Приватные адреса.

[Nag]

Есть такая картина, интересна оценка профи.

Страшно это, или не страшно.

Нужно резать приватные сети, или это уже не модно...

 

Трассировка маршрута к 172.17.1.1 с максимальным числом прыжков 30

1 <10 мс <10 мс <10 мс ххххххххххххххх

2 10 ms <10 мс <10 мс ххххххххххххххх

3 10 ms <10 мс 10 ms ххххххххххххххх

4 10 ms <10 мс 10 ms aa-fe0-4-sw3.Ekaterinburg.rt-comm.ru [195.161.86.29]

5 10 ms <10 мс 10 ms tschelkun-bbn0-po1-5.rt-comm.ru [217.106.6.149]

6 10 ms 10 ms 20 ms shigony-bbn0-po1-1.rt-comm.ru [217.106.6.121]

7 30 ms 30 ms 40 ms msk-bbn0-po1-1.rt-comm.ru [217.106.6.93]

8 * * * Превышен интервал ожидания для запроса.

 

Трассировка маршрута к 172.17.0.4 с максимальным числом прыжков 30

1 <10 мс <10 мс <10 мс ххххххххххххххххх

2 <10 мс <10 мс <10 мс ххххххххххххххххх

3 30 ms 40 ms 40 ms ххххххххххххххххх

4 30 ms 30 ms 40 ms ххххххххххххххххх

5 30 ms 60 ms 40 ms ххххххххххххххххх

6 40 ms 40 ms 41 ms aa-fe0-4-sw3.Ekaterinburg.rt-comm.ru [195.161.86.29]

7 30 ms 40 ms 40 ms tschelkun-bbn0-po1-5.rt-comm.ru [217.106.6.149]

8 60 ms 60 ms 60 ms 217.106.6.97

9 60 ms 70 ms 70 ms 217.106.6.81

10 * * * Превышен интервал ожидания для запроса.

[Sirco]

Каждый режет в меру своей разбалованости ;-)

В интернете данные сети не должны роутиться

- весь вопрос где кончаеться интранет и начинаеться интернет....

[tagus]

Каждый режет в меру своей разбалованости ;-)

В интернете данные  сети не должны роутиться  

- весь вопрос где кончаеться интранет и начинаеться интернет....

Разбаловались тут, понимаешь, сверх всякой меры, некому их построить, понимаешь ;-). Где что начинается и где что кончается доходчиво изложено в RFC 1918. В частности, там изложено следующее:

 

The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets:

 

10.0.0.0 - 10.255.255.255 (10/8 prefix)

172.16.0.0 - 172.31.255.255 (172.16/12 prefix)

192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

 

...

 

Because private addresses have no global meaning, routing information about private networks shall not be propagated on inter-enterprise links, and packets with private source or destination addresses should not be forwarded across such links. Routers in networks not using private address space, especially those of Internet service providers, are expected to be configured to reject (filter out) routing information about private networks. If such a router receives such information the rejection shall not be treated as a routing protocol error.

 

Indirect references to such addresses should be contained within the enterprise. Prominent examples of such references are DNS Resource Records and other information referring to internal private addresses. In particular, Internet service providers should take measures to prevent such leakage.

 

Резать нужно, а также и стучать по башке и по шаловливым ручкам баловникам.

[Sirco]

Ну так весь вопрос кто считает себя провайдером а кто нет ;-)

Вот у меня провайдер верхнего выдал мне внутренние адреса и роутит по всей своей сети

при этом это считаеться локальным трафиком и плата за это не береться .

 

В первом случае мне тяжело судить - так как не знаю что это за сети ....

[tagus]

Ну так весь вопрос кто считает себя провайдером а кто нет ;-)

Вот у меня провайдер верхнего  выдал мне внутренние адреса и роутит по всей своей сети  

при этом это считаеться локальным трафиком  и плата за это не береться .

 

В первом случае мне тяжело судить - так как не знаю что это за сети ....

Крутой у тебя провайдер. И в чем глубинный смысл такого изврата? Почему нельзя было тебе выдать пару реальных адресов на твой линк до провайдера? С серыми адресами ты и сам как-нибудь разобрался бы.

[Sirco]

Статистика , как ты думаш сколько бы он мне выдал по скорости ????

А так он выдал две подсети класса С и лимит на каждый адрес 8 килобайт в секунду

тойсь перегрузить я его сеть не могу ... клиенты довольные и провайдер спокоен

[tagus]

Статистика , как ты думаш сколько бы он мне выдал  по скорости ???? А так он выдал две подсети класса С  и лимит на каждый  адрес 8 килобайт в секунду тойсь перегрузить я его сеть не могу ... клиенты довольные и провайдер спокоен

Думаю, сколько тебе надо - столько и выдал бы по скорости, а если-б не выдал - ты бы к другому провайдеру ушел :-). Дык, не выдал он тебе две подсети - он тебе серых адресов щедрой рукой отсыпал. Таки непонятно из твоего описания - то-ли провайдерам нынче стало выгодно меньше траффика продавать, то-ли ты вместо того, чтобы шейпинг траффика как тебе нужно самому организовать и самому им по мере необходимости рулить решил это дело на доброго дядю переложить, который шейпит так, как ему это нравится.

[Holg]

Мдя... вечно все у хохлов не как у людей... ;)))

[BB]

Страшно это, или не страшно.

Нужно резать приватные сети, или это уже не модно...

Что-то я непонял смысла "резать"? Из инета их в любом случае невидно будет.

[Butt]

Именно не будет видно. Многомудрый НАГ забывате один простой весчь, который уже обсуждался в этом уважаемом форуме сего популярного ресурса - не опасно это потому как чтобы воспользоваться сим надо чтобы имелся еще и обратный маршрут, это по крайней мере.

Кстати выполнять RFC - добрая воля. В уже приводившемся сдесь RFC, только выше по тексту написано "рекомендуется не маршрутизировать сети 192.168 ..."

Вопрос в удобстве и загрузке процессоров магистральных роутеров. Толку то резать фейк и грузить процессоры если маршрутов на них все равно нету...

[Nag]

Butt,

Хм. А нормально, что я прекрасно из дома вижу интерфейсы СЦК и т.п по фейковым адресам, через 3-4 рутера и транспорт 3-х провайдеров?

То, что по идее вообще видеть не должен за АТМ PVC, или как его там? Это не трейсом, а пингом.

 

Обмен пакетами с 172.17.0.11 по 32 байт:

Ответ от 172.17.0.11: число байт=32 время=10мс TTL=253

Ответ от 172.17.0.11: число байт=32 время<10мс TTL=253

 

Трассировка маршрута к 172.17.0.11 с максимальным числом прыжков 30

1 <10 мс <10 мс <10 мс **************

2 10 ms <10 мс 10 ms *************

3 <10 мс 10 ms * **************

4 10 ms <10 мс 10 ms 172.17.0.11

 

Лишняя дыра. Да и не положено все же - и думаю не зря таки неположено. Тут фейк, там фейк - где-то выплывает граблями.

 

Далее - кто сказал, что не может быть ассиметричного маршрута?

Вверх по фейку, обратно по реальному... Да, а если обратка не нужна?

В общем - я не сильно разбираюсь в этом вопросе, но пока есть подозрение, что наплевать и забыть рановато. ;-)

 

Причина вроде есть не резать. ;-)

Как я понимаю, если резать, то перестает на сиcках работать fast switching. Так можно и бороться - создать null-интерфейс, и завернуть туда эти сети. ;-)

[DrDiesel]

Крутой у тебя провайдер. И в чем глубинный смысл такого изврата? Почему нельзя было тебе выдать пару реальных адресов на твой линк до провайдера? С серыми адресами ты и сам как-нибудь разобрался бы.

А почему бы и нет? Мы сами раздаем ADSL-ным клиентам серые адреса из 192.168.0.0/16. В пределах города ходят под ними, за пределы - NAT. Тут действительно вопрос в том, что считать внутренней сетью. т.е. с какой колокольни смотреть.

P.S. Предвидя вопросы типа: "а как же, если хостинг захочет у себя устроить?". Если хочет сервак у себя поставить, то тогда даем реальный, нет проблем. Только 99% эти реальные адреса не нужны, да и чаще всего они и не знают что это такое.

[tagus]

А почему бы и нет? Мы сами раздаем ADSL-ным клиентам серые адреса из 192.168.0.0/16. В пределах города ходят под ними, за пределы - NAT. Тут действительно вопрос в том, что считать внутренней сетью. т.е. с какой колокольни смотреть.

Но вы-ж не входите своими серыми сетками в сеть вышестоящего провайдера, или таки да? :-))) Тут можно провести полную аналогию с сетью Сирко: ваш DSLAM - это шлюз Сирка, который смотрит во внешнюю сеть, к DSLAM/шлюзу различными путями сходится абонентская сеть, которая целиком ваша и тут, как я и говорил, можно и нужно рулить траффиком и адресами как душе угодно, а наружу с этого хозяйства должны смотреть реальные адреса - это просто удобно и сильно упрощает работу. Сирко-же, насколько удалось понять из его описания, полность отдал управление своим адресным пространством и траффиком провайдеру, что с моей точки зрения есть очень нехорошо и очень неудобно, поскольку управление сетью находится полностью в чужих руках и любой чих внутри своей сети нужно согласовывать с добрыми дядями-провайдерами.

[tagus]

Кстати выполнять RFC  - добрая воля. В уже приводившемся сдесь RFC, только выше по тексту написано "рекомендуется не маршрутизировать сети 192.168 ..."

Ну ты прекрати добровольно следовать RFC 768, RFC 791, RFC 792, RFC 793, а потом поделишься с нами драгоценным опытом ;-))).

 

Вопрос в удобстве и загрузке процессоров магистральных роутеров. Толку то резать фейк и грузить процессоры если маршрутов на них все равно нету...

Вот если таких почитателей удобств наберется в сети процентов 30 - тогда поймешь в чем толк резания серых сеток.

[DrDiesel]

Но вы-ж не входите своими серыми сетками в сеть вышестоящего провайдера, или таки да? :-)))

Таки для нашего города мы и есть провайдер, и в зоне нашей ответственности мы эти серые адреса адреса роутим, как и любые другие. А вот дальше в сеть RTComm'а естессно их не пускаем. Про что и разговор, что если это ТВОИ серые адреса, то дальше границ ТВОЕЙ сети они выходить не должны.

[tagus]

Про что и разговор, что если это ТВОИ серые адреса, то дальше границ ТВОЕЙ сети они выходить не должны.

Консенсус. А у Сирка - выходят.

[Dandy]

Самое смешное в данной ситуации начинается когда IP адрес пользователя совпадает с адресом который можно засеч в traceroute до какого нибудь хоста, www.ur.ru однажды грешил неправильной настройкой BGP, в маршруте до них была указана сать 172.16.ххх.ххх,

пинги доходили до хоста адресации и возвращались на хост Урал Релкома, я весь iptables перерыл, пока сам случайно не проверил маршрут :) К чести последней позвонил, минут через 15 всё нормально стало :)

[Sirco]

Что-то я не вижу абсолютно никакой ущербности от моего решения приватных адресов и все в рамках РФЦ , просто договорился с провайдером что моя сеть ето часть его сети

и в чем плохого когда его диалповый пользователь может на прямую связываться с моим диалаповым или сетевым пользователем - и это все на уровне 3 областей ....

 

проблем с маскарадом никаких не было , адресов которые он выдал хватает , а если не будет хватать , еще выдаст .

будет интерес пропишу еще в его (провайдера) DNS локально всякие приватные адреса WWW FTP сервера и пусть люди гоняют по внутренней сетке свои сервисы , мне то что я внутренний трафик то не оплачиваю , а наружу они вылезти не могут ...

[Vincy]

интересно - кому сколько "настоящих" IP адресов выдал вышестоящий провайдер? Мне - 8 :-(

[Sirco]

интересно - кому сколько "настоящих" IP адресов выдал вышестоящий провайдер? Мне - 8 :-(

а что хотелось больше ?

У меня ни одного ,

правда лично для меня в офисе стоит одна машинка с реальными адресами

- просто я работаю в этого провайдера ;-)

Мог вообщето взять , только весь вопрос для чего ????

[Holg]

интересно - кому сколько "настоящих" IP адресов выдал вышестоящий провайдер? Мне - 8 :-(

А чего интересного - пиши заяву в НОК да бери скока нуна... а твой верхний пров их просто прокидывает на тебя... - ну взял я по лету С - реально 4 сами юзаем с десяток на aDSL клиентах роздано - а остальное - токо как запасЪ на необорзимое будущее ;)

[tagus]

Что-то я не вижу абсолютно никакой ущербности от моего решения приватных адресов и все в рамках РФЦ ,  просто договорился с провайдером что  моя сеть ето часть его сети  

и в чем плохого когда его диалповый пользователь может на прямую связываться с моим диалаповым или сетевым  пользователем  - и это все на уровне 3 областей ....

Ну если только обязательно нужно обеспечить коннективити до провайдерских диалапщиков, которым ну очень жадный провайдер не выдает реальных динамических IP. Хотя, опять-же зачем? Вот не было бы коннективити - и побежали бы провайдерские диалапные пользователи толпами к тебе в клиенты ;-). Рекомендации RFC ты таки нарушил (вы-ж с провайдером - не одно предприятие, или таки да? :-)), но дело не в этом, а в следующем: нужен тебе еще один адрес - ты бежишь просить провайдера, нужно сменить адреса у клиентов - бежишь просить провайдера, нужно поменять полосу на клиента - бежишь просить провайдера, нужно поднять публичный WWW/FTP/etc сервис - бежишь просить провайдера, ну и т. д. и т. д., вместо того, чтобы как белому человеку сделать это самому без беготни к дяде, просьб, ожидания и нервотрепки. А в общем, ну устраивает тебя такая ситуация - попутного ветра, разве-ж я против ;-).

[tagus]

интересно - кому сколько "настоящих" IP адресов выдал вышестоящий провайдер? Мне - 8 :-(

То-есть 6 (сеть /29)? Оно в случае среднестатистической (среднебольничной :-) домашней сети, в принципе, и достаточно. Даже если основные публичные сервисы на отдельные адреса и машины разносить.

[Иноят]

Nag, в каком-то из номеров ты классный трассер кидал - двойное (или тройное) кольцов промеж е-бургских провов. а вы тут - "приватные адреса", "обратка по реальным адресам" :-)

[Vincy]

Sirco: а что хотелось больше ?  

ДА!!! Сейчаз все чаще абоненты просят реальные ай-пи. Для чего? Очень часто бывает что они не могут напр. прининимать вход. звонки, файлы, запросы на учаслие в он-лайн конфиренциях если они находятся под NAT или прокси.

Holg: А чего интересного - пиши заяву в НОК да бери скока нуна

Сори а что такое НОК???