Ciekawy router d-link

chodzi Ci o DMZ?

BTW, chyba wszyscy operatorzy robią teraz CG-NAT więc z publicznym IP to raczej nici...

c.

Nie. "DMZ" to redirect calego ruchu z internetu do zewnątrznego IP na wskazany wewnętrzny IP. W ten sposób można wystawić wew. serwer ze wszystkimi jego portami (coś jak "wirtualny" serwer ale bez wskazania portów):

Internet --> IP_zew[router]IP_wew ->IP_wew[serwer]

Ja pytam o taką sytuację, w której wewnętrzny host próbuje się łączyć z zewIP routera na redirectowany port kierowany z powrotem do wewnątrz. Czyli mamy konfigurację na routerze "wirtualnego serwera" dla np. portu 515 przekieruj na 192.168.8.10. Ponieważ taka reguła jest tylko dla połączeń inicjowanych z zewnątrz a taki pakiet z wew. nie wchodzi na zewnętrzny interfejs stąd nie wpada w regułę redirecta i jest dropowany. Ale nie w tym d-linku, robi redirecty nawet dla pakietów na interfejsie wew. ale z dst zew. Ciekawe.

W dniu 2020-10-23 o 17:25, Marek pisze: Jak się nazywa marketingowo ta funkcja, którą dysponuje ten

Luka bezpieczeństwa.

No to opowiedz jaki scenariusz masz na mysli. W wielu przypadkach może się przydać bo nie trzeba robić widoków DNS. .

2020-10-23 o 21:06 +0200, Marek napisał:

DMZ to jednak coś nieco innego, i z NATem nie ma nic wspólnego. To co piszesz, to definicja którą wymyślili niektórzy producenci soho-boxów, coby ich produkt brzmiał "poważnie".

To dość typowa konfiguracja, pozwalająca w łatwy sposób uniknąć rzeźby z wpisami DNS zależnymi od tego, kto pyta. Przy czym konfiguracja ta wymaga osobnej sieci (logicznej lub fizycznej) dla hostowanych usług, w przeciwnym razie dochodzi do asymetrycznego routingu, a ten w połączeniu z NATem po prostu nie zadziała.

Mateusz

Oczywiście, że to bełkot marketingowy. Dlatego użyłem cudzysłowów.

Świetnie, stąd powiedz mi jak to się marketingowo nazywa i dlaczego w innych routerach nie widzę takiej funkcji. A nawet w tym d-linku w ustawieniach nie ma, choć to w nim działa.

??

2020-10-24 o 10:11 +0200, Marek napisał:

Marketingowa nazwa zależy od producenta ("port forwarding", "redirect", "DNAT"...). Operacja jest ściśle ta sama, co ta wykonana zwyczajowo na pakietach pochodzących z zewnątrz - tyle, że reguła zostaje w tym wypadku podpięta pod inny interfejs (zwyczajowo nazywany "LAN").

To konfiguracja którą spotykałem nagminnie w sieciach średnich i dużych przedsiębiorstw 15 lat temu, kiedy to jeszcze interesowałem się tematem. Byli oczywiście też tacy, co woleli walczyć z regułkami binda, coby rozwiązywać firmowe adresy inaczej dla LAN, a inaczej dla reszty świata. Kto adminowi zabroni.

Ale ja nie mówię o marketowych routerkach dla soho. Te robią co im się podoba, i potrafią wymyślić najcudaczniejsze nazwy dla elementarnych operacji.

- 10.0.0.2 wysyła do gw pakiet z dst=1.2.3.4

- gw nadpisuje dst=10.0.0.9 i przesyła do 10.0.0.9

- 10.0.0.9 odpowiada do 10.0.0.2 (bo takie jest IP src pakietu)

10.0.0.2 dziwi się, że wysłał SYN do 1.2.3.4, a dostał SYN/ACK od 10.0.0.9 -> Pakiet ląduje w koszu.

Prościej nie potrafię.

Przy czym i taki schemat da się na siłę doprowadzić do działania, poprzez wykonanie operacji przepisania IP src (operacja czasem nazywana "masquerade" lub "SNAT") na pakietach wychodzących z interfejsu LAN, a posiadających src i dst w sieci lokalnej... Ale to już podchodzi pod gimnastykę cyrkową, sam nie chciałbym zarządzać siecią z taką obsługą ruchu.

Mateusz

Cała odpowiedź jest nie na temat. Ja nie pytam o NAT, DNAT reirext czy forward. Ja pytam o zawijanie routingu.

Nie spotkałem się z żadną nazwą ani żeby jakiś producent się tym chwalił. Po prostu jedne rutery tak robią, inne nie. Oczywiście rutery typu Mikrotik można sobie ustawić jak chcesz.

2020-10-24 o 13:39 +0200, Marek napisał:

Nie, nie pytasz o "zawijanie routingu", cokolwiek miałoby to znaczyć. Pytasz o dość podstawową funkcjonalność związaną z NAT (której być może brakuje w większości tanich pudełek - tego nie wiem), a ściślej możliwości ustawiania przekierowań portów na interfejsie "LAN".

Przy czym aby to działało w relatywnie czysty sposób, to docelowy host powinien znajdować się na osobnym interfejsie (typowo "DMZ"). W przeciwnym razie wystąpi asymetryczny routing, którego uniknąć można jedynie poprzez brzydką maskaradę na interfejsie LAN.

Szukaj po hasłach "NAT reflection", "NAT Loopback", "NAT mirroring", "NAT hairpinning"... Każdy producent nazywa to inaczej, jakby sam Amerykę odkrył, a to nic innego jak zwyczajna regułka (lub dwie) NATu. Poważni producenci w ogóle tego nie nazywają - admin sam sobie skonfiguruje tak, jak potrzebuje.

Odpowiadając na twoje pierwotne pytanie "jakie pudełka to potrafią": nie wiem, ale szybki rzut w google podsuwa taką listę:

Mateusz

Ja nie pytam o taki przypadek bo to oczywiste jest. Ten D-link robi tak:

10.0.0.2 wysyła do gw pakiet z dst =1.2.3.4 (1.2.3.4 to interfejs zewnętrzny gw) gw zamienia src na 1.2.3.4 i dst na 10.0.0.9 i przekazuje tamże. 10.0.0.9. odsyła do 1.2.3.4 (co idzie przez gw), gw z powrotem zamienia dst na 10.0.0.2 i src na 1.2.3.4 . Nikt nie jest skonfundowany, wszystko pasuje.

Pytanie: jaki jeszcze model konkretnie tak robi out of the box?

Nie nie pytam o to. To nie ma nic wspólnego z interfejsem LAN. Prośbą aby jak się nie rozumie pytania nie odpowiadać, dobrze? :)

Dobra mea culpa bije się w pierś bo nie doczytałem do końca, faktycznie chodzi o nat reflection. Zamykam temat.