LINUX.ORG.RU

Жадный провайдер или как обойти платный NAT


0

3

Нужно раздавать интернет на парк устройств через маршрутизатор, но наглый провайдер хочет, чтобы я для этого подключил ещё и NAT за баблосы. Платить за такую услугу, которую другие провайдеры предоставляют бесплатно - у меня желания нету. Прошу советов по обходу данной проблемы. Знаю что есть спец. прошивки на unix для маршрутизатора. Даже знал название оной, но не смог найти, что с ней делать. Т.е. я бы установил, но как обойти ограничение провайдера на подключаемые устройства с помощью нее я не понял.

P.S> вариантов сменить провайдера не предлагать


Ответ на: комментарий от Krieger_Od

Кстати, вариант. Тогда так:

iptables -t mangle -A POSTROUTING -j TTL --ttl-inc 1

Правда, трейсроут с клиентских устройств немного поломается: сам маршрутизатор видно не будт

selivan ★★★
()
Последнее исправление: selivan (всего исправлений: 1)
Ответ на: комментарий от selivan

Где нищий провайдер считающий копейки от продажи возможности пользоваться NAT возьмет денег на DPI? И да, проксю можно заставить прикидывается браузером. А прозрачные прокси это грязный хак, чтобы о них не знали клиенты.

naszar
()
Ответ на: комментарий от proud_anon

Элементарно. Просто блочить доступ к интернету при выявлении маршрутизатора или NAT'а (выше по треду указаны возможные маркеры).

Да, такое быдлопровайдеры делают.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от naszar

Где нищий провайдер считающий копейки от продажи возможности пользоваться NAT возьмет денег на DPI?

DPI — это не обязательно спец.железка, это запросто могут быть обычные правила в iptables/ipfw.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от naszar

Вот по этому и говорю - жаловаться и валить. А что если этот местечковый интернет-царь захочет деньги брать за торренты, игрушки и UDP-траффик, и за скайп, и за pop3/smtp, и за возможность icmp рассылать?

1. Провайдер может быть монополистом. В здании, в микрорайоне. ТС указал, что менять провайдер для него не вариант.

2. Пока будут идти разборки, предлагаешь сидеть за тупым прокси и страдать? А если волокита будет месяцами идти? Или вообще без инета сидеть?

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

DPI — это не обязательно спец.железка, это запросто могут быть обычные правила в iptables/ipfw.

Ну выполнятся то это дело будет на железке. Кстати, не спора ради - много мощностей надо, чтобы рубить скажем по useragent, скажем на 10Гб/с канале? Насколько я знаю iptables из коропки заглядывать в пакеты не умеет. Надо модуль свой писать, надежный. Мне по этой теме очень интересно в связи со спорами о блокировках. Почему провайдеры не могут заворачивать IP из черного списка на отдельный узел и там уже делать ему DPI по запросам именно к запрещенным страницам? Зачем все кричат что делать DPI очень дорого?

Пока будут идти разборки, предлагаешь сидеть за тупым прокси и страдать?

Я предлагаю пытаться решить задачу, которую в общем случае, невозможно решить техническими средствами, решать не только техническими средствами. Была бы у меня задача мешать работать нату, я выбрал десяток алгоритмов и менял бы их через день.. а еще бы хорошо подумал, как можно задержки использовать.

naszar
()
Ответ на: комментарий от mrXorg

как провайдер обнаруживает NAT?

В принципе следующие варианты

1. TTL. В заголовке пакета при прохождении через каждый узел уменьшается на единицу. И если стоит NAT то TTL будет на единицу меньше ожидаемого.

2. ID. У каждого пакета генерируемого компом есть определенный ID. Как правило ОСи тупо увеличивают ID при каждом новом пакете на единицу. Если комп 1 то идет одна последовательность пакетов. Если работают 2 компа, то получаем 2 последовательности.

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 3)
Ответ на: комментарий от naszar

Ну выполнятся то это дело будет на железке.

Весьма немало провайдеров средней паршивости используют для этих вещей обычные PC, где сеть масштабируется горизонтально. Лично работал в таком межрегиональном провайдере.

Насколько я знаю iptables из коропки заглядывать в пакеты не умеет.

Умеет, например такое простое правило блокировки UA

iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" -j DROP

Гарантий 100% не дает, но жизнь попортит юзеру.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от naszar

Почему провайдеры не могут заворачивать IP из черного списка на отдельный узел и там уже делать ему DPI по запросам именно к запрещенным страницам? Зачем все кричат что делать DPI очень дорого?

Одно дело — проверять несколько юзеров. Другое — всех. Ты даже не представляешь, как могут быть жадными конторы на оборудование.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от vel

офисные провайдеры иногда выставляют бабло за количество подключенных тачек, особенно если канал широкий

прокси тогда, и качать торренты централизованно, прямо на шлюзе

плюс всех соседей подговорить сделать так же, чтобы у провайдера была загрузка канала 120% вообще всегда. Чисто из соображений мести.

stevejobs ★★★★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.