[Azamat]

31.148.63.0 - откуда то с Макеевки. Видать мы сильно погрязли в традиционализме, не то что соседи по глобусу :)  Будем расти.

[TheUser]

22 минуты назад, ShyLion сказал:

Если кто-то написал такой софт, то его клиенты _должны_ страдать, чтобы в итоге пошли к другому автору софта, у которого нет таких тараканов. А если подстраиваться под каждого дебила, то это только будет во вред индустрии.

Если уж пишешь сетевой софт, будь добр узнай, для чего нужна маска сети.

В свое время сервер Couter Strike, если не ошибаюсь, отказывался принимать клиентов с нулевыми адресами. Предложение клиентам играть в Quake было воспринято неправильно.

[vurd]

1 час назад, TheUser сказал:

В свое время сервер Couter Strike, если не ошибаюсь, отказывался принимать клиентов с нулевыми адресами. Предложение клиентам играть в Quake было воспринято неправильно.

Как? Переходом к провайдеру с подходом сааба? Ну это правильное решение, вы или сделайте, чтобы сервер работал или дайте "нормальный" адрес. Клиенту плевать на ваши VLSM-ы, ему играть хочется.

[ShyLion]

1 hour ago, TheUser said:

В свое время сервер Couter Strike, если не ошибаюсь, отказывался принимать клиентов с нулевыми адресами. Предложение клиентам играть в Quake было воспринято неправильно.

Нынче 2019 год.

Не только лишь все пишут сетевой код руками. Мало кто пишет :)

Но если вам хочется не выдавать такие адреса, то пожалуйста.

[zhenya`]

Все таки те кто выше писали про всякие антиддос решения и странные решения для фильтрации трафика правы. Хз почему, но они не любят иногда 0 и 255 адрес. Встречается редко, но бывает.

[s.lobanov]

Кстати, а как блокируют подключения с нулевого IP? ну ладно для iptables можно сделать ненепрерывную маску и спокойно дропать iptables -I INPUT -s 0.0.0.0/0.0.0.255 -j DROP, но на большинстве "hw" фаерволах такого нет

 

14 минут назад, vurd сказал:

Как? Переходом к провайдеру с подходом сааба? Ну это правильное решение, вы или сделайте, чтобы сервер работал или дайте "нормальный" адрес. Клиенту плевать на ваши VLSM-ы, ему играть хочется.

ну ок, давайте рассмотрим реальные юз-кейсы:

1. вы даёте абоненту белую динамику, ему не повезло и выдался адрес .0. просто говорите ему - перезагрузите роутер (он ещё и будет думать что у него роутер глючный :) )

2. вы делаете NAT, если у вас и правда есть пострадавшие от нулевого адреса, ну ок, исключаем из NAT-пула

 

какие ещё кейсы?

[alibek]

2 минуты назад, s.lobanov сказал:

Кстати, а как блокируют подключения с нулевого IP?

Нулевой в смысле с нулевым последним октетом? Хост a.b.c.0 (или a.b.c.0/32).

Нулевой в смысле 0.0.0.0? Такой адрес в любом случае инвалидный, его нужно дропать на входе.

[vurd]

9 минут назад, s.lobanov сказал:

Кстати, а как блокируют подключения с нулевого IP? ну ладно для iptables можно сделать ненепрерывную маску и спокойно дропать iptables -I INPUT -s 0.0.0.0/0.0.0.255 -j DROP, но на большинстве "hw" фаерволах такого нет

 

ну ок, давайте рассмотрим реальные юз-кейсы:

1. вы даёте абоненту белую динамику, ему не повезло и выдался адрес .0. просто говорите ему - перезагрузите роутер (он ещё и будет думать что у него роутер глючный :) )

2. вы делаете NAT, если у вас и правда есть пострадавшие от нулевого адреса, ну ок, исключаем из NAT-пула

 

какие ещё кейсы?

Кейс "говорю абоненту не играть в контру, а играть в квейк", прямо как указал автор чью цитату я приводил в посте.

[ShyLion]

2 minutes ago, vurd said:

Кейс "говорю абоненту не играть в контру, а играть в квейк", прямо как указал автор чью цитату я приводил в посте.

Коллега, когда последний раз вы видели _популярное_ приложение с таким багом, который бы не исправлялся в течение разумного срока?

Единственный реальный кейс - тараканы в голове абонента. Ну такому либо ликбез либо сменить адрес, если невменяемый.

[alibek]

У нас адреса выделяются динамически, там и *.0 бывает, и *.255.

Если кто-то хочет другого, то есть выделенный IP за отдельную плату.

Игроки часто выделенный IP берут.

[disappointed]

Ставят на стык с маской длинее 24 привычные /24, вроде всё и работает, кроме адресов между реально смаршрутизированной и 24-ой, включая эти 0 и 255,

вот и проблема. Исключать такие адреса - помогать таким конфигураторам не узнать о своей ошибке.

[alexmern]

Выдаем 0 и 255 абонентам, никаких проблем не замечено.

 

Нынче даже /31 используется для BGP стыков, экономия однако.

[alibek]

Мы /31 не используем. Заманчиво, конечно, но часто вылезают проблемы.

[GrandPr1de]

2 часа назад, alibek сказал:

Нулевой в смысле с нулевым последним октетом? Хост a.b.c.0 (или a.b.c.0/32).

Нулевой в смысле 0.0.0.0? Такой адрес в любом случае инвалидный, его нужно дропать на входе.

0.0.0.0 вполне валидный, но не для глобальной маршрутизации

https://tools.ietf.org/html/rfc6890

[TheUser]

2 часа назад, ShyLion сказал:

Нынче 2019 год.

Не только лишь все пишут сетевой код руками. Мало кто пишет :)

Но если вам хочется не выдавать такие адреса, то пожалуйста.

Те программисты уже доросли до сеньоров, тимлидов и даже архитекторов (которые айвори тауэр), перешли с  ANSI C++ на С++17, с пива на смузи, но ничего кардинально не поменялось.

Ну и менять что-то, настроенное 10 лет назад, ради "высвобождения" 2-ух IP на каждую /24 - сомнительное занятие.

[andryas]

Почему именно /24 ?

[TheUser]

2 часа назад, s.lobanov сказал:

но на большинстве "hw" фаерволах такого нет

Все-таки уровень разработчиков hw файерволов повыше будет. Там, поди, и про CCNA кто-нибудь что-то слышал. Вот и не страдают такой херней, берегут вентилЯ.

 

Только что, andryas сказал:

Почему именно /24 ?

Вы шутите?

Адреса 0 и 255 появляются у клиентов, если пул адресов >=/24 (условие равенства работает только для всяких pppoe/l2tp/pptp). Вот и выносят проблемные адреса либо путем разбивки на /24 (ну, либо ставят запрет в ААА на выдачу "проблемных" адресов).

 

 

 

41 минуту назад, alibek сказал:

Мы /31 не используем. Заманчиво, конечно, но часто вылезают проблемы.

Что за проблемы, если не секрет?

[alibek]

Некоторые устройства не принимают такую маску или ругаются на некорректный адрес. Некоторые принимают, но работают странно или некорректно, например не пингуются.

[Ivan_83]

8 часов назад, GrandPr1de сказал:

0.0.0.0 вполне валидный, но не для глобальной маршрутизации

Не будет работать, потому что это константа INVALID_ADDR. В софте такое точно не проканает, может в ядре пакеты и будут ходить.

 

11 часов назад, s.lobanov сказал:

Кстати, а как блокируют подключения с нулевого IP? ну ладно для iptables можно сделать ненепрерывную маску и спокойно дропать iptables -I INPUT -s 0.0.0.0/0.0.0.255 -j DROP, но на большинстве "hw" фаерволах такого нет

Полагаю относительно легко накидать ACL на такое даже для коммутатора.

 

12 часов назад, ShyLion сказал:

Волею судеб очень часто возле меня собеседуют кандидатов на должность эникея. Еще не один ни разу не сказал для чего нужна маска сети и может ли быть в конце адреса нолик :)

Это не уровень эникея, это админы то не все понимают.

И я долго недопонимал это, примерно знал но почему именно так не понимал.

[s.lobanov]

5 часов назад, Ivan_83 сказал:

Полагаю относительно легко накидать ACL на такое даже для коммутатора.

как именно? свитчи ругаются на маски типа 0.0.0.255

[pppoetest]

DES-3200-26:5#create access_profile ip source_ip 0.0.0.255  profile_id 159
Command: create access_profile ip source_ip_mask 0.0.0.255 profile_id 159

Success.

DES-3200-26:5#config access_profile profile_id 159 add access_id 1 ip source_ip 1.1.1.0  port 1-24 deny
Command: config access_profile profile_id 159 add access_id 1 ip source_ip 1.1.1.0 port 1-24 deny

Success.

DES-3200-26:5#show access_profile profile_id 159
Command: show access_profile profile_id 159

Access Profile Table

================================================================================
Profile ID: 159                        Type: IPv4 Frame Filter
================================================================================
Owner: ACL
Masks  Option
Source IP
---------------
0.0.0.255

--------------------------------------------------------------------------------
Access ID : 1
Ports     : 1-24
Mode      : Deny

Source IP
Mask
---------------
1.1.1.0

 

 

Длинки умеют маски типа 255.255.0.192

[anix]

dig hh.ru +short
94.124.200.0

ретрограды боятся 0/255 )

[alibek]

Кстати, можно еще резать адреса типа 1.1.1.1, 8.8.8.8 и т.д.

А то они какие-то подозрительные.

[Azamat]

у hh.ru
route:          94.124.200.0/24

как они на интерфейс назначили IP адрес ? изнутри получится пинг на 0 адрес сети - по идее все должны откликнуться ?

вот у себя сделал пинг на 0 адрес:
ping 192.168.0.0
PING 192.168.0.0 (192.168.0.0): 56 data bytes
64 bytes from 192.168.1.106: icmp_seq=0 ttl=255 time=0.814 ms
64 bytes from 192.168.0.237: icmp_seq=0 ttl=255 time=0.816 ms (DUP!)
64 bytes from 192.168.1.237: icmp_seq=0 ttl=255 time=0.819 ms (DUP!)
64 bytes from 192.168.0.179: icmp_seq=0 ttl=255 time=0.821 ms (DUP!)
64 bytes from 192.168.0.54: icmp_seq=0 ttl=255 time=0.943 ms (DUP!)
64 bytes from 192.168.1.22: icmp_seq=0 ttl=255 time=0.945 ms (DUP!)
64 bytes from 192.168.1.19: icmp_seq=0 ttl=255 time=1.075 ms (DUP!)
64 bytes from 192.168.1.107: icmp_seq=0 ttl=255 time=1.076 ms (DUP!)
64 bytes from 192.168.1.92: icmp_seq=0 ttl=255 time=1.206 ms (DUP!)
 

Изменено 18 апреля, 2019 пользователем Azamat

[alibek]

3 минуты назад, Azamat сказал:

route:          94.124.200.0/24

route — это как блок анонсируется в BGP.

Совсем не обязательно, что внутри маршрутизация будет такая же.

Может быть там большой блок, может быть ip unnumbered или статика.

 

У меня раньше транспортный сегмент был /30, а клиентская подсеть /21 была на него смаршрутизирована статикой.

Да и сейчас некоторые клиенты просят именно так сделать.