Ahoj
Uz dlhsiu dobu pozorujem cudne diane v connectionoch
Mám siet natovanu v adresnom rozsahu 192.168.0.0/16
Cela siet zacina od rozsahu 16.0 a jednotlive segmenty sa potom uz posielaju a pod.. Siet je routovana
Ale vsimol som si ze proste v coenctionoch su ip ako 192.168.2.102, 2.109 popripade 2.2.2.2 a pod..
Ako tomu zamedzit ?
Ked nic takeho sa nepouziva ? a ani neexistuje ? Existuje nejaké účinne pravidlo co by to nejak zredukovalo ?
Mám dosť velký pocit že to leze zo siete dodavatela a nie z mojej. Ale neviem prinst na to ako to ošetrit. Nemali ste niekto takýto problém ?
Budem vdačný za každú radu
Ďakujem
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Neznáme connections
Odkud to leze, to bys měl vědět se stoprocentní jistotou ...
2.2.2.2 je regulérní IP, co je na ní špatného?
Zbytek viz: viewtopic.php?f=5&t=17570
2.2.2.2 je regulérní IP, co je na ní špatného?
Zbytek viz: viewtopic.php?f=5&t=17570
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
No bohuzial neviem 
Kedze adresne rozsahy 192.168.2.0 - 192.168.14.255 v nasej sieti vobec nemame a ani sme ich nepouzili. a ked si otvorim conections tak tam su.
No nani neni nic spatneho len ide na adresu ktora v nasej sieti neni
Kedze adresne rozsahy 192.168.2.0 - 192.168.14.255 v nasej sieti vobec nemame a ani sme ich nepouzili. a ked si otvorim conections tak tam su.
No nani neni nic spatneho len ide na adresu ktora v nasej sieti neni
0 x
To se prostě naučit musíš. Používej torch, netsniffer. Předpokládám, že mluvíš o mikrotiku.
Ale jak se řešilo jinde. Nejde ani tak o provoz dovnitř, jako ven. A jsou to pakety lezoucí z nějaký zařízení, co dělají NAT. Třeba klientské routery. Je to běžný.
Základní pravidlo je, nepustit si do sítě nic, co tam nepatří. Takže každé místo, kam se připojují klienti (zákazníci, zařízení) by mělo mít filtr na IP adresy, které tam mohou být. Nikomu věřit nesmíš. Úplně přesně to ale může být zbytečně složité, takže filtrace alespoň dle segmentů. Mám-li na access-pointu např. 192.168.66.0/24, povolím jako zdrojové IP jen tohle. Nic víc.
Je to i ochrana proti různým DDoS atp. kde se používají zfalšované adresy. Z tvé sítě nesmí odejít nic, co ti nepatří. A je také věcí tvého ISP, zda si to odfiltruje on.
Stejně v bledě modrém to uděláš i obráceně, na vstupu do sítě. Není důvod akceptovat pakety, které ti nepatří. Je to sice jen teorie (co ti nepatří, není jak k tobě naroutovat), ale stát se to může. Záleží na tom, jak tu konektivitu "bereš". Pokud "amatérsky", tak je to naopak pravděpodobné, že se ti tam objeví pakety jiných zákazníků tvého poskytovatele.
To je asi vše, co jsem schopen zplodit. Jak máš postavenou síť nevím. Ale předpokládám NAT na bráně. Takže záleží na tom, co ten udělá s příchozím paketem. Jestli provede DNAT (tedy změní cílovou adresu), tak se to po vnitřku sítě pohybovat může. Pokud neudělá, nemůže. Opět ale platí zmínka o tom, že také záleží na tvém poskytovateli. Je-li to síť také s NATkou a fungující na privátních adresách - pakety se k tobě dostat mohou a podle konfigurace gatewaye klidně i projdou dovnitř a tam už se routují dle tvých pravidel.
Ale jak se řešilo jinde. Nejde ani tak o provoz dovnitř, jako ven. A jsou to pakety lezoucí z nějaký zařízení, co dělají NAT. Třeba klientské routery. Je to běžný.
Základní pravidlo je, nepustit si do sítě nic, co tam nepatří. Takže každé místo, kam se připojují klienti (zákazníci, zařízení) by mělo mít filtr na IP adresy, které tam mohou být. Nikomu věřit nesmíš. Úplně přesně to ale může být zbytečně složité, takže filtrace alespoň dle segmentů. Mám-li na access-pointu např. 192.168.66.0/24, povolím jako zdrojové IP jen tohle. Nic víc.
Je to i ochrana proti různým DDoS atp. kde se používají zfalšované adresy. Z tvé sítě nesmí odejít nic, co ti nepatří. A je také věcí tvého ISP, zda si to odfiltruje on.
Stejně v bledě modrém to uděláš i obráceně, na vstupu do sítě. Není důvod akceptovat pakety, které ti nepatří. Je to sice jen teorie (co ti nepatří, není jak k tobě naroutovat), ale stát se to může. Záleží na tom, jak tu konektivitu "bereš". Pokud "amatérsky", tak je to naopak pravděpodobné, že se ti tam objeví pakety jiných zákazníků tvého poskytovatele.
To je asi vše, co jsem schopen zplodit. Jak máš postavenou síť nevím. Ale předpokládám NAT na bráně. Takže záleží na tom, co ten udělá s příchozím paketem. Jestli provede DNAT (tedy změní cílovou adresu), tak se to po vnitřku sítě pohybovat může. Pokud neudělá, nemůže. Opět ale platí zmínka o tom, že také záleží na tvém poskytovateli. Je-li to síť také s NATkou a fungující na privátních adresách - pakety se k tobě dostat mohou a podle konfigurace gatewaye klidně i projdou dovnitř a tam už se routují dle tvých pravidel.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.