Smerovani portu

David Obdrzalek David.Obdrzalek na mff.cuni.cz
Čtvrtek Leden 2 10:44:34 CET 2014


On 2 Jan 2014 at 7:19, Martin Záruba wrote:

> ZprávaDobry den,
> 1. Nyni navazuji spojeni ze stejne site, protoze jsem to chtel vyzkouset a
> jinou sit k dispozici nemam
> 2., 3. ano
> 4. zde si nejsem jisty, ale cokoli z vnitrni site ma pristup do vnejsi site, z
> vnejsi site je pouze jediny port smerovan na server
> 
> Pokud by platilo to, co pisete nize, musel by WireShark na serveru zaznamenat
> nejakou komunikaci, ale ten paket z WiPortu se k nemu nedostane, pokud je
> posilan na verejnou IP.
> 
> Ta sit je jeste trosku slozitejsi: vnitrni sit je pres router, pripojena na
> WiFi adapter poskytovatele pripojeni. Napr na seznam vypada cesta takto:
> 
> Výpis trasy k www.seznam.cz [77.75.76.3]
> s nejvýše 30 směrováními:
> 
>   1     1 ms     1 ms     1 ms  192.168.15.1
>   2     2 ms     5 ms     5 ms  10.11.168.1
>   3     6 ms     6 ms     2 ms  10.11.254.181
>   4     4 ms     3 ms     2 ms  10.10.10.213
>   5     4 ms     2 ms     2 ms  bond-cgn-sit.ujd [10.10.10.10]
>   6     3 ms     2 ms     4 ms  unassigned-81-90-244-81.ujezd.net
> [81.90.244.81]
> 
>   7     3 ms     3 ms     2 ms  v206-r1.2connect.cz [109.205.72.65]
>   8     9 ms     3 ms     3 ms  nix2.seznam.cz [91.210.16.194]
>   9     3 ms     3 ms     2 ms  77.75.75.210
>  10     3 ms     3 ms    10 ms  www.seznam.cz [77.75.76.3]
> 
> 192.168.15.1 je IP routeru vnitrni site.
> 
> Nicmene moje verejna IP je 81.90.250.131 Tak ji take vidi www.grc.com nebo
> tracert.com . Jak je to ale u poskytovatele (ujezd.net) udelane, ze tato IP
> vubec neni v ceste tracert nevim.

Tracert je pouziti pingu na cilovou adresu (ICMP Echo) s postupne se zvysujicim 
time to live. Ten kazdy uzel po ceste zmensi o 1 a posle dal. Kdyz klesne na 0, 
prislusny uzel odpovi odesilateli s chybovou hlaskou (time exceeded nebo tak 
nejak). Z techhle odpovedi se pak vypisuje ten seznam. Kdyz ma uzel vic 
sitovych rozhrani / IP adres, tak ta odpoved prijde z adresy "co je na ceste 
smerem k vam" a tim padem neuvidite vnejsi adresu routeru ale vnitrni. Takze z 
tracert dostanete seznam IP adres, ktere jsou "bliz" k vam na kazdem uzlu; 
kdybyste ti takhle tracert pustil z druhe strany smerem k sobe, dostal byste 
seznam zase jiny.

Jeste je take dobre poznamenat, ze kdyz z traceroute vypadne nejaky seznam, ze 
to neznamena, ze komunikace vzdycky pobezi touto cestou, a to ani v nejblizsim 
casovem useku. Routery po ceste si to muzou dynamicky optimalizovat podle 
cehokoli, od velikosti paketu, pres jeho obsah, zatizeni spojeni mezi dvema 
uzly nekde, pres celkove zatizeni site az po pocasi.  


Pokud z vnitrni site neco budete posilat na vnejsi adresu routeru a ten to ma 
preposlat podle portu zase nekam dovnitr a nejde to, tak bych si tipnul, ze 
proste router neocekava, ze by neco prislo zevnitr na tu vnejsi adresu. Mozna 
to jen neni spravne nastavene (a bohuzel to ani nemusi jit nastavit, to totiz 
muze byt neco chybejiciho v pravidlech toho routeru ale k nim se nemusite 
dostat), mozna je to blokovane umyslne, mozna to je nedotazena implementace 
port forwarding, ale tak ci tak bych se tomu ani moc nedivil. Je to proste dost 
vyjimecny zpusob komunikace, specialne na malych levnych routerech pro domaci 
pouziti.

D.O.



Další informace o konferenci Hw-list