Ich verstehe , dass private Adressen wie 10.0.0.0/8
, 172.16.0.0/12
und 192.168.0.0/16
sind nicht geroutet. Was genau verhindert jedoch, dass diese Adressen weitergeleitet werden können? Implementieren ISPs ACLs, die das Routing dieser Netzwerke verhindern, oder liegt sie höher?
Ist es auch IANA, die dieses Design geschaffen hat?
networking
routing
ipv4
QuantumRads
quelle
quelle
Antworten:
Private IP-Adressen können weitergeleitet werden , obwohl sie nicht öffentlich weitergeleitet werden. Grundsätzlich leitet ein Router eine private Adresse an ein privates / internes LAN und nicht an das Internet weiter.
Um meine Antwort zu erweitern: Ein Router kann eine private Adresse über sein Standard-Gateway an die öffentliche Seite weiterleiten. Das Paket geht jedoch während der Übertragung "verloren", weil andere Router es fallen lassen oder weil die TTL des Pakets 0 erreicht.
Sehen Sie sich zum Beispiel Folgendes an (teilweise verschleiert)
traceroute -I -n 192.168.200.1
:Wie Sie sehen können, das Paket wird an das öffentliche Internet über die Standard - Gateway - Maschine geleitet. Es wird jedoch während des Transports fallen gelassen und erreicht nie ein geeignetes Ziel.
Immerhin überlappen sich private IPs / Klassen (per Definition) zwischen den Kunden. Auf welchem der Tausenden 192.168.200.x / 24-Netzwerke sollte dieses Paket geroutet werden?
Eine interessante Randnotiz: Internetprovider verwenden häufig private Adressen für ihre interne Weiterleitung. Wenn zum Beispiel eine private 192.168.200.x / 24-Klasse für das interne Routing verwendet wird, empfängt der erste Router / Computer mit der IP-Adresse 192.168.200.1 das Paket, verwirft es jedoch, weil es nicht angefordert wurde. ICMP sind eine interessante Ausnahme, da Router / Computer im Allgemeinen auf unerwünschte PINGs antworten. Dies bedeutet, dass Sie manchmal private Adressenscans verwenden können, um Ihr privates ISP-Netzwerk zuzuordnen.
quelle
In der Regel werden private IP-Adressen vom Internetdienstanbieter gefiltert. Ihr Zugangsrouter sollte auch so konfiguriert sein, dass keine Leckagen auftreten.
Private IP-Adressen können im Internet nicht verwendet werden, da sie möglicherweise von anderen Personen verwendet werden . Es gibt wahrscheinlich viele Millionen Geräte, die 192.168.1.1 privat verwenden - welches ist ein Internet-Router, der das Paket senden soll?
Zeroconf- Adressen (169.254.0.0/16) können derzeit nicht weitergeleitet werden. Diese können überall in einer Ad-hoc-Weise verwendet werden, aber sie können nicht auf das Internet oder ein anderes Subnetz als das lokale zugreifen. Sie können nicht weitergeleitet werden, da sie nur innerhalb der Broadcast-Domäne gültig sind, in der jedes Gerät eine nicht verwendete Adresse für sich auswählen kann. Per Definition hat zeroconf keine Verwaltungsinstanz wie einen DHCP-Server.
quelle
Was genau verhindert jedoch, dass diese Adressen weitergeleitet werden können?
Akzeptierte Standards, die von kommunizierenden Stellen durchgesetzt werden. Diese werden in Software, Hardware und Konfigurationen erzwungen.
Implementieren ISPs ACLs, die das Routing dieser Netzwerke verhindern, oder liegt sie höher?
Sie können, aber was wirklich gestoppt wird, ist lediglich eine ungültige Übersetzung, die nicht den Standards entspricht.
Wenn Sie wie die meisten Heimanwender sind, haben Sie eine IP-Adresse als öffentliche IP-Adresse zugewiesen. Damit der Datenverkehr von allen angeschlossenen Geräten kommunizieren kann, übersetzt der Router diese internen IP-Adressen mithilfe von NAT (Network Address Translation) oder PAT (Port Address Translation).
Grundsätzlich merkt sich Ihr Router, welche internen IP-Adressen in Ihrem LAN (Local Area Network) eine Sitzung gestartet haben, die über den Router und über die WAN-Schnittstelle (Wide Area Network) außerhalb Ihres LANs erreichbar ist. Wenn Daten den Router verlassen, enthält er diese einzelne IP-Adresse, die Ihnen als Quell-IP zugewiesen wurde. Bei der Eingabe enthält das Paket die gleiche Adresse wie die Ziel-IP. Der Router entscheidet dann, wohin er von dort geleitet wird.
Nach außen haben Sie nur eine einzige IP-Adresse, die eigentlich die IP des Routers ist. Der Router kann diese Sitzungen nachverfolgen und bestimmen, welcher Datenverkehr zu jeder internen IP-Adresse in seinem LAN gehört, und leitet diesen Datenverkehr entsprechend weiter. Es ist ein komplexer Verwaltungsprozess, aber die Idee ist eigentlich recht einfach, sobald Sie verstehen, dass an jedem Router alles übersetzt wird.
Darüber hinaus verfügen die meisten Heimrouter über Switching-Ports, wobei der Datenverkehr über die MAC-Adresse und nicht über die IP-Adresse erfolgt. Die Quell-MAC-Adresse im Paket bleibt gleich, bis sie einen Router erreicht. Der Router entfernt die MAC-Quelladresse und fügt die MAC-Adresse der eigenen WAN-Schnittstelle ein.
Ist es auch IANA, die dieses Design geschaffen hat?
Diese Standards wurden ursprünglich nicht von IANA entwickelt. Heute setzen sie zwar Maßstäbe, setzen sie diese aber keineswegs durch. Sie sind Standards, die durch Konsens durchgesetzt werden. Suchen Sie in RFC 791.
Sie haben "Autorität" in dem Maße, wie jeder bereit ist, sich an sie zu halten. Es ist durchaus möglich, diesen Standards zu trotzen, aber irgendwann werden Sie irgendwo auf dem Weg, der Sie dazu auffordert, auf einen ISP stoßen oder Ihren Datenverkehr verringern.
Ich hoffe das hilft..
quelle
Zur Verdeutlichung der anderen Antworten werden private IP-Adressbereiche, die Sie lokal verwenden, nicht an das Internet weitergeleitet, da sie ihre eigenen expliziten Einträge in der Routingtabelle haben. Hier ist meine Routentabelle von meinem Desktop zu Hause aus, zum Beispiel:
Beachten Sie die
172.17.0.0/16
und172.18.0.0/16
. Pakete in diese Netzwerke gelangen direkt zu meinen Docker-Bridges, ohne meinen Computer zu verlassen, da sie einen bestimmten Eintrag in meiner Routentabelle haben. Der192.168.1.0/24
Eintrag besagt ausdrücklich, dass der Verkehr zu diesem Netzwerk dieenp5s0
Schnittstelle verlässt. Die Routentabelle meines Routers enthält einen ähnlichen Eintrag, der den gesamten Datenverkehr für dieses private Netzwerk über die Schnittstelle sendet, mit der mein Desktop verbunden ist.Nur Pakete für Netzwerke, die nicht explizit in der Tabelle enthalten sind, werden an die Standardroute weitergeleitet. Sie können ein Netzwerk explizit als nicht erreichbar markieren, indem Sie:
Dies ändert meine Routentabelle in:
Jetzt versucht mein Desktop nicht einmal, das Standard-Gateway nach Adressen in diesem Bereich zu fragen. Bei Suchen nach dieser Adresse wird sofort "Keine Route zum Host" zurückgegeben.
Pakete für nicht erreichbare Netzwerke, die in der Routentabelle nicht explizit als nicht erreichbar markiert sind, werden nur über die Standardrouten weitergeleitet, bis das Paket entweder einen Router erreicht, der explizit weiß, dass das Netzwerk nicht erreichbar ist, oder die TTL abläuft.
quelle