web-dev-qa-db-ja.com

プライベートIPがインターネット経由でルーティングされる

プライベート172.30.x.xサブネットを使用する内部サーバー上に内部プログラムをセットアップしています...アドレス172.30.138.2にpingすると、インターネット経由でルーティングされます。

C:\>tracert 172.30.138.2
Tracing route to 172.30.138.2 over a maximum of 30 Hops

  1     6 ms     1 ms     1 ms  xxxx.xxxxxxxxxxxxxxx.org [192.168.28.1]
  2     *        *        *     Request timed out.
  3    12 ms    13 ms     9 ms  xxxxxxxxxxx.xxxxxx.xx.xxx.xxxxxxx.net [68.85.xx.xx]
  4    15 ms    11 ms    55 ms  te-7-3-ar01.salisbury.md.bad.comcast.net [68.87.xx.xx]
  5    13 ms    14 ms    18 ms  xe-11-0-3-0-ar04.capitolhghts.md.bad.comcast.net [68.85.xx.xx]
  6    19 ms    18 ms    14 ms  te-1-0-0-4-cr01.denver.co.ibone.comcast.net [68.86.xx.xx]
  7    28 ms    30 ms    30 ms  pos-4-12-0-0-cr01.atlanta.ga.ibone.comcast.net [68.86.xx.xx]
  8    30 ms    43 ms    30 ms  68.86.xx.xx
  9    30 ms    29 ms    31 ms  172.30.138.2

Trace complete.

これは私たちの多くを混乱させています。 VPNをセットアップした場合、インターネット経由でルーティングされているようには表示されません。インターネットサーバーにヒットした場合、プライベートIP(192.168など)はルーティングされません。

プライベートIPアドレスをサーバー間でルーティングするにはどうすればよいですか?すべてコムキャストであるということは、ルーターの設定が間違っているということですか?

7
WernerCD

プライベートIPアドレスをサーバー間でルーティングするにはどうすればよいですか?

あなたと宛先の間のルーターにプライベートアドレススペースをブロックする入力/出力フィルターがない場合、おそらくデフォルトのルートに従ってルーティングされます。プライベートアドレス宛てのすべてがネットワークから出ることを禁止するルールを外部ルーターに設定することを強く検討する必要があります。

多くのルーターはすべてのトラフィックを転送するだけで、フィルタリングは一切行いません。プライベートアドレスは、他のアドレスと同じように見えます。ルーターに明示的に定義されたルートがない場合は、デフォルトゲートウェイに送信します。

どうやら、ルーターの設定が適切でない他のユーザーに連絡できたようです。

また、プライベートIPが漏洩し、それらのプライベートIPがパブリックにアクセス可能にならない場合もあります。このような単純なネットワークがあるとしましょう。また、ルーター2とルーター3の間のサブネットを除いて、IPアドレスがすべてパブリックにルーティング可能であると仮定しましょう。クライアント1からクライアント2にtracerouteを実行すると、ルーター3からの応答が表示される場合と表示されない場合があります。フィルタを設定すると、返信は表示されません。表示されず、他のシステムにフィルタがない場合は、返信が表示されます。トレースルートから返されるパケットには、通常、トレースが受信されたインターフェイスのIPが含まれますが、トレースルートを実行しているマシンのIP宛てです。宛先アドレスは有効であるため、送信元アドレスとしてプライベートIPがあっても、パケットは配信されます。

  • router1に接続されたクライアント1
  • ルーター2に接続されたルーター1
  • ルーター3に接続されたローター2
  • クライアント2に接続されたルーター3

多くの点で、これは IP偽造 に関するこの質問の要点に戻ります。フィルターがなく、返信を気にしない場合、送信元アドレスは何でもかまいません。 tracerouteの実装はICMPを使用し、ICMPはステートレスであるため、直接到達できない、または無効なIPアドレスが表示される場合があります。

9
Zoredache

元のネットワークは192.168.28.0のようです。マシンまたはルーターは172.30.138.xネットワークを知っていますか?そうでない場合は、知らない他のネットワークと同様に、デフォルトルートを送信します。

元のマシンの172.30.138.xネットワークにインターフェイスを追加するか、ルーターのそのネットワークにインターフェイスを追加して、トラフィックを適切に転送できるようにする必要があります。

7
jerm

プライベートアドレスは、他のIPアドレスと同じです。インターネットにアナウンスされれば、ルーティング可能になります。おそらくISPには、これらのアドレスが「エンドユーザーがインターネットと認識するもの」に漏洩するのを防ぐためのインバウンド/アウトバウンドフィルターがあります。

しかし、あなたの場合、トラフィックはComcast AS7922を離れることはありません。 Comcastは他の皆と同じようにRFC1918プライベートアドレスを使用していました(ISPは通常、STB、モデム、DHCP、DNSなどにこれらを使用しています)。彼らがそれをフィルタリングしない場合、あなたはそれに到達することができます...

1
sdaffa23fdsf

プライベートIPアドレスをサーバー間でルーティングするにはどうすればよいですか?

最初にプライベートIPアドレスを定義しましょう。これは、慣例により、インターネット上でルーティングされないことに同意されているアドレスです。つまり、コミュニティとして、BGPを介してこれらのルートをアドバタイズしないことに同意します。また、ISPが境界へのこれらのルートを殺して、ネットワークへの伝播を防止することも意味します。

ただし、プライベートIPがルーターを通過できないわけではありません。 Comcastがインターネット全体と通信することを想定していないネットワーキング機器にプライベートIPアドレス範囲を使用する可能性は非常に高く、非常に高い可能性さえあります。これらのルートは、Comcastネットワーク全体で内部ルーティングプロトコルによって転送される場合があります。

全体として、ルーターがNAT変換を実行してから、プライベートIPを含む、ネクストホップルーターにローカルではないすべてのトラフィックをデフォルトでルーティングする場合が当てはまると思いますスペース。ただし、誤ってプライベートIPを使用して応答するホストに至るまでのデフォルトルートを使用する多くのComcastルーターがある可能性は低いです。これは目的があるものであるという私の強い仮定です。リモートモニタリングまたは他の同様に無害なデバイスであり、Comcastの外部の誰も対話する必要はありません。

すべてComcastであるということは、ルーターの設定が間違っているということですか?

TracerouteはすべてのパケットがComcastネットワーク内に残っていることを示しているので、実際に遭遇したのはそれほど驚くべき状況ではありません。単一の自律システム内にとどまり、標準に違反していません。

1
Jeff Ferland

すべてコムキャストであるということは、ルーターの設定が間違っているということですか?

正しく設定されていませんか?はい、プライベートアドレス指定は、ネットワーク内部で完全にフィルタリングする必要があります。しかし、少しずさんな場合は、パスがallComcast-キャリアネットワークの場合である可能性があります特にComcastのようなずさんなものは、プライベートアドレッシングがエッジネットワークで入念にフィルタリングされますが、コアまたはアクセス部分ではそれほど多くありません。あなたの場合、ルート全体がComcastのみであるように見えるため、これが実際に応答するComcast内の宛先にも実際に転送される可能性があることは「合理的」です。確かに、これはクリーンなネットワーキングの実装ではありません。ボルチモアエリアからデンバー、そして最後にジョージアに行きましたが、可能ですそれを可能にする完全な「自律システム」内。

1
danno