Частный IP маршрутизируется через Интернет

Question

Частный IP маршрутизируется через Интернет

Мы устанавливаем внутреннюю программу на внутреннем сервере, который использует частную подсеть 172.30.xx... когда мы пропингуем адрес 172.30.138.2, она маршрутизирует через Интернет:

C:\>tracert 172.30.138.2
Tracing route to 172.30.138.2 over a maximum of 30 hops

  1     6 ms     1 ms     1 ms  xxxx.xxxxxxxxxxxxxxx.org [192.168.28.1]
  2     *        *        *     Request timed out.
  3    12 ms    13 ms     9 ms  xxxxxxxxxxx.xxxxxx.xx.xxx.xxxxxxx.net [68.85.xx.xx]
  4    15 ms    11 ms    55 ms  te-7-3-ar01.salisbury.md.bad.comcast.net [68.87.xx.xx]
  5    13 ms    14 ms    18 ms  xe-11-0-3-0-ar04.capitolhghts.md.bad.comcast.net [68.85.xx.xx]
  6    19 ms    18 ms    14 ms  te-1-0-0-4-cr01.denver.co.ibone.comcast.net [68.86.xx.xx]
  7    28 ms    30 ms    30 ms  pos-4-12-0-0-cr01.atlanta.ga.ibone.comcast.net [68.86.xx.xx]
  8    30 ms    43 ms    30 ms  68.86.xx.xx
  9    30 ms    29 ms    31 ms  172.30.138.2

Trace complete.

Это запутало многих из нас. Если бы у нас была настройка VPN, она бы не отображалась как маршрутизируемая через Интернет. В случае попадания на интернет-сервер частные IP-адреса (например, 192.168) не должны маршрутизироваться.

Что позволит частному IP-адресу маршрутизироваться между серверами? будет ли тот факт, что все это comcast означает, что у них неправильно настроены маршрутизаторы?

7

routing private-ip

Источник

WernerCD 27 мар '12 в 20:50

5 ответов

Решение

Похоже, ваша исходная сеть 192.168.28.0. Ваша машина или ваш маршрутизатор знают о сети 172.30.138.x? Если нет, он просто отправит маршрут по умолчанию, как и любая другая сеть, которую он не знает.

Вам нужно будет либо добавить интерфейс в сеть 172.30.138.x на исходном компьютере, либо добавить интерфейс в этой сети на маршрутизаторе, чтобы он мог правильно направлять трафик.

7

Источник

jerm 27 мар '12 в 22:35

будет ли тот факт, что все это comcast означает, что у них неправильно настроены маршрутизаторы?

Настроить неправильно? Да, частная адресация должна абсолютно фильтроваться внутри их сети. Но если они были немного неаккуратными, то возможно, если все пути принадлежат Comcast - в несущих сетях, особенно неаккуратных, таких как Comcast, частная адресация тщательно фильтруется в пограничных сетях, но не так сильно, как в ядре или частях доступа., В вашем случае кажется, что весь маршрут только для Comcast, поэтому "разумно", что он может быть перенаправлен в пункт назначения также в Comcast, который фактически отвечает за него. Конечно, это не чистая сетевая реализация, и вы действительно отправились из Балтимора в Денвер и, наконец, в Грузию, но это возможно в рамках полной "автономной системы", которая допускает это.

1

Источник

danno 28 мар '12 в 00:01

Частный адрес такой же, как и любой другой IP-адрес. Если он будет объявлен в Интернете, он будет маршрутизируемым. Предположительно, у интернет-провайдеров есть входящие / исходящие фильтры, чтобы предотвратить утечку этих адресов в "то, что конечный пользователь воспринимает как Интернет".

Но в вашем случае трафик не покинул Comcast AS7922. Comcast использовал частный адрес RFC1918, как и все остальные (провайдеры обычно используют их для STB, модема, DHCP, DNS и т. Д.). Если они не фильтруют это, тогда вы можете достичь этого...

1

Источник

sdaffa23fdsf 06 авг '13 в 07:52

Что позволит частному IP-адресу маршрутизироваться между серверами?

Давайте определим, какой частный IP-адрес является первым: это адрес, который, согласно соглашению, не направляется в Интернет. Это означает, что мы согласны как сообщество никогда не рекламировать эти маршруты через BGP. Это также означает, что интернет-провайдер, вероятно, уничтожит эти маршруты на границах своей сети, чтобы предотвратить их распространение.

Это не означает, однако, что частный IP не может пересекать маршрутизаторы. Вполне возможно и даже очень вероятно, что Comcast использует частные диапазоны IP-адресов для сетевого оборудования, которое никогда не должно взаимодействовать с Интернетом в целом. Эти маршруты могут быть перенаправлены внутренними протоколами маршрутизации по всей сети Comcast.

В общем, я собираюсь предположить, что это тот случай, когда ваш маршрутизатор выполняет преобразование NAT, а затем по умолчанию маршрутизирует весь трафик, который не является локальным для маршрутизатора следующего перехода, включая частное пространство IP. Однако маловероятно, что существует много маршрутизаторов Comcast, использующих маршруты по умолчанию, которые случайно попадают на отвечающий хост с частным IP-адресом. Я твердо уверен, что это что-то целенаправленное. Это может быть датчик температуры с дистанционным мониторингом или какое-то другое столь же безобидное устройство, с которым никто не должен разговаривать, кроме Comcast.

Будет ли тот факт, что все это Comcast означает, что у них неправильно настроены маршрутизаторы?

Поскольку ваш traceroute показывает, что все пакеты остаются в сети Comcast, на самом деле это не очень удивительное обстоятельство, с которым вы столкнулись. Это пребывание в единой автономной системе и не нарушение каких-либо стандартов.

1

Источник

Jeff Ferland 30 мар '12 в 23:29

Другие вопросы по тегам routing private-ip

Zoredache 27 мар '12 в 21:18 2012-03-27 21:18 · Accepted Answer · 2012-03-27 21:18

Что позволит частному IP-адресу маршрутизироваться между серверами?

Если маршрутизаторы между вами и пунктом назначения не имеют входных / выходных фильтров, которые блокируют личное адресное пространство, то он, вероятно, будет маршрутизироваться по маршрутам по умолчанию. Вы должны строго установить правила на вашем внешнем маршрутизаторе, которые запрещают что-либо, предназначенное для частного адреса, покинуть вашу сеть.

Многие маршрутизаторы просто перенаправляют весь трафик и не выполняют никакой фильтрации вообще. Частный адрес выглядит так же, как и любой другой адрес. Если маршрутизатор не имеет явно определенного маршрута, он отправляет его на шлюз по умолчанию.

По-видимому, вам удалось связаться с кем-то еще с помощью плохо настроенного маршрутизатора.

Существуют также случаи, когда может произойти утечка частного IP, и все же не должно быть, чтобы эти частные IP были общедоступными. Допустим, у вас была простая сеть, подобная этой. Предположим также, что все IP-адреса общедоступны, за исключением подсети между маршрутизатором 2 и маршрутизатором 3. Когда вы запускаете трассировку от клиента 1 к клиенту 2, вы можете видеть или не видеть ответ от маршрутизатора 3. Если у вас есть хороший Фильтры на месте, вы не увидите ответ, если нет, и ни в одной другой системе нет фильтров, вы увидите ответ. Пакет, возвращаемый с маршрута трассировки, обычно включает IP-адрес интерфейса, на котором получена трассировка, но он будет предназначен для IP-адреса машины, на которой выполняется трассировка. Поскольку адрес назначения действителен, пакет будет доставлен, даже если он имеет частный IP-адрес в качестве исходного адреса.

клиент 1 подключен к роутеру1
маршрутизатор 1 подключен к маршрутизатору 2
ротер 2 подключен к роутеру 3
маршрутизатор 3 подключен к клиенту 2

Во многом это возвращается к пунктам в этом вопросе о подделке IP. Когда нет фильтров, и вы не заботитесь об ответах, адрес источника может быть любым. Поскольку реализации traceroute используют ICMP, а ICMP не имеет состояния, вы можете увидеть IP-адреса, к которым у вас нет прямого доступа, или они могут быть даже недействительными.