Как провайдер домашней сети определяет наличие NAT? И как с этим бороться?
Версия для печати (стр. 2)

Конференция: Конференция iXBT.com (http://forum.ixbt.com/)
Форум: Сети, сетевые технологии, подключение к интернету (http://forum.ixbt.com/?id=14)
URL: http://forum.ixbt.com/topic.cgi?id=14:34550

Время GMT +03. Даты в формате dd.mm.yyyy.

Страницы: назад · 1 2 3 4 · далее / все сообщения темы на одной странице

100. geran2004, 28.09.2004 14:36
Народ, а что скажет пров если у меня 2 роутера (2 nata) подряд включено? 1 нат работает только с одним внутренним адресом, а второй нат уже расшаривает инет на сколько мне нужно адресов. Пробовал обойтись одним роутером, не вышло! При подключении только одного компа связь есть, как только включаю 2 компа сразу падает модемное соединение! Бул тут под рукой еще один роутер вот его и приспособил и гимора больше нет, живу припеваючи!
Ну а если требуется протащить порт наружу то тащу через 2 nata- а какие проблемы? у меня нет.
Так связаны длинк роутер di-804hv и момед-роутер ADSL зухел.

А чтобы не потерять тему добавлю что пров не может отказать вам эксплуптировать всего один узел с nat-это требуется если вы рещили применить аппаратный фаерволл- а почему нет? Я скажем желаю использовать доп сетевое оборудование для фильтрации и отделения их грязной сети. Если и правда пров может определять наличие 2-х или более адресов за nat (в чем я сильно сомневаюсь) то настройте один адрес и подключите к нему еще один роутер. Так должно сработать.

101. Krey, 28.09.2004 22:02
AckCmd

Это называется - каша в голове. Прежде чем посылать кого-то изучать теорию, неплохо бы изучить ее самому. Чтобы не валить в одну кучу протоколы разных уровней.

Причем сдесь валить в кучу протоколы разных уровней? Если вы еще раз прочитаете процитированный текст, а заодно текст в постинге то, возможно, поймете, что я говорил о сетевых пакетах, которые само собой содержат заголовки всех "родительских" протоколов, на которых работает собственно протокол пакета. Поясняю: <b>Пакет FTP содержит в себе заголовки протоколов Ethernet,IP,TCP и именно в этом порядке </b>. Возможно сказано это было коряво, но смысл фразы поймет любой, кто читает смысл, а не придираеться к словам.


Ерунда. Пересобирается Ethernet-фрейм. В пакете только подменяется source IP и source port
Поскольку вы согласны что Ethernet фрейм пересобирается, то на этом останавливаться не будем. Замечу лишь, что дальнейшая ваша фраза Еще раз - ничего он не пересобирает. уже не имеет смысла. По поводу ваших слов о том, что в пакете подменяеться только source IP и source port я приведу заголовок протокола IP и этого должно быть достаточно, что бы вы поняли свою ошибку. Звездочками помечены те поля зоголовка, которые меняються или могут меняться в зависимости от параметров внешней сети.
Формат заголовока IP:
Vers - Версия
HLEN - длина заголовка *
TOS - Type of service
LEN - общая длина *
IDENT - идентификация фрагмента *
FLAGS - флаги фрагментации *
OFFSET - смещение фрагмента *
TTL - время жизни *
PROTO - протокола верхнего уровня
CRC - контрольная сумма заголовка *
SOURCEIP - источник *
TARGETIP - приемник
PARAMS - параметры *
FILL - заполнение
Объяснять это подробно я не буду. Поскольку вы читали специализированную литературу то в случае надобности сможете все найти самостоятельно.


Кто это Вам сказал? в обоих случаях TCP, разница в том что в активном режиме data connection открывается от сервера к клиенту, в пассивном наоборот.
Здесь моя ошибка. Я хотел написать FTP(TCP) - UDP(TFTP) т.е. Trivial FTP.


Про X-forwarded-for никогда не слышали?
Слышал. А вы про SecureNAT и SOCKS слышали? Я писал про дырявые прокси. И в конце концов прежде чем писать фразы наподобие "каша в голове" следовало бы внимательно прочитать текст.

ЧЕ-ГО????

Вторая моя ошибка. Я прочитал SYN Flood а понял почему-то как IP Spoofing. Время 4 часа утра было. Извините.

PS. Я благодарен за указанния на допущенные мной ошибки. Я так же понимаю, что читать достаточно длинный текст в форуме можно сквозь пальцы, но тем не менее прежде чем постить оскорбительные фразы вы были обязаны прочитать его чуть более вниметельнее.

102. AckCmd, 28.09.2004 22:21
Причем сдесь валить в кучу протоколы разных уровней?
Я понял сказанное. Однако протоколы высших уровней (HTTP, FTP etc) не включают в себя понятия пакетов. Соответственно заголовки у них AFAIK отсутствуют. И NAT-у нет ни малейшей необходимости как-либо обращаться с данными внутри пакета. А то что Вы имели в виду (" NAT оставляет заголовки этих пакетов без изменений поскольку просто не знает как с ними обращаться.") - именно данные. Которые, btw, могут быть еще и фрагментированными, последовательно расположенные фрагменты не обязательно должны попасть на роутер последовательно.

я приведу заголовок протокола IP и этого должно быть достаточно, что бы вы поняли свою ошибку
Виноват. Согласен, был неправ.
И в конце концов прежде чем писать фразы наподобие "каша в голове" следовало бы внимательно прочитать текст.
Признаю, был излишне резок и прошу прощения.

103. Krey, 29.09.2004 23:37
AckCmd

Я понял сказанное. Однако протоколы высших уровней (HTTP, FTP etc) не включают в себя понятия пакетов

Зато пакеты (именно на это понятие был сделан акцент) включают в себя понятия протоколов.


А то что Вы имели в виду (" NAT оставляет заголовки этих пакетов без изменений поскольку просто не знает как с ними обращаться.") - именно данные.

Пакет протокола IP являеться данными для протокола Ethernet, Весь пакет FTP - данные для TCP и так далее до бесконечности. Все зависит от уровня детализации.

Которые, btw, могут быть еще и фрагментированными, последовательно расположенные фрагменты не обязательно должны попасть на роутер последовательно.

Заголовки всех участвующих в обмене данными протоколов содержаться всегда в первом фрагменте.


И NAT-у нет ни малейшей необходимости как-либо обращаться с данными внутри пакета.

Протоколу трансляции сетевых адресов действительно нет дела до того, что идет за протоколом TCP,UDP. Это не входит в его функции.
А вот если говорить о системе, которая не должна пропускать информацию об адресах частной сети такая необходимость появляеться.
Например SecureNAT в MS ISA Server просматривает и/или изменяет заголовки HTTP и FTP. А после установки дополнительных фильтров может работать и с любыми другими протоколами. И все это делаеться как раз на уровне Маршрутизатор/NAT/Firewall.

Вот я и имел в виду что сам по себе NAT не знает о протоколах высокого уровня именно потому что эти функции возложены на другие механизмы, а посему проблема скрытия информации о частной сети за якобы конечным клиентским компьютером не решаеться на уровне NAT'a. А говорил я об этом потому что в этой ветке форума участники не раз высказывали удивление по факту обнаружения компьютеров за настроенным NAT'ом.

Я благодарен вам за извинение.

Добавление от 29.09.2004 23:40:

104. sancoder, 30.09.2004 18:02
geran2004
тормозишь? или ничего не понимаешь?
объясняю:
У раутера был настроен внешний мак - такой же как и на той сетевой, которая была в момент подключения.
А проблемы были такие - что после настройки раутера в инет лазить не получалось.

Krey

Маршрутизатор с настроенным NAT при получении пакета с приватного интерфейса, при условии что исходя из решения о маршрутизации он должен попасть во внешнюю, принимает его и от своего "лица" посылает его во внешнюю.

Вот этого и не происходило. И если почитать внимательней, там разжевано почему это не происходило. Еще раз: при настройке раутера (внешний МАК = МАК сетевой карты) и подключении сетевой карты к "приватной" сети раутера собственно раутинг и не происходил.

105. chaynik, 25.02.2005 21:35
Сам не сидел за той машиной, только по телефону объяснял куда нажать, какую команду вколотить...
Имеем - доступ к провайдерской локалке через сетевуху (выдал адрес 172.16.х.х, не дхцп). Доступ в инет осуществляется с помощью vpn-соединения (без шифрации). Всё работает. На машине стоит WinXPSP2 (головная машина с двумя сетевухами).
Задача: с помощью второй сетевухи (и подсоединённого к ней репитора) дать доступ к инету ещё нескольким машинам (трафик не унлим).

Включая ICS на внешней сетевухе на головной машине я получаю доступ к провайдерской локалке с внутренних машин (тоже везде ХР), ризолвятся интернетовские имена в айпишники, но доступа в инет конечно же нет.

Включая ICS на vpn соединении получаю вроде бы доступ в инет с внутренних машин. Но! Выясняется, что не ризолвятся имена! По умолчанию на внутренних машинах в качестве DNS указан адрес 192.168.0.1 - адрес внутренней сетевухи головной машины (раздаётся через DHCP) - впрочем также, как и в случае включения ICS на самой сетевухе, как и в любом случае использования ICS.. Вернее они как бы ризолвятся, но только те, которые уже есть в кэше на головной машине. Т.е. стоит хоть раз постучаться как-либо на некий сайт с головной машины, доступ по имени к этому же сайту становится возможен и с внутренних машин. ...на некоторое время. DNS провайдера с внутренних машин не пингуется, хотя с головной пингуется (возможно TTL=1, сам не пинговал - обратил бы внимание). Если указать на внутренних машинах в качестве DNS-сервера какой-нибудь пингуемый DNS в инете, то всё равно ничего не ризолвится. Ничего не ризолвится и с помощью nslookup, хотя и можно им зацепиться за DNS серверы (кроме провайдерсокого). У меня такое подозрение, что либо провайдер каким-то образом просекает, что пакеты идут на/из UDP 53 на/из NAT для разрешения имени и фильтруются, либо фильтруется вообще весь UDP траффик, если от идёт из NAT. Но это маловероятно, я думаю, вычислить, что пакеты прошли NAT (вроде в них это никак не отражается). Тогда, более вероятно, выходит, что в случае использования ICS на VPN соединении не работает NAT в отношении UDP, но TCP, UDP NAT-ятcя успешно - можно из внутренней сети ходить браузерами по сайтам в инете (Ну либо ризолвить их из кэша головной машины, если они там уже были, либо из файла hosts). Я думаю есть 3 варианта решения этой проблемы (обход недоступности UDP, недоступности разрешения имён). Первый и самый тяжеловесный - поставить на головную машину прокси (Winroute к примеру). Второй способ - поставить на головной машине кэширующий DNS (можно найти и совсем простой в настройке, гуёвый - нужно ж только forwarder прописать). Ну и третий, наименее ресурсоёмкий вариант - прописать статический маршрут на головной машине в локальную сетку провадера, в которой тоже стоит DNS, который нормально ризолвит имена сайтов интренета.

Вопрос - если всё-таки проблема в том, что не выполняется NAT для UDP в случае расшаривания VPN соединения, то из-за чего это может быть? Глюк, фича винды? А может это всё-таки дело рук провайдера? Но тогда почему он отбрасывает только UDP (или только UDP53)?

Понаписал тут... интересно кто-нибудь разберётся во всех хитросплетениях, доходчиво ли я написал?

106. AckCmd, 25.02.2005 23:17
chaynik
самое забавное в этой ситуации то, что ics предоставляет DNS-прокси. То есть:
цитата:

1. The private computer sends a DNS name query request to the DNS proxy (source: private computer IP address, destination: DNS proxy private IP address).
2. DNS proxy saves the DNS name query request in memory and sends a new DNS name query request (source: DNS proxy public IP address, destination: Internet DNS server IP address).
3. The Internet DNS server resolves the name and sends a DNS name query response (source: Internet DNS server IP address, destination: DNS proxy public IP address).
4. DNS proxy matches the received DNS name query response with the saved DNS name query request and sends a new DNS name query response to the private computer (source: DNS proxy private IP address, destination: private computer IP address).
(c) http://www.microsoft.com/Resources/Documentation/win…k3tr_nat_how_bqee
То есть DNS-запрос не натится, а отправляется новый, от имени головного компа.

107. Stas_Dragon, 26.02.2005 15:36
Я однажду писал статью про поиск NAT, может кому пригодится ,
ну и вообще было бы интересно услышать Вашы отзывы
http://www.opennet.ru/base/net/nat_detect.txt.html

108. serovai, 01.03.2005 11:18
Stas, спасибо огромное за статью!
Правильно ли я понял, если к компу А (XP) с сетью (ethernet, постоянный "прямой" ip) подключаю кроссовером второй такой же Б, расшариваю сеть стандартным sharing, то, чтобы не засветиться с этим NAT'ом мне нужно на Б поставить TTL 129 вместо стандартных 128, не использовать разные броузеры и аськи? Про пунк 1 в Ваей статье я пока молчу т.к. сконфигурировать виндовсовский нат пока не знаю как.

109. Stas_Dragon, 01.03.2005 15:31
Угу вы все верно поняли
Кроме, одного! ICQ,браузер, ftp клиент, могут в служебных заголовках также нести информацию о внутрений сети , поэтому нужно внимательно изучить всё чем вы собираетесь пользоваться

Да! и будьте внимательны с Windows она может еще каким нибудь местом выдавать информацию про запущенные сервисы etc , например обратите внимание на так называемые "анонимные" соединения (pipe).
Удачи!

110. serovai, 01.03.2005 16:10
Stas_Dragon
Кроме, одного! ICQ,браузер, ftp клиент, могут в служебных заголовках также нести информацию о внутрений сети
Кхм. Ну, спасибо, успокоили! Иду искать прокси, да такой, чтобы умел эксплорер, фтп, да еще неплохо бы eMule инетовские и DC++ внутрисетевую...

111. Alex A T, 01.03.2005 22:15
Дома имею два компа, один для игр мощный и потому шумный, второй слабый и потому практически не шумит. Раньше «когда деревья были большими, вода была мокрее, и колбаса стоила 2 руб. 20 коп.» я сидел в сети на модеме и когда все спали в сети использовался тихий комп для закачки больших файлов. Вот уже год как провели выделенку, провайдер хороший во всём, кроме того что у него нет безлимитных тарифов.
Сейчас тариф 20$ абонентская плата включает 500мб трафика превышение по 0,04 за мег. Скорость отличная никогда не проседала ниже 2 мбит\сек.
И вот объявился конкурент, новый пров.
Предлагает 4 тарифа анлим: 20$ в месяц скорость 192 кбит\сек; 25$ - 320 кбит\сек; 30$ - 640 кбит\сек; 60$ - 1280 кбит\сек.
3 тарифа без ограничения скорости: 10$ в месяц включено 100 мб, превышение по 0,07$; 30$ - 4500 мб – 0,015$; 50$ - 7500 мб – 0,01$.
Сеть используется для онлйн игр (сын и Я), закачка музыки (у жены MD плеер Sony) поиск информации (ВСЕ!!!) поэтому критична и скорость и ОЧЕНЬ желателен безлимитный тариф.
И есть еще одна большая бяка у нового провайдера при подключении по безлимитным тарифам: на одно подключение один комп. Отдельно оговаривается, что, цитата: « Данный сервис предусматривает предоставление клиенту одного IP-адреса из приватных сетей. Запрещается подключение по данным тарифам более чем одного компьютера, в том числе и с использованием прокси и NAT серверов.»
И еще, опять цитата: «При работе с ресурсами, находящимися вне сегмента домашних сетей «****», действуют следующие ограничения: количество одновременно устанавливаемых TCP-сессий – не более восьми.»
Из всего перечисленного как и говорил возникает два вопроса:
1) Стоит или нет менять провайдера (переход есесно только на анлим)
2) Как можно прокинуть прова и подключить два компа. Один может работать круглосуточно и будет использоваться для закачки.
Хоть я и ламер но могу поставить Linux и наверное если почитаю доки и долго промучаюсь смогу настроить.

112. Stas_Dragon, 02.03.2005 00:12
ИМХО
Прокинуть можно кого угодно
Рискните, только будьте бдительны и внимательны
P.S Попробуйте сменить, ведь Вы наверно откатиться к старому провайдеру сможете всегда

113. AckCmd, 02.03.2005 00:22
Alex A T
Для начала читаем здесь: http://www.opennet.ru/base/net/nat_detect.txt.html
Далее, если есть желание злостно нарушить условия договора и быть отключенным, применяем прочитанное на практике. Если хочется совершить нарушение с применением спецсредств aka Linux - вот Вам ключ:
iptables -t mangle -A PREROUTING -i $LAN -j TTL --ttl-set 64
iptables -t mangle -A PREROUTING -i $WAN -j TTL --ttl-set 64

114. BotFighter, 02.03.2005 05:19
Друзья, к чему весь этот шум? (c) Обычно исходящие порты, открываемые со шлюза NAT, лежат где-то в диапазоне 46000-65000, тогда как с обычного клиента или прокси - в стандартном 1024-5000. Так нужно ли вообще мудрствовать лукаво, чтобы распознать истину со стороны провайдера, по определению имеющего права полного доступа на свои собственные шлюзы? За что мы тут копья ломаем?

115. Alex A T, 02.03.2005 09:39
А если два компа на которых MAC сетевух одинаковый и просто тупо перетыкать кабель?

116. Stas_Dragon, 02.03.2005 22:42
MaxUserPort
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Data type Range Default value
REG_DWORD 5000 - 65534 port number 5000

Description
Determines the highest port number TCP is permitted to assign when an application requests an available user port from the system. Typically, ephemeral ports (those used briefly) are allocated to port numbers 1024 through 5000.

Вот еще здесь что-то есть
http://support.microsoft.com/default.aspx?scid=kb;en-us;812873

117. Alex A T, 03.03.2005 20:10
Stas_Dragon
Простите ламера. А по русски?

118. Stas_Dragon, 03.03.2005 20:16
Alex A T
Моя дописка была адресована BotFighter

119. BotFighter, 05.03.2005 01:43
Stas_Dragon
Да, такая уловка может и сбить с толку провайдера, но, если её применить даже без NAT, потом доказывай тому же прову, что не верблюд. Ибо однозначно регламентирующие ситуацию (как и многие другие ситуации в IT) документы, к сожалению, не известны общественности. Придётся в суд тащиться..

120. Yss, 05.03.2005 02:01
Alex A T
Можеш просто перетыкивать - нет проблем....

121. sancoder, 05.03.2005 11:56
Alex A T
А имя этого провайдера можно узнать?

122. Alex A T, 05.03.2005 14:11
Yss
Тоесть, я так понимаю, что с точки зрения прова два компа с одинаковыми MAC адресами сетевух ни чем не отличаются?

sancoder
А зачем?

123. John Smirnov, 07.03.2005 15:53
Stas_Dragon
Стас, статья хорошая, но вот насчет первого пункта...
Допустим, кто-то извне прописал в качестве шлюза мой шлюз с NAT'ом, за которым есть приватная сетка. Допустим, файерволл на этом шлюзе не сбрасывает входящие ICMP-пакеты. И что? Откуда этот кто-то узнает, какие адреса я раздал в приватной сети? Может, я вообще из реальных диапазонов адреса раздал? Он ведь задолбается так приватные компы искать...
Тогда в чем смысл такого поиска?

124. Stas_Dragon, 07.03.2005 16:15
John Smirnov
Вы верно подметили, он должен задолбаться... , но вероятность остается вероятностью , Однако описаную фичу можно использовать совместно с другими методами ICQ/E.T.C.
Например "чекист" заметил, что в полях ICQ идет какойто левый IP-шник тогда у "чекиста" есть возможность простым способом проверить работает ли на машине с которой пришел ICQ пакет шлюз и тем самым быть уверенным на 100% в "подставе".
P.S Тот пример, который вы отметели был больше предназначен для того, чтоб показать ошибочное мнение по поводу безопасности при использование NAT.
P.S.S Спасибо Вам за высказывание

125. John Smirnov, 07.03.2005 16:50
Stas_Dragon
Ок, тогда еще одно. Данный метод проверки будет работать, только если "чекист" сидит в той же подсети, что и внешний интерфейс моего шлюза? А если он дальше, и между ним и мной есть как минимум еще один шлюз, к настройкам которого он не имеет доступа? Сдается мне, тогда его любопытство останется неудовлетворенным.

126. Stas_Dragon, 07.03.2005 22:20
John Smirnov
отвечу на ваш вопрос вот так

tracert [-d] [-h максЧисло] [-j списокУзлов] [-w интервал] имя
Параметры:
-d Без разрешения в имена узлов.
-h максЧисло Максимальное число прыжков при поиске узла.
-j списокУзлов Свободный выбор маршрута по списку узлов.
-w интервал Интервал ожидания каждого ответа в миллисекундах.

Добавление от 07.03.2005 22:25:

Еще раз про порты!
Вот где можно настроить для ICS:

IP NAT Registry Settings
The following table shows the named values for the
HKEY_LOCAL_MACHINE\Comm\IPNAT registry key that you can use to configure IPNAT.


Value : type Description
ReservedPortsEnd : REG_DWORD Default setting is 0x0BB8 (3000).
Specifies the end of the reserved range of TCP of UDP ports used by NAT in port translation. The valid range for this value is 0 to 0xFFFF, and must be greater than or equal to the value of the ReservedPortsStart subkey.

This registry value is interpreted as a hexadecimal number. NAT reads port numbers and converts the port numbers to host byte order, instead of using network byte order. Host byte order means that the bytes are stored with the same byte ordering that the host uses. Network byte order means that the bytes are stored in big-endian order. Windows CE–based computers are currently all little-endian, so host byte order stores the bytes in reverse order. For example, you would specify the bytes for port 42045 (0xA43D) in the order A4, 3D when using network byte order, and in the order 3D, A4 when using host byte order. You can change a value from network byte order to host byte order by calling the ntohs function, and you can change a value from host byte order to network byte order by calling the htons function.

ReservedPortsStart : REG_DWORD Default setting is 0x0401 (1025).
Specifies the start of the reserved range of TCP of UDP ports used by NAT in port translation. The valid range for this value is 0 to 0xFFFF, and must be less than or equal to the value of the ReservedPortsEnd subkey.

This registry value is interpreted as a hexadecimal number. NAT reads port numbers and converts the port numbers to host byte order, instead of using network byte order. Host byte order means that the bytes are stored with the same byte ordering that the host uses. Network byte order means that the bytes are stored in big-endian order. Windows CE–based computers are currently all little-endian, so host byte order stores the bytes in reverse order. For example, you would specify the bytes for port 42045 (0xA43D) in the order A4, 3D when using network byte order, and in the order 3D, A4 when using host byte order. You can change a value from network byte order to host byte order by calling the ntohs function, and you can change a value from host byte order to network byte order by calling the htons function.

Источник http://msdn.microsoft.com/library/default.asp?url=/l…istrysettings.asp

127. John Smirnov, 08.03.2005 11:30
Stas_Dragon
Любопытно, ни разу не пробовал. Пример такой трассировки не приведешь?

128. Stas_Dragon, 09.03.2005 11:48
John Smirnov
Я тоже не пробывал , а на данный момент в моей тестовой лаборатории нет нужного количества маршрутиризаторов , поэтому протестировать не могу , но как появиться результаты "запостю" в этот "топик"

129. BotFighter, 09.03.2005 12:12
Я, конечно, всё понимаю, но насколько же должен быть дыряво настроен NAT, чтобы натить в обе стороны?

130. Stas_Dragon, 09.03.2005 13:14
BotFighter
Я, конечно, всё понимаю, но насколько же должен быть дыряво настроен NAT, чтобы натить в обе стороны?
Я не очень понял.. поясните Плиз

131. AckCmd, 09.03.2005 13:22
Stas_Dragon
Можно я поясню?
Если маршрутизатор разрешает доступ снаружи в локалку, то админ должен быть уволен по несоответствию занимаемой должности.

132. BotFighter, 09.03.2005 13:31
Stas_Dragon
Я не очень понял.. поясните Плиз
Чтобы, установив себе в качестве шлюза внешний IP чужого шлюза с надеждой на то, что он в результате пустит во внутреннюю подсеть, нужно так умудриться настроить NAT, чтобы он NATил в обе стороны, т.е. и из
192.168.*.0/24 в 0.0.0.0/0,
так и обратно из
0.0.0.0/0 в 192.168.*.0/24.
Один деятель с моего провайдера пытался сделать что-то подобное - скан с перебором внутренних адресов. После того, как была отправлена жалоба в RIPE с приложенными логами, у провайдера больше нет внешних IP. Да и не провайдер он больше Мой случай был не первым подобным нарушением условий контракта с его стороны. Так что для провайдера это тоже чревато..

133. John Smirnov, 09.03.2005 18:20
BotFighter
Подмена понятий. NAT не занимается пропуском/отклонением сетевых пакетов. Он всего лишь меняет заголовки части из них. То, о чем ты говоришь, выполняет маршрутизатор в связке с сетевым экраном. И именно они должны быть настроены так, чтобы не пускать снаружи вовнутрь.

134. BotFighter, 10.03.2005 05:31
John Smirnov
Он всего лишь меняет заголовки части из них
Вот именно - заголовок Source для пакетов, идущих с внутреннего интерфейса на внешний. Если и обратно тоже (вместо Request Timeout или Network Unreachable), то, наверное, AckCmd прав.
То, о чем ты говоришь, выполняет маршрутизатор
Ну если уж придерживаться определений, то при роутинге-то (не NATе) и возможна вышеописанная картина.

135. Spiritus Jr, 10.03.2005 08:12
All

А про это (http://www.securitylab.ru/53121.html) кто-нить слышал?
Я, честно говоря, мало что понял, но вроде в тему .

136. BotFighter, 10.03.2005 08:37
Spiritus Jr
Интересная метода. Однако как они собираются определять эти микрорасфазировки импульсов сетевого устройства, находящегося хотя бы за одним коммутатором или роутером, т.е. активным сетевым устройством, транслирующим пакеты уже со своими расфазировками? Не говоря уже о том, что количество узлов может быть огромным.. Слушать все микроимпульсы? Сдаётся мне, всё же легче будет читать содержимое HDD компьютера на расстоянии с помощью электромагнитных волн, излучаемых им при работе

Думаю, на сегодняшний день существует лишь один довольно неприятный практически применяемый метод - пакеты на IP абонентского устройства, затем сличение TTL "тестовых" пакетов с теми, что исходят с этого IP во внешний мир.

137. Anton Obidin, 10.03.2005 09:57
BotFighter
цитата:
пакеты на IP абонентского устройства, затем сличение TTL "тестовых" пакетов с теми, что исходят с этого IP во внешний мир
Возможно, я неправильно понял суть данного метода, но (IMHO), если NAT-машинка не трогает TTL (либо жёстко переписывает его в некоторое "нормальное" значение), то метод не сработает.

138. AckCmd, 10.03.2005 10:21
BotFighter
Anton Obidin
Нет, суть не в этом. Анализируются TCP-пакеты на предмет Timestamp, и выявляется "скорость течения времени" на конкретном узле. TTL там не при чем.
Вроде бы так...

139. John Smirnov, 10.03.2005 16:53
BotFighter
Если и обратно тоже
Обратно это как? Заменять в пакете извне реальный адрес отправителя на внутренний адрес шлюза? Ну ладно, допустим админ настолько обкурился, что выставил такое правило. Стоит ли говорить, что при таком раскладе никакого доступа в локалку снаружи не будет? Куда ответы-то пойдут?
А network unreacheable и прочее должны выдавать экраны, нат-то тут при чем?
Кстати, в любимом мной и тобой винруте эта фича что, не работает? Почему при установке на пинги извне действия Drop и Deny нет никакой разницы в ответах?
при роутинге-то (не NATе) и возможна вышеописанная картина.
А я что говорю? Нат не отвечает за пропуск/отклонение пакетов в локалку шлюза. Он может только испортить в таких пакетах адреса, что косвенно защитит сеть от вторжения снаружи. Если шлюз пропускает интернет внутрь - криво настроен экран, а не NAT.

Добавление от 10.03.2005 17:30:

AckCmd
скорость течения времени
Этот параметр настолько уникален?
И все же интересно, как они будут выявлять пакеты от отдельных узлов, идущие от роутера с натом, например? Там же просто поток от самых разных машин, а для их методы вроде необходима последовательность пакетов с одной и той же машины. Как среди общего хлама можно выделить несколько пакетов одной машины?

Да, и через прокси они тоже смогут "отпечаток пальца" определить?

140. AckCmd, 10.03.2005 17:36
John Smirnov
Ну, во-первых, не просто поток. TCP тем и отличается, что у него есть понятие сессии. И идентифицировать сессию достаточно просто, если слушать всё.

Этот параметр настолько уникален?
Это не ко мне вообще-то. Если верить означенным товарищам - да, на разных узлах он индивидуален.

141. BotFighter, 10.03.2005 18:31
John Smirnov
А network unreacheable и прочее должны выдавать экраны, нат-то тут при чем?
Ну почему же так категорично? Просто удалив на вышестоящем по отношению к корпоративному шлюзу узле пункт таблицы маршрутизации в некую подсеть (допустим, в 81.176.67.64/28 ), ничего не закрывая экраном, получаем в ответ на ping 81.176.67.64 Network Unreachable. А если закроем, то неизменно будет Request timeout, независимо от (данной строки) таблицы маршрутизации.
Кстати, в любимом мной и тобой винруте эта фича что, не работает? Почему при установке на пинги извне действия Drop и Deny нет никакой разницы в ответах?
А какой она должна быть? Для ICMP Ping-то? Положительного ответа (а RST, в отличие от TCP, там нет) даже при Deny не будет Соответственно - Request timeout в любом случае.
А я что говорю? Нат не отвечает за пропуск/отклонение пакетов в локалку шлюза
Т.е. в локалку через шлюз? Мы о NAT или о Routing?
Он может только испортить в таких пакетах адреса, что косвенно защитит сеть от вторжения снаружи. Если шлюз пропускает интернет внутрь - криво настроен экран, а не NAT.
Ok, берём, к примеру, WinRoute 4.x. - в нём NAT и Packet Filter разнесены не только функционально, но и по интерфейсу управления, т.е. включаются-отключаются-конфигурируются отдельно. Оставляем Packet Filter чистым (т.е. в интерпретации WR 4.x. - всё разрешено). Устанавляваем NAT на внешний интерфейс - изнутри работаем нормально, можно всё. Снаружи - LAN недоступна. Но если установим NAT на внутренний интерфейс - совершенно верно, легко попадём внутрь локалки. Чем это объяснить? Разве что тем, что в механизме NAT по определению встроен Packet Filter? Да не совсем. Чтобы пропустить даже ответное активное соединение той же сессии FTP, нужно изобретать целые алгоритмы:
http://www.faqs.org/rfcs/rfc2663.html
http://www.faqs.org/rfcs/rfc1631.html

цитата (RFC):
For packets outbound from the private network, the source IP address and related fields such as IP, TCP, UDP and ICMP header checksums are translated. For inbound packets, the destination IP address and the checksums as listed above are translated.

Т.е. именно, "портит" адреса - для того, чтобы сделать Destination NAT, надо запомнить Destination IP. Которых в приватной подсети может быть мама не горюй. Запоминается лишь тот, что отправил пакет на внешний хост - для того, чтобы передать ответ и (=обеспечить установление сессии для TCP).
Если же админ умудрился устроить Bi-Directional NAT (там, где это специально не нужно) - это уже не админ..
AckCmd
Если верить означенным товарищам - да, на разных узлах он индивидуален
Но маршрутизатор - это тоже сетевое устройство.. Слушать всех - и последовательных в цепочке маршрутизации, и параллельно соединённых в каждой подсети, вылавлявая оттуда какие-то конкретные "голоса"? М-да..

142. Trogvar Dim, 21.03.2005 10:03
И все же что-то есть еще! Вроде все изучил но увы...
У меня в договоре провайдера четко указано - запрещено на клиенте ставить прокси и НАТ.
Почитав все вышесказанное, я поставил KerioWinRouteFirewall, и включил только прокси (без НАТ) и DNS Forwarder... естественно настроил Firewall и полез в инет с этого же компа (только с этого - с одного!)... и через 15 минут был заблокирован!!! и очередной раз осознал свое несовершенство

143. pr0vider, 21.03.2005 15:02
2Автор ветки. У циски есть свитчи с встроенной функцией Port Security. Может быть у вас в этом дело.

144. Yss, 22.03.2005 02:42
Trogvar Dim
А ты попробуй без всяких прог просто расшарь виндой
доступ в нэт с двумя сетевухами, только правильно всё сделай

145. Trogvar Dim, 22.03.2005 09:04
Yss
ИМХО это самый дырявый способ, а попытками в лоб перепробовать все методы я добъюсь скорее своего отключения...

146. BotFighter, 22.03.2005 13:30
Trogvar Dim
Почитав все вышесказанное, я поставил KerioWinRouteFirewall, и включил только прокси (без НАТ) и DNS Forwarder... естественно настроил Firewall и полез в инет с этого же компа (только с этого - с одного!)... и через 15 минут был заблокирован!!! и очередной раз осознал свое несовершенство
А наружу прокси не светился?

147. Trogvar Dim, 22.03.2005 14:02
BotFighter
вроде нет. Воткнул вместо инета ноутбук и запустил XSpider, тот вообще нифига не увидел - все закрыто. Отключаю винроут - спайдер видит тока стандартный 139 порт.
Может я DNS Forwarder зря включил...

148. Spekrt, 23.03.2005 08:06
Можно попробовать такой вариант.
Если компьютеров в сети мало (в домашней обычно пара), то разрешаем удаленное подключение к основному компу с инетом, через Удаленный рабочий стол (подразумеваеться winXP). И потом конектимся к нему клиентом. Клиент открывает новую сесию, и вы работаете в инете на обоих компах не мешая друг другу.
Если компов много, то win2003+сервер терминалов.
Так же можно использовать софт сторонних производителей.

149. BotFighter, 23.03.2005 18:42
Trogvar Dim
Может я DNS Forwarder зря включил...
Если торчал наружу он, то, пожалуй, зря..

150. AntiVirus, 25.03.2005 16:06
pr0vider
PortSecurity на коммутаторах Cisco позволяет заблокировать порт в том случае, если на нем появится фреймы, отправленные больше чем с одного MAC-адреса, или появятся фреймы с не тех MAC-адресов, которые были предварительно заданы администратором. В случае ната, прокси или маршрутизации исходящий MAC-адрес у всех фреймов, попадающих на порт со стороны пользователя, всегда будет один и тот же - мак адрес сетевой карточки, которой компьютер пользователя присоединяется к провайдеру.

151. Stas_Dragon, 26.03.2005 18:12
Trogvar Dim
На пример SQUID по умолчанию передает IP адрес клиента может вы в этом накололись ?

152. GetinakS, 26.03.2005 18:14
fearan
Комкор вам в подарок.

153. Trogvar Dim, 28.03.2005 09:34
Stas_Dragon
есть такая штука http://www.leader.ru/secure/who.html
насколько я понимаю, там вся инфа, которую можно получить из моего HTTP пакета
в моем случае никаких упоминаний о моем IP или наличии прокси там нет.
к тому же повторюсь, что меня заблокировали, даже когда я еще не успел второй комп включить...
наследующей недельке сделаю очередную попытку без DNS Forwarder, посмотрим...

154. ПИТ, 29.03.2005 21:50
я в шоке...вы все еще не можете поменять провайдера? или вам уже просто интересно? новая т
.ru к примеру и анлим и роутер отдельный брать не надо.. и ваще все прелести жизни.. даже фтп можно поднять

155. Trogvar Dim, 31.03.2005 13:52

ПИТ ха... мы простых путей не ищем - важна самоцель, тяга к познанию, понимаешь...

156. Spekrt, 01.04.2005 15:19
Разрулите RemutDesktop и не партесь

157. Alexander N., 12.04.2005 14:08
Так все же, каким образом лучше организовать сетку в квартире с Комкором? Есть тут реальные пользователи Комкора?

158. Покупатель, 01.06.2005 03:44
могу сделать вам сколько угодно компов внутри Комкора

159. Радимир, 02.09.2005 10:55
Господа!(Товарищи!) Лениво читать все посты, потому надо бы подвести итоги.
Я полагаю, что NAT просто "убивается" установкой ttl в 1 (для входящих пакетов), а вовсе не определяется провайдером .
А прокси определяется элементарно, т.к. прокси сам сдает с потрохами в поле HTTP_X_FORWARDES_FOR, где он указывает истиный ай-пи.
Вот поэтому-то за проксю сразу наказывают, а НАТ просто не работает(я, по крайней мере, не увидел примеров блокировки пользователя за пользование натом).
Если у глубокоуважаемых гуру будут возражения, то я категорически требую ( чутка! ) их выложить, дабы не вводить общественность в заблуждение!

160. AckCmd, 02.09.2005 11:02
прокси сам сдает с потрохами в поле HTTP_X_FORWARDES_FOR
Это поле и убрать можно... В сквиде по крайней мере...

Я полагаю, что NAT просто "убивается" установкой ttl в 1
Неправомерно по большому счету. Никто не может мне запретить поставить перед ОДНИМ своим компом (т.е. не нарушая договор) железный файрвол. Ну боюсь я кулхацкеров.

161. Радимир, 02.09.2005 11:12
AckCmd
Это поле и убрать можно... В сквиде по крайней мере...
А кто спорит? Уберете - провайдер и не дернется. НАТ тоже можно "хитромудрый написать", чтобы тетеэлы подправлял, правда? Но в общем-то случае "стукачек" именно здесь. Или я не прав?


Неправомерно по большому счету. Никто не может мне запретить поставить перед ОДНИМ своим компом (т.е. не нарушая договор) железный файрвол. Ну боюсь я кулхацкеров.
А это вы провайдеры скажите! А что есть убедительный пример, который доказывает, что НАТ не работает, а через железный файервол все проходит?

162. Радимир, 05.09.2005 09:43
Кстати, если есть "согласные со мной" (см. на 2 поста выше), то тоже не плохо бы высказаться и, т.о., расставить все точки над "и" - ИМХО народ переливает из пустого в порожнее, а конкретного ответа так и нет.

163. AckCmd, 05.09.2005 10:01
Радимир
Я бы высказался так:
Некоторые методы детектирования NAT имеются, но ни один из них не является 100% надежным
На мой взгляд, анализ ТТЛ дает более-менее близкий к истине результат (в том числе можно упомянуть, что default TTL в разных ОС может различаться, одновременное хождение пакетов с разным TTL в принципе довольно явно говорит о наличии нескольких компов), однако все это можно скрыть.

164. romst, 05.09.2005 11:23
Любой ттл на win xp, server 2003(32,64-bit):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ and EDIT or ADD the DWORD DefaultTTL and set it to 64 on all systems.

165. Радимир, 05.09.2005 11:54
AckCmd
А как будут отличаться ttl пакетов 2-х компьютеров сидящих за одним NAT (как у автора темы) ? ИМХО можно поставить какой-то высокоинтелектуальный анализатор, который будет выявлять внезапные изменения тетеэов (был комп напрямую соединен, посадили нат - тетеэл вдруг уменьшился, или нат програмный, второй комп через 1-ый входит - тогда идут пакеты с разным ttl-ом). Ну, допустим, засек этот НАТ вероятность второго подключения, и что? Сразу отключать пользователя? А если это ошибка? ИМХО - сложно и не умно.
Другое дело - поставить возвращаемым пакетам ttl=1 - дешево и сердито. А клиентам навешать еще лапши про супер-пупер умную систему. Кто-то поверит и плюнет. Кто-то поленится выяснять. А кто-то будет черезчур усложнять и результата не получит. Вот они (клиенты) потом и сидят ломают копья вокруг неумирающей темы.

А что мы спорим? Почему бы просто не посмотреть сниферочком на входящие пакеты? У кого еще такой умный провайдер, откликнитесь? Народ жаждет истины! А то мы попусту болтаем...

166. AckCmd, 05.09.2005 12:15
Радимир
Да по большому счету, нет необходимости ставить TTL=1. Можно просто дропать исходящие (от клиента) с нечетным TTL. И усё. Если уж на то пошло.

167. Ivan_Pisarevsky, 06.09.2005 10:37
Радимир
AckCmd
Развели право болтовню про ТТЛ-ы, обратитесь-ка к доке по iptables, а то аж смешно стало, вроде не джуниоры...

http://iptables-tutorial.frozentux.net/
или русский перевод
http://www.linuxshare.ru/docs/security/iptables/iptables-tutorial.html
и особенно вдумчиво вот это
http://www.linuxshare.ru/docs/security/iptables/ipta…al.html#TTLTARGET

168. AckCmd, 06.09.2005 10:39
Ivan_Pisarevsky
эээ... А можно чуть подробнее суть претензии?
Эту штуку я читал неоднократно. Правда давненько уже

169. Радимир, 06.09.2005 10:47
Ivan_Pisarevsky
Действительно, нельзя ли по существу! Вы начало-то темы читали? Причем тут айпитэйблес?
ЗЫ Хорошо смеется тот, кто смется последний.

170. Ivan_Pisarevsky, 06.09.2005 10:48
AckCmd
Да не претензия, просто обсуждать полстраницы хитрость, которая леХко и непринужденно рубится парой правил иптаблеса...

Эту штуку я читал неоднократно.
тогда только третью ссылку

Добавление от 06.09.2005 10:49:

Радимир
читал заголовок и поледнюю станицу...

171. AckCmd, 06.09.2005 10:51
Ivan_Pisarevsky
Как провайдер домашней сети определяет наличие NAT? И как с этим бороться?, #113 (http://forum.ixbt.com/topic.cgi?id=14:34550:113#113)

172. Ivan_Pisarevsky, 06.09.2005 10:56
НУ, блин, так нечесно, спрятать ответ аж на четвертой странице, а на шестой сделать вид что он неизвестен

173. Радимир, 06.09.2005 11:17
AckCmd
Очень нехорошо получается! Я же предлагал подвести итоги, дабы не перечитывать всю тему. Автор темы давно разобрался (сам виноват, а вовсе не заумный провайдер), да некий Грей (кажется так...) дал пространное теоретическое обоснование. Зачем тогда, зная ответ, тут еще болтовню разводить?
Давно надо подвести итоги и закрыть тему, чтобы избавиться от никому не нужного флуда. А желающие могут открыть новую тему.

Добавление от 06.09.2005 11:19:

Господа модераторы! Тук-тук-тук!

174. AckCmd, 06.09.2005 11:21
Радимир
Не понял?
Я же честно высказался, что надежных методов нет, хотя некоторыми методами можно попробовать отследить.

175. Радимир, 06.09.2005 11:33
AckCmd
Я из 4-ой страницы понял, что не работал НАТ только потому, что автор темы оставил одинаковые МАК-адреса на компьютере и маршрутизаторе, от чего маршрутизация и не работала. Таким образом провайдер "НИКАКИМ ОБРАЗОМ НЕ ОПРЕДЕЛЯЕТ". А раз так, то и тему надо закрыть.
А если есть желание обсудить способы как все же можно отследить (мне, кстати, тоже интересно) НАТ, то надо завести отдельную тему.

176. split, 06.09.2005 11:38
то надо завести отдельную тему.
Чем Вас эта не устраивает? Не надо плодить несколько тем для обсуждения одного вопроса.

177. Радимир, 06.09.2005 11:50
split
Меня тема не устраивает тем, что вопрос поставленный изначально давно решен (аж на 3-ей странице). После этого появилось еще 3 страницы пустых разговоров. В итоге заинтерисованный человек не может найти ответ. Если людям интересно обсудить теоретически саму возможность анализа наличия НАТ, то и тему надо завести что-то вроде "Методы выявления (борьбы и т.п.) с маршрутизаторов НАТ".

178. split, 06.09.2005 12:01
Радимир
вопрос поставленный изначально - это как раз методы детектирования NAT. И рассматривался изначально он. А то что автор вдруг понял что сам накосячил - ну, с кем не бывает - главное что он это понял. После этого сюда подклеивался еще один аналогичный вопрос, плюс несколько других людей здесь же задавали подобные вопросы. Поэтому не вижу причин, по которым следует заводить еще одну тему. На этом предлагаю закончить спор о необходимости новой темы.

179. informix, 08.11.2005 15:29
Нашел интересную ссылку по теме: http://www.topsight.net/article.php/2003042408350170
Интересно как можно настроить iptables или OpenBSD pf, чтобы противодействовать обнаружению по последней схеме.
Нашел вот в факе по pf (http://www.openbsd.org/faq/pf/scrub.html):
Scrub has the following options:

no-df
Clears the don't fragment bit from the IP packet header. Some operating systems are known to generate fragmented packets with the don't fragment bit set. This is particularly true with NFS. Scrub will drop such packets unless the no-df option is specified. Because some operating systems generate don't fragment packets with a zero IP identification header field, using no-df in conjunction with random-id is recommended.
random-id
Replaces the IP identification field of outgoing packets with random values to compensate for operating systems that use predictable values. This option only applies to outgoing packets that are not fragmented after the optional packet reassembly.
Насколько я понял это то, что нужно.

180. A.B.K., 09.11.2005 15:56
Как решить проблему TTL=1 на *NIX системах понятно.

А в Windows семействе она решаема?

181. A.B.K., 22.11.2005 17:13
цитата:
sancoder:
[Добавлено]
Для тех, кто читает первую и последнюю страницы: проблема решена, более того уже неактуальна.
Для Вас возможно. А меня это интересует. Правда, скорее в познавательных целях, нежели в практических.

182. avmishin, 10.12.2005 18:31
цитата:
A.B.K.:
Как решить проблему TTL=1 на *NIX системах понятно.
А в Windows семействе она решаема?
это решение
Как провайдер домашней сети определяет наличие NAT? И как с этим бороться?, #164 (http://forum.ixbt.com/topic.cgi?id=14:34550:164#164)
мои 50 центов
провайдер с которого все началось TC -exe (уже говорилось выше)
использует в довесок вот это http://www.freesoft.ru/pageview.html?id=667533&dl=0
и скорей всего ttl = 1
лечится роутером asus wl-500g в котором пожно настроить TTL

183. Ol123, 12.12.2005 17:35
Alex A T
А если два компа на которых MAC сетевух одинаковый и просто тупо перетыкать кабель?

можно даже не перетыкать, а одновременно - будет нормально работать. А если операционки одинаковые, то провайдер ничего не почувствует.

можно еще через socks-сервер ходить.

184. the orthodox, 08.02.2006 22:59
Честно говоря, ветка болтологов. Расскажу как я "починил" эту проблему. Изменил TTL на второй машине на 129. Всё.

Никто, случаем, не знает, где у покетов на WM2003 ветка в реестре с ттл?

185. romst, 09.02.2006 00:38
Как провайдер домашней сети определяет наличие NAT? И как с этим бороться?, #164 (http://forum.ixbt.com/topic.cgi?id=14:34550:164#164)

186. the orthodox, 09.02.2006 06:30
the orthodox

Никто, случаем, не знает, где у покетов на WM2003 ветка в реестре с ттл?

HKLM\Comm\TcpIp\Parms. Добавить Dword {DefaultTTL}, присвоить значение 129 (десятичное - DEC). В настройках ДНС - провайдерские днс.
Вот так, сам спросил, сам ответил.

187. A.B.K., 09.02.2006 12:17
цитата:
the orthodox:
Честно говоря, ветка болтологов. Расскажу как я "починил" эту проблему. Изменил TTL на второй машине на 129. Всё.
the orthodox, мы просто по-разному видим проблему:

Вас интересует частный случай (кстати, предложенное Вами решение давно известно, что, впрочем, уже отмечено romst'ом ( Как провайдер домашней сети определяет наличие NAT? И как с этим бороться?, #185 (http://forum.ixbt.com/topic.cgi?id=14:34550:185#185) ).

Меня же интересует, можно ли на Windows системах реализовать то, что в *NIX ситемах известно как "stealth forwarding" или "stealth routing" (маршрутизация БЕЗ изменения TTL пакета, проходящего через маршрутизатор).

Возможная альтернатива - "железное" решение класса SOHO (один вариант - с ASUS wl-500g - уже предложен, вроде бы и некоторые D-Link'и на такое способны).

PS. Кстати, the orthodox, предложенное Вами решение НЕ снимает проблему TTL=1!

188. the orthodox, 09.02.2006 19:54
A.B.K.
Кстати, the orthodox, предложенное Вами решение НЕ снимает проблему TTL=1!

Да? У меня сняло, однако. Причем уже не на одном, а на 2

189. A.B.K., 09.02.2006 22:48
цитата:
the orthodox:
A.B.K.
Кстати, the orthodox, предложенное Вами решение НЕ снимает проблему TTL=1!

Да? У меня сняло, однако. Причем уже не на одном, а на 2
Да?

И что Вы будете делать, если TTL приходящих от провайдера пакетов будет = 1?

190. the orthodox, 10.02.2006 00:33
A.B.K.

И что Вы будете делать, если TTL приходящих от провайдера пакетов будет = 1?

РУтер куплю.

191. A.B.K., 10.02.2006 10:59
цитата:
the orthodox:
A.B.K.

И что Вы будете делать, если TTL приходящих от провайдера пакетов будет = 1?

РУтер куплю.
Вот и я о том же.

А всё же интересно, как под Windows сделать "stealth forwarding/routing"?

192. Yss, 10.02.2006 20:27
Вот смотрю машины в сети на 2к и Хр у кого две сетевые с шарингом
у всех TTL 128 а на D-Link'ах 127

193. WB, 10.02.2006 20:41
Yss
изнутри или снаружи?

194. Yss, 10.02.2006 22:07
В сети до рутера у всех реальные ипи, смотрю те компы
которые имеют шаринг

195. Ter_n, 18.02.2006 00:23
цитата:
Любой ттл на win xp, server 2003(32,64-bit):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ and EDIT or ADD the DWORD DefaultTTL and set it to 64 on all systems.
Пробывал с этим ключами прописывал 129 и 65 все равно не помагло при пинге яндекса все равно выдает ттл 127 тогда как на шлюзе ттл 128

Что может быть? помогите как настроить, а то инет не пашет не в какую,пинги идут,днс ресолвится, а инета нет.

196. the orthodox, 18.02.2006 05:37

Ter_n
пинги идут,днс ресолвится, а инета нет
уверен, что днс резолвит?

197. Ewgeniy, 18.02.2006 12:04
прочитал все, от начала и до конца, вопрос похожий, но с особенностями

ISP ---- DSLmodem ------ Wifi routеr ----- switch ------ comps in office
.........................................|
..................................comps in office

вот такая схема

все работает, на каждом компе есть инет
IP присваивает роутер
он шлюз в инет и прочее

так вот, любой комп в любое время выходит свободно в инет, аська мессенджер и прочие работают

но. есть одно но
провайдер предлагает бесплатные ресурсы на своем сайте, а вот зайти и выкачать их не представляется возможным

хотя если взять и воткнуть DSLmodem сразу в комп и подключится
все ок, качай бесплатно сколько угодно

как можно не обращаясь к провайдеру решуить эту проблему
чтобы со всех компов был выход на внутренний ресурс провайдера

198. WB, 18.02.2006 12:15
Ewgeniy

прописать маршруты, в сеть прова.

199. Ter_n, 20.02.2006 00:39
2the orthodox
Да, пускаю пинг любого домена (yandex.ru,mail.ru и.т.д)
появляется P этого домена.

Страницы: назад · 1 2 3 4 · далее / все сообщения темы на одной странице


URL: http://forum.ixbt.com/topic.cgi?id=14:34550

Время GMT +03. Даты в формате dd.mm.yyyy.