Private IP wird über das Internet weitergeleitet

7

Wir richten ein internes Programm auf einem internen Server ein, der das private Subnetz 172.30.xx verwendet. Wenn wir die Adresse 172.30.138.2 anpingen, wird es über das Internet weitergeleitet: 

C:\>tracert 172.30.138.2
Tracing route to 172.30.138.2 over a maximum of 30 hops

  1     6 ms     1 ms     1 ms  xxxx.xxxxxxxxxxxxxxx.org [192.168.28.1]
  2     *        *        *     Request timed out.
  3    12 ms    13 ms     9 ms  xxxxxxxxxxx.xxxxxx.xx.xxx.xxxxxxx.net [68.85.xx.xx]
  4    15 ms    11 ms    55 ms  te-7-3-ar01.salisbury.md.bad.comcast.net [68.87.xx.xx]
  5    13 ms    14 ms    18 ms  xe-11-0-3-0-ar04.capitolhghts.md.bad.comcast.net [68.85.xx.xx]
  6    19 ms    18 ms    14 ms  te-1-0-0-4-cr01.denver.co.ibone.comcast.net [68.86.xx.xx]
  7    28 ms    30 ms    30 ms  pos-4-12-0-0-cr01.atlanta.ga.ibone.comcast.net [68.86.xx.xx]
  8    30 ms    43 ms    30 ms  68.86.xx.xx
  9    30 ms    29 ms    31 ms  172.30.138.2

Trace complete.

Dies hat einige von uns verwirrt. Wenn wir ein VPN-Setup hätten, würde es nicht als über das Internet geroutet angezeigt. Wenn es auf einen Internet-Server trifft, sollten private IPs (wie 192.168) nicht weitergeleitet werden.

Was würde es einer privaten IP-Adresse ermöglichen, über Server weitergeleitet zu werden? Würde die Tatsache, dass alles Comcast ist, bedeuten, dass ihre Router falsch eingerichtet sind?

routing private-ip WernerCD
quelle
Das Tracert verlässt Ihr Netzwerk, aber das bedeutet nicht, dass es über das Internet gesendet wird. Jeder Hop in Ihrem Tracert ist ein Comcast-Knoten. Haben Sie eine spezielle Verbindung von Comcast zwischen den beiden Standorten? Nimmt ein Tracert zu Google (oder woanders) denselben Comcast-Pfad, bis er das Comcast-Netzwerk verlässt?
Joeqwerty
Tracert Google trifft durch # 5 auf derselben Route ... es dauert 2 verschiedene Sprünge entlang comcast.net und verlässt dann cc.net.
WernerCD
Wie leiten Sie den Datenverkehr an das Subnetz 172.30.xx weiter? Verfügt Ihr lokaler Router über eine Route dafür? Ihr lokales Netzwerk ist anscheinend 192.168.28.0/24, stimmt das?
Chris McKeown
Es gibt wirklich keinen "Internet-Server". Es gibt nur Ihre Server und die Comcast-Server. Ihr Router hat den Datenverkehr an Comcast weitergeleitet. Wenn Sie dies nicht möchten, ändern Sie die Konfiguration. Comcast kann mit dem Verkehr tun, was sie wollen.
David Schwartz
@ DavidSchwartz Ich sollte klarstellen, Router auf der anderen Seite unserer Firewall. Die Frage hat mich verblüfft, so dass ich keine besseren Worte finden kann. Wenn ich 192.168.151.1 anpinge (für uns nicht vorhanden), wird "Zeitüberschreitung bei Anforderung" angezeigt. Wir erwarten dasselbe von 172.30.xx
WernerCD

Antworten:

9

Was würde es einer privaten IP-Adresse ermöglichen, über Server weitergeleitet zu werden?

Wenn die Router zwischen Ihnen und dem Ziel keine Eingangs- / Ausgangsfilter haben, die den privaten Adressraum blockieren, wird er wahrscheinlich gemäß den Standardrouten weitergeleitet. Sie sollten unbedingt in Betracht ziehen, Regeln auf Ihrem externen Router einzurichten, die verhindern, dass für eine private Adresse bestimmte Elemente Ihr Netzwerk verlassen.

Viele Router leiten nur den gesamten Datenverkehr weiter und filtern überhaupt nicht. Eine private Adresse sieht genauso aus wie jede andere Adresse. Wenn der Router keine explizit definierte Route hat, sendet er diese an sein Standard-Gateway.

Sie haben es anscheinend geschafft, mit einem schlecht konfigurierten Router eine andere Person zu erreichen.

Es gibt auch Fälle, in denen private IP-Adressen verloren gehen können und diese privaten IPs immer noch nicht öffentlich zugänglich sind. Nehmen wir an, Sie hatten ein einfaches Netzwerk wie dieses. Nehmen wir außerdem an, dass die IP-Adressen mit Ausnahme des Subnetzes zwischen Router 2 und Router 3 alle öffentlich routbar sind. Wenn Sie eine Traceroute von Client 1 zu Client 2 ausführen, wird möglicherweise eine Antwort von Router 3 angezeigt oder nicht. Wenn Sie eine gute Antwort haben Wenn Filter vorhanden sind, wird keine Antwort angezeigt. Wenn dies nicht der Fall ist und kein anderes System über Filter verfügt, wird eine Antwort angezeigt. Das von einer Trace-Route zurückgegebene Paket enthält normalerweise die IP der Schnittstelle, auf der der Trace empfangen wurde, ist jedoch für die IP des Computers bestimmt, auf dem die Traceroute ausgeführt wird. Da die Zieladresse gültig ist, wird das Paket zugestellt, obwohl es eine private IP als Quelladresse hat.

  • Client 1 mit Router1 verbunden
  • Router 1 an Router 2 angeschlossen
  • Rotuer 2 an Router 3 angeschlossen
  • Router 3 mit Client 2 verbunden

In vielerlei Hinsicht kommt dies auf die Punkte in dieser Frage zur IP-Fälschung zurück . Wenn keine Filter vorhanden sind und Sie sich nicht für die Antworten interessieren, kann die Quelladresse beliebig sein. Da Traceroute-Implementierungen ICMP verwenden und ICMP zustandslos ist, werden möglicherweise IP-Adressen angezeigt, die Sie nicht direkt erreichen können oder die möglicherweise sogar ungültig sind.

Zoredache
quelle
Ich bin überrascht, dass Comcast private Bereiche nicht auf der niedrigstmöglichen Ebene herausfiltert.
Scheint
7

Es sieht so aus, als ob Ihr ursprüngliches Netzwerk 192.168.28.0 ist. Kennt Ihr Computer oder Ihr Router das Netzwerk 172.30.138.x? Wenn nicht, sendet es einfach seine Standardroute wie jedes andere Netzwerk, das es nicht kennt.

Sie müssen entweder eine Schnittstelle im Netzwerk 172.30.138.x auf Ihrem Ursprungscomputer hinzufügen oder eine Schnittstelle in diesem Netzwerk auf Ihrem Router hinzufügen, damit der Datenverkehr ordnungsgemäß geleitet werden kann.

jerm
quelle
Meines Wissens hatten wir noch nie eine 172.30. Wenn ich andere private IPs anpinge, die nicht vorhanden sind (z. B. 192.168.151.1), wird "Zeitüberschreitung bei Anforderung" angezeigt. Ich würde das gleiche für 172.30.xx erwarten
WernerCD
Richtig, da Sie noch nie ein solches Netzwerk intern konfiguriert haben, leitet Ihr Router das Paket einfach an den Upstream-Router weiter, wie ich es mit einer unbekannten Adresse tun würde. Der einzige Grund, warum diese Antwort tatsächlich erfolgt, ist, dass sie zufällig an anderer Stelle im Comcast-Netzwerk vorhanden ist. 192.168.151.1 existiert anscheinend nicht in Comcast oder zumindest nicht an einem von Ihrem Standort aus routbaren Ort. Völlig sinnlich, aber schlampig von Comcast (und auch von Ihrem Netzwerkadministrator), um sicher zu sein.
Jerm
1

Würde die Tatsache, dass alles Comcast ist, bedeuten, dass ihre Router falsch eingerichtet sind?

Falsch eingerichtet? Ja , private Adressierung sollte unbedingt innerhalb des Netzwerks gefiltert werden. Aber wenn sie ein bisschen schlampig sind , dann ist es möglich , wenn der Pfad alle Comcast- in Carrier - Netzen, besonders nachlässig diejenigen wie Comcast, privat am Rande gefiltert Adressieren fleißig Vernetzung, aber nicht annähernd so viel an dem Kern oder den Zugang Teile . In Ihrem Fall scheint es, dass die gesamte Route nur für Comcast bestimmt ist. Daher ist es „vernünftig“, dass diese Route tatsächlich an ein Ziel weitergeleitet wird, das auch innerhalb von Comcast tatsächlich darauf antwortet. Es ist zwar keine saubere Netzwerkimplementierung, und Sie sind von Baltimore nach Denver und schließlich nach Georgia gefahren, aber es ist möglich innerhalb eines vollständigen "autonomen Systems", das dies ermöglicht.

danno
quelle
1

Was würde es einer privaten IP-Adresse ermöglichen, über Server weitergeleitet zu werden?

Definieren wir zunächst, was eine private IP-Adresse ist: Es handelt sich um eine Adresse, die gemäß Konvention nicht im Internet weitergeleitet wird. Das bedeutet, dass wir uns als Community darauf einigen, diese Routen niemals über BGP zu bewerben. Dies bedeutet auch, dass ein ISP diese Routen an den Grenzen zu seinem Netzwerk wahrscheinlich tötet, um zu verhindern, dass sie sich möglicherweise ausbreiten.

Dies bedeutet jedoch nicht, dass eine private IP keine Router überqueren kann. Es ist sehr wahrscheinlich und sogar sehr wahrscheinlich, dass Comcast private IP-Adressbereiche für Netzwerkgeräte verwendet, die niemals mit dem Internet als Ganzes kommunizieren sollen. Diese Routen können durch interne Routing-Protokolle im gesamten Comcast-Netzwerk weitergeleitet werden.

Alles in allem gehe ich davon aus, dass Ihr Router eine NAT-Übersetzung durchführt und dann standardmäßig den gesamten Datenverkehr, der nicht lokal ist, an den nächsten Hop-Router weiterleitet, einschließlich des privaten IP-Speicherplatzes. Es ist jedoch nicht sehr wahrscheinlich, dass es viele Comcast-Router mit Standardrouten gibt, die versehentlich bis zu einem antwortenden Host mit einer privaten IP-Adresse führen. Ich gehe davon aus, dass dies etwas Zweckmäßiges ist. Es kann sich um einen Temperatursensor mit Fernüberwachung oder ein anderes ebenso harmloses Gerät handeln, mit dem niemand außerhalb von Comcast sprechen muss.

Würde die Tatsache, dass alles Comcast ist, bedeuten, dass die Router falsch eingerichtet sind?

Da Ihre Traceroute anzeigt, dass alle Pakete im Comcast-Netzwerk verbleiben, ist dies kein sehr überraschender Umstand, auf den Sie gestoßen sind. Es bleibt in einem einzigen autonomen System und verstößt nicht gegen Standards.

Jeff Ferland
quelle
1

Eine private Adresse ist wie jede andere IP-Adresse. Wenn es im Internet angekündigt wird, ist es routingfähig. Angeblich haben ISPs eingehende / ausgehende Filter, um zu verhindern, dass diese Adressen an "das weitergegeben werden, was der Endbenutzer als Internet wahrnimmt".

In Ihrem Fall hat der Datenverkehr Comcast AS7922 jedoch nie verlassen. Comcast verwendete wie alle anderen auch die private Adresse RFC1918 (ISPs verwenden sie normalerweise für STB, Modem, DHCP, DNS usw.). Wenn sie es nicht filtern, können Sie es erreichen ...

sdaffa23fdsf
quelle