LINUX.ORG.RU
ФорумAdmin

Выявление и блокирование хостов за NAT'ом


0

1

Есть ли способы у провайдера выявить хосты, находящиеся за натом? Если да, то как их можно заблокировать со стороны провайдера или наоборот — скрыть со стороны сервера, на котором осуществляется NAT?

Из мануала по iptables: Дело в том, что отдельные провайдеры очень не любят когда одно подключение разделяется несколькими компьютерами. и тогда они начинают проверять значение TTL приходящих пакетов и используют его как один из критериев определения того, один компьютер «сидит» на подключении или несколько.

ps возможно есть еще другие методы

zloy_linuxoid
()
Ответ на: комментарий от AGUtilities

Куда же ты от монополиста уйдёшь.

post-factum ★★★★★
() автор топика
Ответ на: комментарий от Novell-ch

не знал, возьму на заметку. Раньше думал что можно попалить только на разном TTL(хотя с помощью iptables можно принудительно выставить TTL), а оказывается не все так просто...

Pinkbyte ★★★★★
()

попробуйте iptables -t mangle -A PREROUTING -i внешний_интерфейс -j TTL --ttl-set 64

про выявить уже написали

vladislav ★★
()
Ответ на: комментарий от zloy_linuxoid

>Дело в том, что отдельные провайдеры очень не любят когда одно подключение разделяется несколькими компьютерами.

С этим никогда не сталкивался, и смысла не понимаю, какая ISP разница? Или они боятся, что я перепродавать начну, или колхоза, чушь какая то.

lvi ★★★★
()
Ответ на: комментарий от lvi

http://www.linux.org.ru/forum/admin/1972764

Раньше такое встречал, сейчас не знаю. Это хороший способ заработать денег на стоимости подключения, особенно если провайдер один в доме, тогда и цену можно ломить раза в 2 выше, чем в соседнем доме, где уже есть конкурент.

А сейчас, когда в доме 2-3 провайдера, и они регулярно бесплатно переподклчают при условии разрыва договора с конкурентом, детектирование NAT, ИМХО, умерло.

Хотя СОРМ, вроде, остался. Может провайдер здесь себе «соломку подстилает».

А отдельный вопрос, вот провайдер запрещает NAT, а если на одном хосте несколько гостевых OC с разным настройками TTL, это NAT или нет?

mky ★★★★★
()
Ответ на: комментарий от lvi

>>С этим никогда не сталкивался, и смысла не понимаю, какая ISP разница? Или они боятся, что я перепродавать начну, или колхоза, чушь какая то.

Для меня это тоже загадка

zloy_linuxoid
()
Ответ на: комментарий от mky

>а если на одном хосте несколько гостевых OC

Дома Wi-Fi роутер, там бук, нетбук, телефон, 2 компа, серверок, и не у меня одного не один. Сейчас уже и телевизоры с IP, не говоря уже о разных коробках к нии. Да и один бы комп был, все равно не вешал на него ихний ppp, спрятал-бы за NATом.

lvi ★★★★
()
Ответ на: комментарий от lvi

Может я слишком пьян, но я не понял, к чему ваш пост. В том плане, что мне не важно, сколько у вас железа за NAT'ом, я не ваш провайдер, и вобще не провайдер :)

Но несколько лет назад я видел, может даже на ЛОРе, как один представитель провайдера плакался, как плохо, когда NAT. Они недополучают денег и подключают дома в убыток себе, бедненькие :))

mky ★★★★★
()
Ответ на: комментарий от post-factum

Ну, если виртуалки будут считаться NAT'ом, то может держать это как аргумент в споре с провайдером. Как я понимаю, вы ведь не провайдер?

То есть в случае чего придти к ним в офис и в развёрнутой форме, желательно письменно, объяснять, что комп у вас один, а нужна одна программа из Винды и одна из Линуса. По моему опыту, письменная претензия на имя директора действует лучше, чем долгие разговоры с техподдержкой...

mky ★★★★★
()
Ответ на: комментарий от Pinkbyte

Как мне показалось, это совсем уж криминалистические методы. Т.е. в реальной жизни и в реальной работе сетей вряд-ли кто станет такое делать.

Nicholass ★★★
()
Ответ на: комментарий от mky

Мне вот интересно, у меня роуетр с Wi-Fi, как, наверное у многих. Приезжают ко мне гости довольно часто, естественно люди почти всегда подрубаются к моему Wi-Fi. Как это с точки зрения юриспреденции?

Если это нормально, то тогда факт, что я раздаю интенет соседям без налогооблагаемого взимания с них денег считается нарушением? чем? почему оно отличается?

Если я сисадмин, у меня дома есть тестовый сегмент, который лежит домашней сети на котором я тестирую всякие решения. Получится, что у устройств внутри этого террариума TTL относительно моего корневого роутера +3, это сразу же почти отсеют, но ведь я ничего не нарушал.

Короче задача больше юридическая, чем техническая.

Nicholass ★★★
()
Ответ на: комментарий от mky

Может я слишком пьян, но я не понял, к чему ваш пост.

к тому, что за натом может быть и 1 железка, просто кому-то так удобнее. и провайдер «недополучать» денег не будет

xtraeft ★★☆☆
()

Проверять если и будут, то только при существенном скачке трафика. И скорее по используемым «одним» хостом портам, TTL и прочим очевидным вещам. А это никак не скроешь.

А вот всякие умные техники (типа учета ID пакетов) никто использовать не будет, нафиг оно никому не надо. Точнее, обычно в компаниях для которых чужой NAT - трагедия, нет таких специалистов.

fagot ★★★★★
()
Ответ на: комментарий от fagot

Особенно боятся, когда трафик внутри сети нелимитированый и бесплатный :) Контора может сидеть на нищебродском подключении 1 мегабит, а реально иметь 100500 этих мегабит :) Собсна, у нас так и делают.

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

>Особенно боятся, когда трафик внутри сети нелимитированый и бесплатный

Т.е. боятся не денег, а что канал просадим.

Ага, когда я подключался (давно...) они давали свой проксик, никогда его не использовал. Вроде как внутрисетевой трафик получается, надо пробовать, работает ли сейчас, и что это даст.

lvi ★★★★
()
Ответ на: комментарий от lvi

Т.е. боятся не денег, а что канал просадим.

для них это эквивалентно, потому что канал не выдержит и 1/10 загрузки, которую по тарифам проплатили пользователи. Провайдеры не продают гарантированное пропускание.

stevejobs ★★★★☆
()
Ответ на: комментарий от post-factum

>Открывают после такого, да. Но обойти тоже нужно знать как.

Пардон, открывают ЧТО? Провайдер блокирует твою учетку или как-то умудрятся блокироват NAT?

А вообще, либо менять такого гнусного провайдера, либо писать жалобы в анимонополный комитет. В последнее время их там очень любят и ждут.

Macil ★★★★★
()
Ответ на: комментарий от post-factum

>Жалобы пишем, да. Открывают после такого, да.

Пишите жалобу, официально регистрируете у них в приемной, получаете ответ. Если ответ не устраивает пишите жалобу «куда надо» прилагая копии предыдущей жалобы и ответа на нее, формулируя «какого лысого черта нехороший провайдер не разрешает мне подключаться к сети за пользование которой я плачу ему деньги. Использую повсеместно продающееся устройство длинк-ххх применение которого не запрещено ничем»

TheMixa ★★★
()
Ответ на: комментарий от post-factum

>Из сервера всё работает, из клиентов за НАТом всё спотыкается на шлюзе.

Тогда гипотеза H1: провайдер вычисляет max(TTL) с твоего IP за период, затем блокирует TTL < max(TTL).

Macil ★★★★★
()
Ответ на: комментарий от post-factum

>Из сервера всё работает, из клиентов за НАТом всё спотыкается на шлюзе.

Я бы поставил на кривые настройки шлюза на клиентах или настройках форварда сервера :)

Очень сомневаюсь что можно эффективно (для автоматической блокировки) отслеживать NAT. ОС - ну еще ладно, какой-то p0f демонизировать, анализировать результаты в надежде на точ что они правильные. Но не NAT сам по себе.

fagot ★★★★★
()
Ответ на: комментарий от post-factum

>Каким?

Когда нам это еще было надо, мы смотрели самых злостных качальщиков - по объемам трафика уже и так понятно что там сетка (а если нет объемов - то и фиг с ней).

А дальше сканер в руки и пытаешься понять что за трафик идет. Ну не может один пользователь играть во все игры сразу, смотреть четыре фильма онлайн и сидеть на 40 сайтах (я не про вкладки). А если и может, то он такой нафиг не нужен, отключать под любым предлогом.

Т.е. никакой автоматизации, о которой ты говоришь, нет.

fagot ★★★★★
()
Ответ на: комментарий от fagot

Проблема точно не в шлюзе. Я всё-таки думаю, что они смотрят по TTL. Проверим — напишу.

post-factum ★★★★★
() автор топика
Ответ на: комментарий от post-factum

Обычные wi-fi роутеры реализуют подключение нескольких компьютеров именно как NAT. Провайдер по определению не может его запретить, потому что у тогда 90% пользователей отвалится интернет и они уйдут к другому провайдеру.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.