Можно ли подменить ip-адрес при проходе через NAT по шаблону (варианты обхода санкций)?

Question

[Сергей Сахаров]

Суть: есть программы, которые из-за санкций нормально работать не хотят. Но тем не менее их часто приходится запускать внутри локальной сети за NAT - на шлюзе при этом поднимают VPN.
А я тут подумал: зачем такие сложности? Скорее всего программа внутри себя проверяет внешний IP-адрес, с которого выходит в интернет и по нему определяет страну.
Интернет во всех странах одинаковый, так что если санкции работают не снаружи, надо просто подменить ОДИН IP-адрес внутри локальной сети.
Просто чтобы слушалка типа tcpdump не просто слушала, что идёт внутрь сети, но при совпадении одного адреса подменяла его. Конечно, это не стопроцентный вариант обхода защиты, особенно если адрес возвращается в зашифрованном виде, но чисто теоретически - насколько сложно замутить подобное?
Да, внутренние DNS так же могут подменять имена и адреса внешних хостов. Типа, мы "в домике", а "домик" у нас типа "переехал в Швейцарию" (на самом деле нет).
Думаю, есть такие же варианты с подменой DNS-имён необходимых ресурсов.

Как вариант - Две сети и Два NAT - настроенные так, чтобы IP между ними определялся как "внешний".
Реальный сайт по этому IP будет недоступен, да и хер бы с ним.
---------------------------
Второй вариант: отправлять по VPN не все запросы, а только те, которые служат для идентификации местоположения. Имеет смысл думать над подобными решениями, или я просто загоняюсь?

Comments

[Drno]

нет это не будет работать. программа не только проверяет адрес, но и стучится до удаленных адресов, на которых вполне может стоить блок по GeoIP

поэтому проще
арендуем ВПС за 200р
подключаем ВПН
на роутере указываем до каких конкретно адресов надо ходить через ВПН

всё)

[TheBigBear]

Даже не вникая в написанное...
Дилетантским языком: Вот допустим я захожу на сайт yoip.ru и он мне сообщает мой внешний IP адрес, страну.
Вот как Вы, уважаемый, вычислите, на каком именно IP, сайте, ресурсе находится проверяльщик по которому программа определяет страну?
Тут или всё заворачивать или снифить куда прога запросы шлет - и то не вариант - она для этого может запустить другой процесс

[Сергей Сахаров]

на роутере указываем до каких конкретно адресов надо ходить через ВПН

Собственно говоря, я это и имел в виду.

А разве когда она "стучится до удалённых адресов", она до них весь маршрут запоминает?
Внешний блок по GeoIP нас пока не интересует. Считаем, что его нет, пусть достукивается.
В любом случае программу можно логировать - хотя бы для того, чтобы знать, куда она стучится.
По правде говоря, я сам ещё не сформулировал вопрос окончательно.

Навеяно мыслями о программе UpdatePack7R2 - аналоги найдены, но чисто из интереса: можно ли её обмануть без VPN?

[Сергей Сахаров]

TheBigBear, 1. Если сайт НЕ https - трафик не зашифрован.
Если трафик не зашифрован - внешний ip вернётся в открытом виде.
Если трафик идёт через слушалку в открытом виде - данные можно поменять "на лету".

c https это сложнее, да. Но с другой стороны - мы видим, куда стучится программа и можем два варианта: 1. Подмена сайта на свой (если известен API) 2. Пустить запросы конкретно для этого сайта по VPN

И я подозреваю, что для конкретной программы могут быть конкретные настройки, снятые снифом. Не так много программ на самом деле нужно обманывать таким образом.

[res2001]

Сергей Сахаров, ВПН это по сути 2 отдельных сервиса:
1. тунель, который соединяет 2 хоста, эмулируя между ними локальную сеть, как-будто между ними нет промежуточных хостов.
2. шифрование данных, проходящих через туннель

Полноценный ВПН сейчас обычно нужен, что бы РКН путем анализа трафика, проходящего через его шлюзы не мог определить, что вы пытаетесь получить доступ к заблокированным ресурсам. У вас же несколько другая задача - спрятать свой реальный IP адрес от ресурса, к которому вы получаете доступ. Поэтому шифрование не обязательно.

Вариант без шифрования. Можно настроить какой-нибудь туннель GRE, L2TP или что-то подобное без шифрования. На удаленном конце туннеля (VPS) поднимаете NAT и выпускаете весь трафик из туннеля наружу через NAT. Все.
Трафик, проходящий через туннель, будет попадать на VPS, а там выходить в интернет через NAT с подменой адреса. Внешним адресом, с которым трафик попадает в интернет, будет адрес VPS. Останется завернуть в туннель только нужный трафик.

Все то же самое можно сделать используя ВПН (и встроенный в него туннель), но зачем?

[Сергей Сахаров]

res2001, спасибо! Не совсем то, о чём я думал, но тоже интересно.

А ведь такая система фильтрации может Быть и публичной. Для заглушек трафик можно заворачивать DNS-сервером, для реальных сайтов - прозрачной проксёй (хотя на клиентском оборудовании это немножко сложно, а сервер в облаке - слишком много входящего трафика обрабатывать). И для каждого клиента могут быть свои правила фильтрации.

Докер я пока так и не победил, но прокся как единственная задача под них прямо идеально идёт. Если ещё и настройки из БД типа LDAP брать...

Answer 1

[Dimonchik]

у Вас пробелы в понимании базовых сетевых концепций,
с защитой программ тоже - но это как бы простительно, там общепринятых методик нет

сейчас вы спрашиваете

Можно ли подменить ip-адрес при проходе через NAT

на сетевом языке это звучит:
можно ли подменить IP выполняя подмену IP

дальше - никаких шифрованых адресов нет, IP пакет (тот что через слеш в TCP/IP протоколе) содержит адрес истончника и назначения, без них он не ходит. Вообще. In no way.
назначение нужно чтобы знать куда передавать данные, ичточник - чтобы прнимающий послал ответ об успешном или неуспешном принятии / перезапросить пакет
поэтому все что сло словами DNS - выкиньте из размышлений и забудьте

дальше - программа для работы получает от хоста назначения специальный ответ
если не получает - дожна рабтать с выключенным нетом, и о таких не говорим, их не нужно лечить

в ответе обычно шифруется ДА (прога - работай) или НЕТ ( прога - напиши что-нибудь, дай денег за лицензию, например)

поэтому лучшим способом является
а) разгадать алгорит ответа и пропатчить прогу - обычно непросто, защит может быть много, патчить все долго
б) разгадать и подделать ответы от локального сервера - так лечатся JetBrains и т.п.
для А и B нужны навыки реверсинга, такие специалисты дороги, им проще заработать на сером черном рынках
в) маскироваться - страной ( есть не работащие за пределами китая, так сходу, а может и других -в том числе России, ут не скажу)
как маскироваться - вам написали в первом и чуть ниже ответе про необязательность шифрования

все - больше ничего тут придумать нельзя

Comments

[Сергей Сахаров]

Вы много чего путаете. Начнём с того, что NAT работает в связке с файрволлом, а файрволл умеет не только разрешать и дропать пакеты, но и перенаправлять.
Далее. Для подсчёта трафика есть программы. Эти программы умеют сниффинг (мониторинг проходящего через них трафика). Да, они умеют смотреть пакеты в реальном режиме времени (WireShark). И не только смотреть, но и подменять данные.

И да, если внутренний пакет идёт изнутри NAT на внешний IP-адрес, по факту его можно отследить и перенаправить на другой адрес.

дальше - никаких шифрованых адресов нет,

И передаваемый трафик ни разу не шифруется, и адреса в нём не могут находиться в зашифрованном от просмотра виде - да?

Я вижу от Вас много слов, но не вижу понимания идеи. Я не говорил о необходимости щифрования.
Ну что мне теперь - картинки рисовать, чтобы понятнее было?

DNS нужен для перенаправления, потому что некоторые программы обращаются не по адресам, а по именам. Разрешить имя в правильный адрес означает направить пакеты к другой цели. Кстати, домрушники балуются, подменяя ответы DNS и перенаправляя запросы на свой сайт. Реклама у них такая, щуки..

[Сергей Сахаров]

Как-то так примерно....

Идея примерно в том, чтобы заставить поверить внутреннюю сеть в то, что она находится в другой стране.
При этом не перекрывая весь интернет полностью и не перенаправляя весь трафик в туннель целиком .

[Dimonchik]

картинка еще мутнее )))
например - что там делает DNS

я не буду давать ссылку на статью https://habr.com/ru/post/134638/
а просто напомню что в домашнем роутере никакого файрволла можно не включать, при этом интернет работает, поэтому "NAT с файрвоолом" необязательно

я описал вам для экономии времени (не я, а Drno и res2001), просто, по моему мнению, у Вас в голове небольшая каша и я предлагаю вам не биться головой об стену пытаясь решить заведомо нерешаемое

касательно шифрования ,
когда в пути хостов (1 )A - B ставится VPN/NAT хост С , т.о. что путь становится (2) A - С - B,
хост B видит адрес A в случае (1)
и
адрес С в случае (2)
а шифруется там что-то, не шифруется, может дешифруется и обшифруется - не имеет никакого значения

[Сергей Сахаров]

Dimonchik,
1. Какой "домашний роутер"? Это сделано для удобства пользователей.

2. NAT без файрволла не работает, это данность. Другое дело, что файр может работать "в прозрачном режиме". В своё время так же выходил в тырнет с работаюшим NAT - весь конфиг файра с натом занимал 6 строк. Файр был открыт, то есть как бы "не работал". Но NAT запускал.

Ну если хочется поспорить, то вот тут описаны способы запуска NAT:
https://habr.com/ru/post/111580/

3.Вы путаете шифрование адресов с шифрованием трафика. Запрос внешнего IP-адреса может подразумевать шифрованное соединение, тут возвращаемый адрес никак не подменишь, тут только сайт подменять.

4. И при чём тут "маршрутизация от источника"? Это интересно с точки зрения атаки, но к нам это каким образом применимо? Тем более, через 2 NAT.

5. Надеюсь, Вы знаете, что такое прокси? Касательно мониторинга трафика - что скажете о поддержке протокола ICAP?

[Сергей Сахаров]

Впрочем, это лирика. Мне уже подсказали как сделать, хотя и с другим принципом разделения.
Все хосты делятся на 3 группы:
1. Российские и лояльные - к ним никаких вопросов, прямое соедиение
2. Те, для которых есть российский аналог - редирект на российский ресурс или заглушку.
3. Зарубежные санкционные - к ним доступ по туннелю с выходом с зарубежного IP

[Руслан Федосеев]

Почему мне захотелось вас в сторону СДСМ отправить...
Если вы сделаете нат в фейковый ип - ответ от сервера прийдет на фейковый ип. И если этот ип не на вашем нате - то вы этот ответ никогда не увидите...
Ну а то, что отправлять в впн туннель только то, что надо - ну это вообще изначально так и делается, я удивлен что это для вас открытие....

[Сергей Сахаров]

Руслан Федосеев, это не открытие, а резервный костыль.. Открытием была необязательность шифрования VPN.
Вроде и знал об этом, но как-то не задумывался.

только то, что надо

А что - надо? Тут и вопрос: для каждого клиента можно применить свои профили настройки.

Если вы сделаете нат в фейковый ип - ответ от сервера прийдет на фейковый ип

Это если подменять отправляемый пакет, а не возвращаемый.
Подменить адрес на фейковый можно и в реальном ответе реального сервера.

Или сразу перенаправить запрос на НАШ, фейковый сервер. Ну это если API известен.

А за подсказку в сторону СДСМ - спасибо. Сетям учился по книгам и фрагментарно.
Книгу "Протоколы TCP/IP" за авторством Стивенса - у меня украли.
Правильно и последовательно изложенные материалы помогают восполнять пробелы.