Серый ip адрес, NAT и ftp, доступный из интернета?

Question

[Иван Петров]

Ситуация - в свойствах соединения в роутере вижу адрес 10.160.*.*/30. В сервисе проверки ip (2ip.ru) вижу ip 176.59.*.* Звоню провайдеру и он мне говорит что у меня адрес серый.
Вопросы:
1) Правильно ли понимаю, что тот же самый 176.59.*.* адрес провайдер предоставил нескольким людям и они одновременно вместе со мной под ним находятся в интернете?
2) Правильно ли понимаю, что это все через NAT работает, а суть NAT в том что роутер провайдера назначает всем клиентам индивидуальные локальные адреса вида 10.160.*.*/30 и когда от них пересылает исходящие от них пакеты в интернет, то дописывает к этим пакетам порты, которые назначил каждому из клиентов, что бы потом по этим портам ориентироваться, на кого из клиентов перенаправлять входящие пакеты, которые будут иметь в себе адреса этих портов?
3) Если я вдруг захочу сделать ftp на этом сером IP, к общему адресу 176.59.*.* который у многих клиентов одновременно, нужно дописать номер порта, который назначил роутер провайдера для меня как отдельного своего клиента? Например чей то аккаунт в роутере провайдера числится с портом 15678 и значит его ftp будет доступен по адресу ftp://176.59.*.*:15678? Как вообще узнать номер этого порта? По локальному адресу 10.160.*.*/30 в котором после слеша идет 30, это 30 и есть номер того самого порта?
4) 176.59.*.* это белый адрес, являющийся адресом роутера провайдера, который с помощью NAT перенаправляет от клиентов в интернет пакеты?

Answer 1

[Денис Юрьев]

1) да
2) не совсем, скорее нет, чем да
3) как правило, провайдеры вообще не пробрасывают порты до клиентов за NATом. А /30 - это подсеть, к портам отношения не имеет
4) типо того, только этот "роутер" на домашний мало чем похож

обычно подобные проблемы решаются доп услугой "Белый IP" или "Статический IP". Технически важно для приема входящих сообщений, чтобы был одновременно и белый, и статический IP, но у провайдеров часто с терминологией путаница.

Белый IP - это когда клиент не за NAT, а сразу с внешним IP в сеть выходит
Статический IP - это когда он у тебя не меняется весь период пользования интернетом (желательное, но не обязательное условие)

Comments

[Иван Петров]

как правило, провайдеры вообще не пробрасывают порты до клиентов за NATом

Тогда, если 50 клиентов провайдера одновременно сидят с ip 176.59.8.7 и светят им в интернете, то сервера из интернета шлют ответные пакеты на адрес 176.59.8.7 и как роутер провайдера понимает, на кого из клиентов какие пакеты перенаправлять, если не с помощью порта?

Технически важно для приема входящих сообщений, чтобы был одновременно и белый, и статический IP, но у провайдеров часто с терминологией путаница.

Я этого боюсь, "белый" ip это какой то народный обывательский термин по моему и каждый его по своему трактует. В итоге самое важное, это что бы больше никто из клиентов провайдера не использовал тот же ip, который относится к моему ftp? Даже если он будет динамически выдаватья то это не страшно, потому что DynDNS решит проблему? А вот если кто то еще будет из клиентов провайдера этот ip иметь то уже ничего не получится и это ключевой момент, в то время как если человек в соседней комнате пользуется одним со мной роутером, то в настройках своего роутера я решу проблему пробросом портов.

[Денис Юрьев]

Тогда, если 50 клиентов провайдера одновременно сидят с ip 176.59.8.7 и светят им в интернете, то сервера из интернета шлют ответные пакеты на адрес 176.59.8.7 и как роутер провайдера понимает, на кого из клиентов какие пакеты перенаправлять, если не с помощью порта?

NAT пропуская идущий из внутренней сети пакет, заменяет адрес отправителя своим и открывает уже соединение с адресатом. Когда же приходит ответ, он по таблице открытых соединений внутренней сетиотправляет его исходному отправителю. Это кривая, но максимально краткая попытка составить ответ на ваш вопрос.

Я этого боюсь, "белый" ip это какой то народный обывательский термин по моему и каждый его по своему трактует. В итоге самое важное, это что бы больше никто из клиентов провайдера не использовал тот же ip, который относится к моему ftp? Даже если он будет динамически выдаватья то это не страшно, потому что DynDNS решит проблему? А вот если кто то еще будет из клиентов провайдера этот ip иметь то уже ничего не получится и это ключевой момент, в то время как если человек в соседней комнате пользуется одним со мной роутером, то в настройках своего роутера я решу проблему пробросом портов.

у меня ощущение что в этом потоке сознания вы сами с собой разговариваете.

Белые IP адреса - они подразумевают, что вы имеете публичный IP адрес, причем только вы, без всяких NATов
Серый IP адрес - подразумевает под собой, что публичный IP адрес у "роутера" провайдера, за котором подсеть частных адресов

[АртемЪ]

Иван Петров,

Тогда, если 50 клиентов провайдера одновременно сидят с ip 176.59.8.7 и светят им в интернете, то сервера из интернета шлют ответные пакеты на адрес 176.59.8.7 и как роутер провайдера понимает, на кого из клиентов какие пакеты перенаправлять, если не с помощью порта?

Если упрощенно -
Вы с локального адреса 10.160.10.15 отправили запрос на сервер яндекса 87.250.250.242
Роутер провайдера подменил адрес отправителя 10.160.10.15 на свой белый адрес и отправил пакет по адресу, указав что будет ждать ответ на порту 80050
И себе для памяти записал в табличку - что трафик с сервера 87.250.250.242 пришедший на порт 80050 нужно отправить к вам на 10.160.10.15.
Трафик с другого адреса пришедший на этот порт, будет либо уничтожен, либо отправлен другому клиенту.

Порт выделяется в момент отправки запроса и для конкретного запроса, если вы не отправляли запрос - порт не выделен, и к вам трафик никак не попадет.

NAT отправляет вам только ответы на запросы инициированные вами.
А если кто-то из интернета захочет достучаться - увы и ах, это невозможно.

Я этого боюсь, "белый" ip это какой то народный обывательский термин по моему и каждый его по своему трактует.

Белый или реальный адрес - это действительно обывательский термин. Но специалисты его прекрасно понимают и однозначно интерпретируют.
Правильно - IP адрес маршрутизируемый в глобальной сети.

[Денис Юрьев]

АртемЪ, правильно по "методичке" зовется он публичным IP. но вот тут "специалисты" уже терминологию и личные фантазии путают.

по части портов и ната ваш ответ вписывается в рамках tcp и udp соединений, но вот для icmp трафика уже нет, там другая, хоть и похожая магия

[Иван Петров]

Денис Юрьев,

у меня ощущение что в этом потоке сознания вы сами с собой разговариваете.

Белые IP адреса - они подразумевают, что вы имеете публичный IP адрес, причем только вы, без всяких NATов
Серый IP адрес - подразумевает под собой, что публичный IP адрес у "роутера" провайдера, за котором подсеть частных адресов

Что в написанной мною интерпретации не сходится с действительностью? И почему сказанное мною вы назвали разговором с самим собой - непонятно что вызвало у вас такую реакцию.

[Денис Юрьев]

Иван Петров,

Что в написанной мною интерпретации не сходится с действительностью?

критически ничего не расходится

И почему сказанное мною вы назвали разговором с самим собой - непонятно что вызвало у вас такую реакцию.

у вас там вопросы с ответами перемешаны.

[Иван Петров]

Денис Юрьев, на некоторые вопросы у меня были ответы, в которых я был не уверен и хотел убедиться что эти мои ответы и интерпретации не сильно далеки от действительности. Поэтому задавал вопросы, попутно пытался на них сам же ответить и ожидал подтверждения, правильно ли понимаю или нет, и чужие ответы тоже хотел послушать. Поэтому получилось то что вы назвали разговором с самим собой)

[Иван Петров]

Денис Юрьев, АртемЪ, правильно ли понимаю, что DynDNS, No-ip и подобные сервисы не помогут сделать ftp с доступом из интернета, если имеет место быть NAT и/или серый IP?

[Денис Юрьев]

Иван Петров, да

[АртемЪ]

Иван Петров, Да. По сути это обычный DNS - позволяет вместо цифрового IP адреса использовать имя.
Вы вводите имя - а сервис подставляет нужный IP.
Эти сервисы удобны когда у вас белый динамический IP - вы сами не знаете какой именно IP вам назначил провайдер, а сервис подставит нужный.
Только и всего.

Answer 2

[АртемЪ]

1. Да.
   
2. Примерно так, если не вдаваться в подробности и разные реализации.
   
3. Нет. Не получится. Дело в том что порт на котором ожидается входящий для вас трафик выделяется в тот момент когда вы отправили запрос на сервер. В итоге если придет ответ с нужного адреса и с нужным портом, тогда к вам, иначе будет уничтожен.
   
4. Да.
   

Итог - хотите чтобы к вам можно было зайти из глобальной сети - арендуйте белый адрес, иначе никак.

Comments

[Иван Петров]

Кажется нашел другой вариант. Если кому то понадобится или будет интересно - в роутере keenetic есть сервис типа DynDNS - KeenDNS и он работает через облако, что вместе с функцией VPN-сервера SSTP дает возможность подключиться по VPN и пользоваться локальными ресурсами из сети роутера несмотря на NAT и серый IP.

Answer 3

[CityCat4]

1 .Да. Причем возможно не нескольким, а сотням людей :)
2. Да, но только в самом-самом общем понимании. В NAT задействовано гораздо больше механизмов и они значительно более сложные.
3. Нет. Непонимание того, что есть NAT приводит к ложным выводам. Нет никаких статически выделенных портов, все работает в динамике. Теоретически провайдер может пробросить порт внутрь сети, но практически для клиентов этого никто и никогда не делает. /30 - это маска подсети в формате CIDR, в "нормальном" виде это 255.255.255.252
4. Да

Answer 4

[Saboteur]

1) Правильно ли понимаю, что тот же самый 176.59.*.* адрес провайдер предоставил нескольким людям и они одновременно вместе со мной под ним находятся в интернете?

Да.

2) Правильно ли понимаю, что это все через NAT работает, а суть NAT в том что роутер провайдера назначает всем клиентам индивидуальные локальные адреса вида 10.160.*.*/30 и когда от них пересылает исходящие от них пакеты в интернет, то дописывает к этим пакетам порты, которые назначил каждому из клиентов

Раздает локальные адреса DHCP. NAT занимается именно "проксированием". При подключении с серого адреса через NAT, на сервере-маршрутизаторе динамически выделяется порт для обратной связи, но это не для клиента а для конкретной сессии.

3) Если я вдруг захочу сделать ftp на этом сером IP, к общему адресу 176.59.*.* который у многих клиентов одновременно, нужно дописать номер порта, который назначил роутер провайдера

Порт динамически назначается на каждую отдельную сессию, а не на ваш комп. Поэтому так не получится. Технически можно делать port-forwarding и прописаьт статический порт, но ваш провайдер скорее всего такой услуги не предоставляет.

4) 176.59.*.* это белый адрес, являющийся адресом роутера провайдера, который с помощью NAT перенаправляет от клиентов в интернет пакеты?

Возможно у провайдера все немного сложнее и адресов больше. Но в целом - да.