Dispositivo ADSL che non fornisce DMZ NAT NAT insieme a NAT (IPv4)


0

Ho un modem / router / switch ADSL che esegue NAT. Lo fa anche per un host che può essere configurato per fornire una DMZ.

Voglio essere in grado di eseguire scansioni Nmap da un host specifico e non dovrebbe esserci NAT per quell'host. Una delle cose che attualmente non posso fare da dietro NAT è nmap --traceroutecon qualcosa di diverso da ICMP. Allo stesso tempo, voglio che gli altri host della mia rete siano dietro NAT. Il mio ISP mi assegna un singolo indirizzo IPv4, ma credo, come cliente aziendale, che posso richiedere un indirizzo aggiuntivo.

È tecnicamente possibile per un dispositivo fornire questo tipo di funzionalità? Esiste una classe di dispositivi che lo fornisce?

Extra: Perché nmap --traceroute non funziona

Il seguente funziona come previsto: -

nmap -sP -PE --traceroute scanme.nmap.org

TRACEROUTE (using proto 1/icmp)
HOP RTT       ADDRESS
1   16.00 ms  my.router (192.168.1.1)
2   55.00 ms  lo0.10.central10.ptn-bng01.plus.net (195.166.128.228)
3   42.00 ms  irb.10.ptw-cr02.plus.net (84.93.249.2)
4   37.00 ms  10gigabitethernet5-1.core1.lon1.he.net (5.57.80.128)
5   33.00 ms  10ge3-1.core1.lon2.he.net (72.52.92.222)
6   100.00 ms 100ge1-1.core1.nyc4.he.net (72.52.92.166)
7   183.00 ms 10ge9-7.core1.sjc2.he.net (184.105.213.197)
8   179.00 ms 10ge3-2.core3.fmt2.he.net (184.105.222.13)
9   176.00 ms router3-fmt.linode.com (65.49.10.218)
10  168.00 ms scanme.nmap.org (74.207.244.221)

Nmap done: 1 IP address (1 host up) scanned in 5.58 seconds

Questo non funziona come previsto: -

nmap -sP -PS80 --traceroute scanme.nmap.org

TRACEROUTE (using port 80/tcp)
HOP RTT       ADDRESS
1   ... 9
10  166.00 ms scanme.nmap.org (74.207.244.221)

Nmap done: 1 IP address (1 host up) scanned in 6.15 seconds

La mia comprensione di ciò è che my.router lascia cadere i messaggi ICMP Time Expassed provenienti dagli hop intermedi e penso che sia perché my.router si aspetta risposte TCP alle voci TCP nella sua tabella NAT e considera le risposte ICMP non valide.

(Ho chiesto la versione originale di questa domanda in Network Engineering e mi è stato consigliato di farlo qui)


Se hai una traduzione nat statica 1: 1 tra indirizzi IP pubblici e privati, nmap --traceroutenon dovrebbe essere un problema. Non credo proprio che NAT sia il problema qui; sembra che il problema sia il sovraccarico PAT. Più basilare di tutto ciò però ... cosa speri di realizzare? Risolvi il nmapproblema o fai una domanda teorica? Sembra che la parte "teorica: esiste questo dispositivo" della domanda sia irrilevante se riesci a risolvere il nmapproblema ... no?
Mike Pennington,

Penso che la mia domanda (in due parti) sia concreta, anche se apprezzo che possa sembrare un po 'confusa. Voglio sapere se un dispositivo può fornire NAT a una rete privata di host mentre allo stesso tempo espone un host a Internet senza NAT; e in tal caso, che tipo di dispositivo può fornire questa funzionalità.
Jah

Risposte:


1

IPv4 NAT (SNAT / MASQUERADE, per la precisione) non può essere disattivato in modalità gateway. È la modalità di funzionamento di base di un dispositivo gateway Internet di livello consumer.

Dovrai passare alla modalità con bridge, se possibile, e utilizzare il dialup PPPoE da un host di tua scelta. In questo modo, l'host selezionato (e solo questo host) avrà accesso a Internet non filtrato.

Non otterrai un indirizzo aggiuntivo, di solito è una caratteristica dei contratti commerciali. Il tuo router probabilmente non può gestirlo comunque.

L'host chiamato DMZ è in realtà l'host esposto. Fondamentalmente inoltra tutte le porte in arrivo a questo host. Naturalmente, questa non è in realtà una DMZ.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.