The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Через NAT виден мой внутренный локальный IP адрес!"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Разное)
Изначальное сообщение [ Отслеживать ]

"Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от flosisa (ok) on 26-Янв-15, 15:09 
   Привет, я хотел бы узнать, каким образом некоторые сайты(сервисы) определяют мой внутренний локальный IP адрес, даже когда я выхожу в Интернет через NAT(именно NAT, не через Proxy)? Я думал, что NAT подменяет полностью IP адрес источника на указанный IP адрес в заголовке IP пакета. Второе, через Proxy тоже видны не смотря, на то что включены в конфиге опции как:

request_header_access  X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
forwarded_for off
request_header_access From deny all
request_header_access Server deny all
request_header_access User-Agent deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all

   Как настроить NAT или Proxy, чтобы мои локальные IP адреса не были видны снаружи?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от fantom (ok) on 26-Янв-15, 15:16 
>[оверквотинг удален]
> request_header_access Via deny all
> request_header_access Cache-Control deny all
> forwarded_for off
> request_header_access From deny all
> request_header_access Server deny all
> request_header_access User-Agent deny all
> request_header_access WWW-Authenticate deny all
> request_header_access Link deny all
>    Как настроить NAT или Proxy, чтобы мои локальные IP
> адреса не были видны снаружи?

Некоторые сервисы передают IP в теле пакета, куда НАТ не "заглядывает", ибо не его задача.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от Andrey Mitrofanov on 26-Янв-15, 15:45 
> Некоторые сервисы передают IP в теле пакета, куда НАТ не "заглядывает",

..., кроме протоколов, заглядывать в которые его в конце концов научили:

$ find /lib/modules/ -name 'nf_nat*' |sed -nr 's;.+/;;p'|sort -u
nf_nat_amanda.ko
nf_nat_ftp.ko
nf_nat_h323.ko
nf_nat_ipv4.ko
nf_nat_ipv6.ko
nf_nat_irc.ko
nf_nat.ko
nf_nat_pptp.ko
nf_nat_proto_dccp.ko
nf_nat_proto_gre.ko
nf_nat_proto_sctp.ko
nf_nat_proto_udplite.ko
nf_nat_sip.ko
nf_nat_snmp_basic.ko
nf_nat_tftp.ko

http://www.netfilter.org/documentation/HOWTO/netfilter-hacki...

""Protocol helpers for NAT do two things: firstly allow the NAT code to manipulate the data stream to change the address contained within it, and secondly to perform NAT on the related connection when it comes in, based on the original connection.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от flosisa (ok) on 26-Янв-15, 18:24 
> ""Protocol helpers for NAT do two things: firstly allow the NAT code
> to manipulate the data stream to change the address contained within
> it, and secondly to perform NAT on the related connection when
> it comes in, based on the original connection.

   Как я понял из этих слов, что NAT подменяет IP, но и сохраняет IP исходного источника чтобы знать ответный пакет куда обратно транслировать(но в этом предложении не сказано, где хранится адрес источника(в системе или в наружу отправляющем пакете)). Вопрос 1 - где хранится IP истинного источника во время передачи данных с внешним узлом?. Я думал, что адрес исходного источника сохраняется в системе временно, а не в пакете, и тем более по seq(последовательность 1,2,...) и по другим параметрам можно же определить, что пакет ответный(conn state ESTABLISHED или RELATED) и идет от destination'а(адресата), куда отправлен изначально пакет со статусом NEW. Потом когда система(ядро, iptables, ...) получит ответ от dest, его перенаправит, вернет исходному источнику. Зачем хранить в пакете IP адрес источника, если его можно временно хранить в системе, по ИБ это вообще глупо. Плохо когда в Интернете кто-то видит твои локальные IP адреса. Я соглашусь с fantom'ом, что может некоторые программы как браузеры включают IP клиента в инкапсулированный http-пакет, который действует на протоколе 7-ого уровня. NAT как раз таки работает на 3-ом уровне и он не смотрит содержимое 7-ого уровня. Грубо говоря, ему все равно что находится в http-пакете. А Proxy как раз таки фильтрует http-пакет, но все равно когда я работаю через Proxy виден IP с внешных узлов. Вопрос 2 - если NAT'ом все ясно, а как отрезать IP источника из http-пакета с помощью опций Proxy?
P.S. Верхные указанные опции работали, а сейчас нет, например https://2ip.com.ua/ видит LAN адреса.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от fantom (ok) on 26-Янв-15, 18:29 
>[оверквотинг удален]
> Я соглашусь с fantom'ом, что может некоторые программы как браузеры включают
> IP клиента в инкапсулированный http-пакет, который действует на протоколе 7-ого уровня.
> NAT как раз таки работает на 3-ом уровне и он не
> смотрит содержимое 7-ого уровня. Грубо говоря, ему все равно что находится
> в http-пакете. А Proxy как раз таки фильтрует http-пакет, но все
> равно когда я работаю через Proxy виден IP с внешных узлов.
> Вопрос 2 - если NAT'ом все ясно, а как отрезать IP
> источника из http-пакета с помощью опций Proxy?
> P.S. Верхные указанные опции работали, а сейчас нет, например https://2ip.com.ua/ видит
> LAN адреса.

нат работает на 3-4-ом уровне и ДЛЯ НЕКОТОРЫХ протоколов анализирует НЕКОТОРЫЕ данные на 7-ом, и http - это уже 6-7 уровень и на НАТ ему плевать с высокой колокольни.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от fantom (ok) on 26-Янв-15, 18:36 
>[оверквотинг удален]
>> смотрит содержимое 7-ого уровня. Грубо говоря, ему все равно что находится
>> в http-пакете. А Proxy как раз таки фильтрует http-пакет, но все
>> равно когда я работаю через Proxy виден IP с внешных узлов.
>> Вопрос 2 - если NAT'ом все ясно, а как отрезать IP
>> источника из http-пакета с помощью опций Proxy?
>> P.S. Верхные указанные опции работали, а сейчас нет, например https://2ip.com.ua/ видит
>> LAN адреса.
> нат работает на 3-4-ом уровне и ДЛЯ НЕКОТОРЫХ протоколов анализирует НЕКОТОРЫЕ данные
> на 7-ом, и http - это уже 6-7 уровень и на
> НАТ ему плевать с высокой колокольни.

Кроме того есть такая "пакость" как ввсякие скрипты, которые могут совершенно спокойно попросить локальный IP, и тут уж наверное никакой фильтрацией заголовков не отфильтруешь.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от Pahanivo (ok) on 27-Янв-15, 17:46 
пусть пользует  тор и не трахает людям мозг бесплатным обучением основам сети

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Через NAT виден мой внутренный локальный IP адрес!"  –2 +/
Сообщение от flosisa (ok) on 28-Янв-15, 13:56 
   Я и без тебя знаю основы сетей, умник!!! Следи за язычком!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от Pahanivo (ok) on 29-Янв-15, 07:56 
слишком сомнительно
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от fantom (ok) on 04-Фев-15, 14:54 
Вот и по теме новость появилась...


http://www.opennet.ru/opennews/art.shtml?num=41606

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Через NAT виден мой внутренный локальный IP адрес!"  +/
Сообщение от flosisa (ok) on 06-Фев-15, 01:24 
> Вот и по теме новость появилась...
> http://www.opennet.ru/opennews/art.shtml?num=41606

Спасибо Вам fantom за хороший и своевременный ответ.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor