Smerovani portu
David Obdrzalek
David.Obdrzalek na mff.cuni.cz
Čtvrtek Leden 2 10:44:34 CET 2014
On 2 Jan 2014 at 7:19, Martin Záruba wrote:
> ZprávaDobry den,
> 1. Nyni navazuji spojeni ze stejne site, protoze jsem to chtel vyzkouset a
> jinou sit k dispozici nemam
> 2., 3. ano
> 4. zde si nejsem jisty, ale cokoli z vnitrni site ma pristup do vnejsi site, z
> vnejsi site je pouze jediny port smerovan na server
>
> Pokud by platilo to, co pisete nize, musel by WireShark na serveru zaznamenat
> nejakou komunikaci, ale ten paket z WiPortu se k nemu nedostane, pokud je
> posilan na verejnou IP.
>
> Ta sit je jeste trosku slozitejsi: vnitrni sit je pres router, pripojena na
> WiFi adapter poskytovatele pripojeni. Napr na seznam vypada cesta takto:
>
> Výpis trasy k www.seznam.cz [77.75.76.3]
> s nejvýše 30 směrováními:
>
> 1 1 ms 1 ms 1 ms 192.168.15.1
> 2 2 ms 5 ms 5 ms 10.11.168.1
> 3 6 ms 6 ms 2 ms 10.11.254.181
> 4 4 ms 3 ms 2 ms 10.10.10.213
> 5 4 ms 2 ms 2 ms bond-cgn-sit.ujd [10.10.10.10]
> 6 3 ms 2 ms 4 ms unassigned-81-90-244-81.ujezd.net
> [81.90.244.81]
>
> 7 3 ms 3 ms 2 ms v206-r1.2connect.cz [109.205.72.65]
> 8 9 ms 3 ms 3 ms nix2.seznam.cz [91.210.16.194]
> 9 3 ms 3 ms 2 ms 77.75.75.210
> 10 3 ms 3 ms 10 ms www.seznam.cz [77.75.76.3]
>
> 192.168.15.1 je IP routeru vnitrni site.
>
> Nicmene moje verejna IP je 81.90.250.131 Tak ji take vidi www.grc.com nebo
> tracert.com . Jak je to ale u poskytovatele (ujezd.net) udelane, ze tato IP
> vubec neni v ceste tracert nevim.
Tracert je pouziti pingu na cilovou adresu (ICMP Echo) s postupne se zvysujicim
time to live. Ten kazdy uzel po ceste zmensi o 1 a posle dal. Kdyz klesne na 0,
prislusny uzel odpovi odesilateli s chybovou hlaskou (time exceeded nebo tak
nejak). Z techhle odpovedi se pak vypisuje ten seznam. Kdyz ma uzel vic
sitovych rozhrani / IP adres, tak ta odpoved prijde z adresy "co je na ceste
smerem k vam" a tim padem neuvidite vnejsi adresu routeru ale vnitrni. Takze z
tracert dostanete seznam IP adres, ktere jsou "bliz" k vam na kazdem uzlu;
kdybyste ti takhle tracert pustil z druhe strany smerem k sobe, dostal byste
seznam zase jiny.
Jeste je take dobre poznamenat, ze kdyz z traceroute vypadne nejaky seznam, ze
to neznamena, ze komunikace vzdycky pobezi touto cestou, a to ani v nejblizsim
casovem useku. Routery po ceste si to muzou dynamicky optimalizovat podle
cehokoli, od velikosti paketu, pres jeho obsah, zatizeni spojeni mezi dvema
uzly nekde, pres celkove zatizeni site az po pocasi.
Pokud z vnitrni site neco budete posilat na vnejsi adresu routeru a ten to ma
preposlat podle portu zase nekam dovnitr a nejde to, tak bych si tipnul, ze
proste router neocekava, ze by neco prislo zevnitr na tu vnejsi adresu. Mozna
to jen neni spravne nastavene (a bohuzel to ani nemusi jit nastavit, to totiz
muze byt neco chybejiciho v pravidlech toho routeru ale k nim se nemusite
dostat), mozna je to blokovane umyslne, mozna to je nedotazena implementace
port forwarding, ale tak ci tak bych se tomu ani moc nedivil. Je to proste dost
vyjimecny zpusob komunikace, specialne na malych levnych routerech pro domaci
pouziti.
D.O.
Další informace o konferenci Hw-list