プライベート172.30.x.xサブネットを使用する内部サーバー上に内部プログラムをセットアップしています...アドレス172.30.138.2にpingすると、インターネット経由でルーティングされます。
C:\>tracert 172.30.138.2
Tracing route to 172.30.138.2 over a maximum of 30 Hops
1 6 ms 1 ms 1 ms xxxx.xxxxxxxxxxxxxxx.org [192.168.28.1]
2 * * * Request timed out.
3 12 ms 13 ms 9 ms xxxxxxxxxxx.xxxxxx.xx.xxx.xxxxxxx.net [68.85.xx.xx]
4 15 ms 11 ms 55 ms te-7-3-ar01.salisbury.md.bad.comcast.net [68.87.xx.xx]
5 13 ms 14 ms 18 ms xe-11-0-3-0-ar04.capitolhghts.md.bad.comcast.net [68.85.xx.xx]
6 19 ms 18 ms 14 ms te-1-0-0-4-cr01.denver.co.ibone.comcast.net [68.86.xx.xx]
7 28 ms 30 ms 30 ms pos-4-12-0-0-cr01.atlanta.ga.ibone.comcast.net [68.86.xx.xx]
8 30 ms 43 ms 30 ms 68.86.xx.xx
9 30 ms 29 ms 31 ms 172.30.138.2
Trace complete.
これは私たちの多くを混乱させています。 VPNをセットアップした場合、インターネット経由でルーティングされているようには表示されません。インターネットサーバーにヒットした場合、プライベートIP(192.168など)はルーティングされません。
プライベートIPアドレスをサーバー間でルーティングするにはどうすればよいですか?すべてコムキャストであるということは、ルーターの設定が間違っているということですか?
プライベートIPアドレスをサーバー間でルーティングするにはどうすればよいですか?
あなたと宛先の間のルーターにプライベートアドレススペースをブロックする入力/出力フィルターがない場合、おそらくデフォルトのルートに従ってルーティングされます。プライベートアドレス宛てのすべてがネットワークから出ることを禁止するルールを外部ルーターに設定することを強く検討する必要があります。
多くのルーターはすべてのトラフィックを転送するだけで、フィルタリングは一切行いません。プライベートアドレスは、他のアドレスと同じように見えます。ルーターに明示的に定義されたルートがない場合は、デフォルトゲートウェイに送信します。
どうやら、ルーターの設定が適切でない他のユーザーに連絡できたようです。
また、プライベートIPが漏洩し、それらのプライベートIPがパブリックにアクセス可能にならない場合もあります。このような単純なネットワークがあるとしましょう。また、ルーター2とルーター3の間のサブネットを除いて、IPアドレスがすべてパブリックにルーティング可能であると仮定しましょう。クライアント1からクライアント2にtracerouteを実行すると、ルーター3からの応答が表示される場合と表示されない場合があります。フィルタを設定すると、返信は表示されません。表示されず、他のシステムにフィルタがない場合は、返信が表示されます。トレースルートから返されるパケットには、通常、トレースが受信されたインターフェイスのIPが含まれますが、トレースルートを実行しているマシンのIP宛てです。宛先アドレスは有効であるため、送信元アドレスとしてプライベートIPがあっても、パケットは配信されます。
多くの点で、これは IP偽造 に関するこの質問の要点に戻ります。フィルターがなく、返信を気にしない場合、送信元アドレスは何でもかまいません。 tracerouteの実装はICMPを使用し、ICMPはステートレスであるため、直接到達できない、または無効なIPアドレスが表示される場合があります。
元のネットワークは192.168.28.0のようです。マシンまたはルーターは172.30.138.xネットワークを知っていますか?そうでない場合は、知らない他のネットワークと同様に、デフォルトルートを送信します。
元のマシンの172.30.138.xネットワークにインターフェイスを追加するか、ルーターのそのネットワークにインターフェイスを追加して、トラフィックを適切に転送できるようにする必要があります。
プライベートアドレスは、他のIPアドレスと同じです。インターネットにアナウンスされれば、ルーティング可能になります。おそらくISPには、これらのアドレスが「エンドユーザーがインターネットと認識するもの」に漏洩するのを防ぐためのインバウンド/アウトバウンドフィルターがあります。
しかし、あなたの場合、トラフィックはComcast AS7922を離れることはありません。 Comcastは他の皆と同じようにRFC1918プライベートアドレスを使用していました(ISPは通常、STB、モデム、DHCP、DNSなどにこれらを使用しています)。彼らがそれをフィルタリングしない場合、あなたはそれに到達することができます...
プライベートIPアドレスをサーバー間でルーティングするにはどうすればよいですか?
最初にプライベートIPアドレスを定義しましょう。これは、慣例により、インターネット上でルーティングされないことに同意されているアドレスです。つまり、コミュニティとして、BGPを介してこれらのルートをアドバタイズしないことに同意します。また、ISPが境界へのこれらのルートを殺して、ネットワークへの伝播を防止することも意味します。
ただし、プライベートIPがルーターを通過できないわけではありません。 Comcastがインターネット全体と通信することを想定していないネットワーキング機器にプライベートIPアドレス範囲を使用する可能性は非常に高く、非常に高い可能性さえあります。これらのルートは、Comcastネットワーク全体で内部ルーティングプロトコルによって転送される場合があります。
全体として、ルーターがNAT変換を実行してから、プライベートIPを含む、ネクストホップルーターにローカルではないすべてのトラフィックをデフォルトでルーティングする場合が当てはまると思いますスペース。ただし、誤ってプライベートIPを使用して応答するホストに至るまでのデフォルトルートを使用する多くのComcastルーターがある可能性は低いです。これは目的があるものであるという私の強い仮定です。リモートモニタリングまたは他の同様に無害なデバイスであり、Comcastの外部の誰も対話する必要はありません。
すべてComcastであるということは、ルーターの設定が間違っているということですか?
TracerouteはすべてのパケットがComcastネットワーク内に残っていることを示しているので、実際に遭遇したのはそれほど驚くべき状況ではありません。単一の自律システム内にとどまり、標準に違反していません。
すべてコムキャストであるということは、ルーターの設定が間違っているということですか?
正しく設定されていませんか?はい、プライベートアドレス指定は、ネットワーク内部で完全にフィルタリングする必要があります。しかし、少しずさんな場合は、パスがallComcast-キャリアネットワークの場合である可能性があります特にComcastのようなずさんなものは、プライベートアドレッシングがエッジネットワークで入念にフィルタリングされますが、コアまたはアクセス部分ではそれほど多くありません。あなたの場合、ルート全体がComcastのみであるように見えるため、これが実際に応答するComcast内の宛先にも実際に転送される可能性があることは「合理的」です。確かに、これはクリーンなネットワーキングの実装ではありません。ボルチモアエリアからデンバー、そして最後にジョージアに行きましたが、可能ですそれを可能にする完全な「自律システム」内。