Ho un modem / router / switch ADSL che esegue NAT. Lo fa anche per un host che può essere configurato per fornire una DMZ.
Voglio essere in grado di eseguire scansioni Nmap da un host specifico e non dovrebbe esserci NAT per quell'host. Una delle cose che attualmente non posso fare da dietro NAT è nmap --traceroute
con qualcosa di diverso da ICMP. Allo stesso tempo, voglio che gli altri host della mia rete siano dietro NAT. Il mio ISP mi assegna un singolo indirizzo IPv4, ma credo, come cliente aziendale, che posso richiedere un indirizzo aggiuntivo.
È tecnicamente possibile per un dispositivo fornire questo tipo di funzionalità? Esiste una classe di dispositivi che lo fornisce?
Extra: Perché nmap --traceroute non funziona
Il seguente funziona come previsto: -
nmap -sP -PE --traceroute scanme.nmap.org
TRACEROUTE (using proto 1/icmp)
HOP RTT ADDRESS
1 16.00 ms my.router (192.168.1.1)
2 55.00 ms lo0.10.central10.ptn-bng01.plus.net (195.166.128.228)
3 42.00 ms irb.10.ptw-cr02.plus.net (84.93.249.2)
4 37.00 ms 10gigabitethernet5-1.core1.lon1.he.net (5.57.80.128)
5 33.00 ms 10ge3-1.core1.lon2.he.net (72.52.92.222)
6 100.00 ms 100ge1-1.core1.nyc4.he.net (72.52.92.166)
7 183.00 ms 10ge9-7.core1.sjc2.he.net (184.105.213.197)
8 179.00 ms 10ge3-2.core3.fmt2.he.net (184.105.222.13)
9 176.00 ms router3-fmt.linode.com (65.49.10.218)
10 168.00 ms scanme.nmap.org (74.207.244.221)
Nmap done: 1 IP address (1 host up) scanned in 5.58 seconds
Questo non funziona come previsto: -
nmap -sP -PS80 --traceroute scanme.nmap.org
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 ... 9
10 166.00 ms scanme.nmap.org (74.207.244.221)
Nmap done: 1 IP address (1 host up) scanned in 6.15 seconds
La mia comprensione di ciò è che my.router lascia cadere i messaggi ICMP Time Expassed provenienti dagli hop intermedi e penso che sia perché my.router si aspetta risposte TCP alle voci TCP nella sua tabella NAT e considera le risposte ICMP non valide.
(Ho chiesto la versione originale di questa domanda in Network Engineering e mi è stato consigliato di farlo qui)
nmap --traceroute
non dovrebbe essere un problema. Non credo proprio che NAT sia il problema qui; sembra che il problema sia il sovraccarico PAT. Più basilare di tutto ciò però ... cosa speri di realizzare? Risolvi ilnmap
problema o fai una domanda teorica? Sembra che la parte "teorica: esiste questo dispositivo" della domanda sia irrilevante se riesci a risolvere ilnmap
problema ... no?