym od strony
netu i drugim prywatnym do polaczenia z firewallem. Sadze ze odpowiedz dostaniez
juz od routera, oczywiscie z interfejsu z publicznym IP.

> Zostanie on (jak mogę przypuszczać) zablokowany także na routerze
> brzegowym operatora (jeśli jest poprawnie skonfigurowany) ... choć jak
> można było zobaczyć w pierwszy poście w wątku tak nie było ...

Przedstawilem wersje od strony "wewnetrznej" sieci, gdzie mozesz sobie pozwolic
na nieblokowanie tego typu adresow.

--
Tomasz Kuźniar <m...@m...eu.org>
_Cały_ świat jest robiony nogami.

do góry

m...@m...eu.org wrote:

[...]

> Przedstawilem wersje od strony "wewnetrznej" sieci, gdzie mozesz sobie pozwolic
> na nieblokowanie tego typu adresow.

Ale czy siec MAN to (dla mnie) siec wewnetrzna ? Jak dla mnie to juz
siec Internet, m.in. ze studentami chcacymi utrudnic nie jednemu
zycie itp. WIec dlaczego mam je wpuszczac do (mojej) sieci wewnetrznej
bez zadnej kontroli ?

Pozdrawiam,
Andrzej

--
email: dzemik at pingwin.eu.org

do góry

m...@m...eu.org wrote:

[...]

> Przedstawilem wersje od strony "wewnetrznej" sieci, gdzie mozesz sobie pozwolic
> na nieblokowanie tego typu adresow.

Ale czy siec MAN to (dla mnie) siec wewnetrzna ? Jak dla mnie to juz
siec Internet, m.in. ze studentami chcacymi utrudnic nie jednemu
zycie itp. Wiec dlaczego mam je wpuszczac do (mojej) sieci wewnetrznej
bez zadnej kontroli ?

Pozdrawiam,
Andrzej

--
email: dzemik at pingwin.eu.org

do góry

Andrzej Nakonieczny <d...@p...invalid> writes:

> Ale czy siec MAN to (dla mnie) siec wewnetrzna ? Jak dla mnie to juz
> siec Internet, m.in. ze studentami chcacymi utrudnic nie jednemu
> zycie itp. Wiec dlaczego mam je wpuszczac do (mojej) sieci wewnetrznej
> bez zadnej kontroli ?

Jesli to router w MANie (nie moge w tej chwili sprawdzic), to w ogole
nie ma o czym mowic, nie moze miec prywatnych IP, bo z pewnoscia
wiele sieci ICMP z takiego adresu wytnie na wejsciu.

Wpuszczanie adresow prywatnych do wlasnej sieci w ogole nie podlega
rozwazaniu - to tak, jakby rozwazac wpuszczanie wlasnych adresow
z Internetu.

Jesli sami jestesmy w prywatnej sieci, to routery wewnatrz niej moga
oczywiscie miec adresy prywatne z _tej_ sieci (okreslenie "ta" sieci
wymaga raczej uzgodnienia, by nie bylo konfliktow ani wycinania).

Oczywiscie nie moze to byc widoczne z zewnatrz, czyli z sieci publicznej.
--
Krzysztof Halasa, B*FH

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

> Jesli to router w MANie (nie moge w tej chwili sprawdzic), to w ogole
> nie ma o czym mowic, nie moze miec prywatnych IP, bo z pewnoscia
> wiele sieci ICMP z takiego adresu wytnie na wejsciu.

Tak, to router w MANie, poza moją siecią (tj. 2 routery dalej).

> Wpuszczanie adresow prywatnych do wlasnej sieci w ogole nie podlega

Niestety wg. pracowników MANa jest to jedyne rozwiązanie jeśli chcę mieć
możliwość odebrania jakiegokolwiek ICMP z tego routera.

> rozwazaniu - to tak, jakby rozwazac wpuszczanie wlasnych adresow
> z Internetu.

Dokładnie.

> Jesli sami jestesmy w prywatnej sieci, to routery wewnatrz niej moga
> oczywiscie miec adresy prywatne z _tej_ sieci (okreslenie "ta" sieci
> wymaga raczej uzgodnienia, by nie bylo konfliktow ani wycinania).

I u mnie w sieci wewnętrznej tak jest ale adresów tych nie wypuszczam
na zewnątrz i są one również niewpuszczane z zewnątrz (wycięte na
moim routerze brzegowym, na interfejsie WANowskim).

> Oczywiscie nie moze to byc widoczne z zewnatrz, czyli z sieci publicznej.

A jednak były, obecnie już nie są co wcale nie zmienia sytuacji. Wciąż
jest możliwość, że jeśli brak jest trasy do mojej sieci na tym
"niewidzialnym" (a raczej wyfiltrowanym) routerze, to osoba chcąca się
do mnie podłączyć nigdy się o tym nie dowie, nie dostanie odpowiedniego
ICMP i nie będzie mogła np. skorzystać z drugiego rekordu A przypisanego
do tej samej usługi tyle, że na IP od innego operatora (niektóre usługi
u mnie mają podwójny rekord A) a przynajmniej nie od razu, dopiero po
timeoucie połączenia. :( Tylko jak to wytłumaczyć pracownikom MANa ?

Andrzej

--
email: dzemik at pingwin.eu.org

do góry