Что сделать с частными IP адресами сети провайдера?

Question

[Сергей Быданов]

Ситуация такая. Жил-был сервер в локальной сети с самым обычным частным адресом 192.168.1.5 Пока не решили поменять ему адрес на другой. И вот тут начались чудеса. Там, где этот сервер был указан по имени, вдруг перестал быть доступен, а старый адрес продолжал пинговаться как ни в чем не бывало. Мистика? Не думаю. Запустил трассу, а заодно ipscan по частным сетям и выяснилось, что частные адреса (вероятно) провайдерской сети торчат в наружу.

Провайдер свою вину не признает. Инет работает? Работает. А то, что торчит веб-морда нашего сервера huawei RH1288 V3, так это вам проблем создавать не должно. Мало ли что в инете еще есть.
В связи с этим вопрос. Что же сделать с частными адресами провайдера? Заблокировать их на роутере? Убедить провайдера, что он не прав? Устроить DDoS атаку?

Comments

[Ezhyg]

и выяснилось, что частные адреса (вероятно) провайдерской сети торчат в наружу

Это наглое враньё! Ну ладно, ладно, аффтар - ты просто не шаришь в сетях, во всяком случае, недостаточно для понимания, что находясь в какой-либо сети, вполне логично видеть соседей по этой сети (с серыми адресами). Но это совершенно не значит, что эти серые адреса видны в интернете, они туда не могут маршрутизироваться, их отбросит первый же попавшийся рутер (маршрутизатор) (даже домашний).

[Сергей Быданов]

Ezhyg, настолько - не шарю. Но и нормой это не считаю, поскольку не наблюдаю у других провайдеров города такой картины. И понять, почему именно мой провайдер отказывается использовать изолированные порты я тоже не могу.
Кроме того, у меня были проблемы с впн-туннелями, когда я пытался соединить две сети 192.168.8.0/24 и 192.168.4.0/24. Я здесь тоже не до конца понимаю, но до смены адресов сетей пакеты ходили загадочным образом. Между сетями все было ок, но некоторые сайты вдруг переставали работать до тех пор, пока не выключишь впн.
В этот раз сети крупнее, да и где гарантия, что через какое-то время не появится "сосед" по комутатору с таким же диапазоном?

[Ezhyg]

Сергей Быданов, у ростелеком, дом.ру и некоторых других - точно так же были организованы внутренние сети, при чём, по началу, они даже в разных районах/городах были организованы по разному. Например, в подъезде стоит тупой коммутатор aka свитч - естественно, все соседи могут, если захотят - увидеть друг друга, мало того, это даже было фичей, скорость в этой локалке максимальна - 100 мегабит, ни ограничений, ни оплаты, работа пиринговых сетей, DC - легко.
Конечно, попадались индивиды, подключавшие свою сеть с уже задействованными айпишниками, но это разруливалось довольно быстро, благо провайдер имеет контакты всех клиентов.

Answer 1

[Drno]

Блокирните фаерволлом входящие по ВАН с этих адресов.
Так то морда торчит и торчит, Вам по идее она реально не должна мешать, при поднятом NAT на роутере

Answer 2

[Wexter]

а зачем что-либо делать? у вас была локальная сеть, роутер заворачивал пакеты в неё. вы эту сеть убрали, роутер заворачивает пакеты шлюзу по умолчанию, а это ваш провайдер. а вот какие у него сети используются и почему вас вообще не касается. не нравится - закройте файрволом и радуйтесь

Comments

[Сергей Быданов]

Для обычных домашних пользователей, скорее всего никаких проблем нет. Однако для корпоративных и продвинутых пользователей это может создать проблемы наподобие описанной, а также при использовании впн-каналов.

[PrAw]

Сергей Быданов, провайдер больше корпоративного пользователя, так что кому под кого подстраиваться?
Да, дебильное решение по адресации, но законом не запрещено.

Answer 3

[CityCat4]

В славном городе Красноярске лет так семь назад столкнулся я с проблемами "полосатых" адресов :) Что это такое? А это адреса из RFC1918, которые красноярские провайдеры договорились между собой маршрутизировать внутри города :D Ну, а то, что у нас внутри филиальной локалки были такие же адреса - их не напрягало. Нас тоже - но ровно до тех пор, пока не появился клиент, которому продали такой вот "полосатый" под видом белого :D
Я долго бодался с провайдером, пока тот не стал нас специально пускать через NAT :D
Вообще я всегда настраиваю два стандартных правила - на входе снаружи глушить все что прилетело с RFC1918-адресов, на выходе наружу - соответственно все что от меня летит с RFC1918-адресов. А что там за еноты скачут у провайдера в сети - да какое мое дело?

Answer 4

[АртемЪ]

Что же сделать с частными адресами провайдера?

А вам до них какое дело? - У вас роутер стоит, на нем блокируйте все что ненужно.

Убедить провайдера, что он не прав?

А в чем он не прав? Задача провайдера обеспечивать доступ в интернет, вы за это деньги платите. Если обеспечивает, а если не обеспечивает не платите.
А остальное - не его проблемы.

Comments

[Сергей Быданов]

А вы свою сетку тоже в интернет на общее обозрение выставляете? Или у вас позиция, что все равны, но некоторые равнее? Все-таки сеть 192.168.0.0/16 предназначена для использования в частных сетях. Хотите выставить свое оборудование в инет - используйте другие адреса.

[АртемЪ]

А вы свою сетку тоже в интернет на общее обозрение выставляете?

Ну начнем с того, что я свою сеть с частными адресами в интернет выставить не могу - эти адреса там не маршрутизируются.
Я могу сделать их доступными соседним сетям если надо или не сделать если не надо.

В вашем случае разве кто-то выставляет свою сеть в интернет???
Вы просто видите других клиентов провайдера внутри его сети локальной сети.
А что делается внутри локальной сети провайдера - это дело провайдера.

Вы можете при желании изолировать себя от других сетей - будь то интернет или локальная сеть провайдера. Я так всегда и делаю в целях безопасности. Если вам безопасность не важна - можете не изолировать. Дело ваше.
Но провайдер то тут при чем???

[АртемЪ]

Сергей Быданов, Проблема в вас, а не в провадере- вы не изолировали свою сеть от сети провайдера и выставили ее на всеобщее обозрение.

Провайдер может изолировать клиентов друг от друга, а может не изолировать - это его дело, как ему удобней.

[Сергей Быданов]

АртемЪ, то есть вы считаете нормальным, что провайдер разрешает клиенту Васе иметь доступ к серверу клиента Пети. То есть не сам Вася это решает, а именно провайдер и это нормально? Возможно, когда домовые сети были альтернативой медленному инету это и было нормально, но не сейчас.
А сейчас я хочу, чтобы пакет отправленный моему серверу в моей локальной сети не имел возможности получить какой-то неведомый мне Петя. Этот Петя я думаю тоже не восторге, что к нему прилетают пакеты от какого-то Васи. А мир-то состоит не только из системных администраторов со стажем, которые могут грамотно настроить фаерволл.
Кроме того, такая ситуация создает потенциальные проблемы при использовании туннелей.

[АртемЪ]

Сергей Быданов,

то есть вы считаете нормальным, что провайдер разрешает клиенту Васе иметь доступ к серверу клиента Пети.

Не провайдер, а Вася и Петя которые голым задом выставили свои сервера, в сеть провайдера!

Провайдер предоставляеят доступ в интернет - он услугу по передачи данных оказвает, а не безопасность сети вам настраивает.

А сейчас я хочу, чтобы пакет отправленный моему серверу в моей локальной сети не имел возможности получить какой-то неведомый мне Петя.

Ну так настройте нормально сеть свою! Пригласите нормального админа и он сделает вам это.

Этот Петя я думаю тоже не восторге, что к нему прилетают пакеты от какого-то Васи.

Пусть отключается от провайдера! По договору провайдер как раз обязан обеспечить чтобы к нему могли прилетать пакеты от кого угодно - ему за это денег платят.

А мир-то состоит не только из системных администраторов со стажем, которые могут грамотно настроить фаерволл.

Конечно. Но если вам нужна безопасность - вы можете пригласить системного администратора.
Провайдеру то зачем ваши проблемы решать?

Кроме того, такая ситуация создает потенциальные проблемы при использовании туннелей.

Что не так с туннелями?