Допустим, имеем сервер в городе Москва, настраиваем транзитный маршрут к этому серверу через город Берлин. То есть, грубо говоря стучимся на немецкий IP и попадаем на наш сервер что находится в Москве.
Далее, подключаемся по RDP снаружи. Внутри интернета нет (шлюз прописан, но маскарадинг на конкретный локальный IP сервера отключён).
То есть, имеем доступ снаружи, но внутри интернет не работает. Нет пинга, не работает команда tracert.Отсюда вопрос.
Как при таком положении вещей, когда доступ снаружи есть, но внутри интернета нет, можно вычислить внешний IP сервера? Как я уже писал выше ping и tracert ничего не дают.
Но может я что-то упустил. Есть ли ещё мысли как можно узнать где находится сервер при таких настройках?
http://goo.gl/VRiEW
> http://goo.gl/VRiEWБольше мыслей нет? :)
Нет, т.к. я не понял сути вопроса.>> http://goo.gl/VRiEW
> Больше мыслей нет? :)
> Нет, т.к. я не понял сути вопроса.Может есть смысл пройти мимо, если не можешь понять суть вопроса?! Зачем топик засорять?!
Может и есть.>> Нет, т.к. я не понял сути вопроса.
> Может есть смысл пройти мимо, если не можешь понять суть вопроса?! Зачем
> топик засорять?!
очевидно посмотреть адреса интерфейсов на шлюзе
> очевидно посмотреть адреса интерфейсов на шлюзена шлюзовом маршрутизаторе если? но доступа нет к нему.
всё что есть это некий сервер, где он стоит непонятно. внутри него интернет не пингуется, ни один сайт ничего.ну вот если допустим, поймали за руку что называется. зашли на сервер по IP (он известен, но он подложный в германии, его в расчёт не берём), вот внутри сервера, если нет админских прав, нельзя изменить шлюз, можно только выполнить команды ping, tracert, но они не работают, т.к. интернет внутри не ходит.
я почему спрашиваю. может есть ещё какой-то способ/команда кроме ping и tracert.
вполне серьёзно интересуюсь, т.к. могу не знать.но цель очевидна - спрятать сервер за другим IP, так чтобы не могли вычислить его первоначальное место нахождения, если возьмут с открытой сессией RDP.
если у кого есть ещё мысли/идеи по этому поводу, как спрятать, поделитесь пожалуйста! а то так то всё вроде кажется правильно и вроде без вариантов как вычислить, но, может где-то что-то упустил, не додумал.
Если "возьмут", то вычислять ничего не надо - сам признаешься ;)Если траффик пробросить через туннель и дополнительный роутер,
то вычислить будет непросто.
> Если "возьмут", то вычислять ничего не надо - сам признаешься ;)Брать если будут, то не меня. А тот кого могут взять будет знать только транзитный IP в Германии. И то, его ведь тоже можно замаскировать под какой-нибудь внутрилокалановый.
> Если траффик пробросить через туннель и дополнительный роутер,
> то вычислить будет непросто.Так оно и есть. Шлюзом работает дополнительный роутер, который по VPN подключён к немецкому серверу (который же маскирует). Если включить маскрад и пустить интернет, то tracert будет вести к немецкому провайдеру, а не к московскому. Но, как я писал интернет отключён внутри.
Всё же вот... очень интересует про "непросто". Какие мысли есть по этому поводу?
>[оверквотинг удален]
> знать только транзитный IP в Германии. И то, его ведь тоже
> можно замаскировать под какой-нибудь внутрилокалановый.
>> Если траффик пробросить через туннель и дополнительный роутер,
>> то вычислить будет непросто.
> Так оно и есть. Шлюзом работает дополнительный роутер, который по VPN подключён
> к немецкому серверу (который же маскирует). Если включить маскрад и пустить
> интернет, то tracert будет вести к немецкому провайдеру, а не к
> московскому. Но, как я писал интернет отключён внутри.
> Всё же вот... очень интересует про "непросто". Какие мысли есть по этому
> поводу?скрываете именно ip или факт проброса в Москву?
> скрываете именно ip или факт проброса в Москву?Скрываю именно IP. Ведь зная IP можно выйти на местоположение сервера. Для оборотней в погонах нет препятствий. Им все двери открыть или ковырнуть не проблема.
А вот с немцами придётся повозиться. Не их страна и не их юрисдикция. Это ведь не на соседнюю улицу в Москве съездить с ордером на обыск... :)
>> скрываете именно ip или факт проброса в Москву?
> Скрываю именно IP. Ведь зная IP можно выйти на местоположение сервера. Для
> оборотней в погонах нет препятствий. Им все двери открыть или ковырнуть
> не проблема.
> А вот с немцами придётся повозиться. Не их страна и не их
> юрисдикция. Это ведь не на соседнюю улицу в Москве съездить с
> ордером на обыск... :)Найдите кусок хлеба в другом месте.
>> скрываете именно ip или факт проброса в Москву?
> Скрываю именно IP. Ведь зная IP можно выйти на местоположение сервера. Для
> оборотней в погонах нет препятствий. Им все двери открыть или ковырнуть
> не проблема.
> А вот с немцами придётся повозиться. Не их страна и не их
> юрисдикция. Это ведь не на соседнюю улицу в Москве съездить с
> ордером на обыск... :)банально определят какому прову в Германии данный IP принадлежит и получат Ваш договор с ним - все - приехали.
> банально определят какому прову в Германии данный IP принадлежит и получат Ваш
> договор с ним - все - приехали.Ты такой гений! Просто всех заткнул за пояс. Браво! И как мы раньше не догадались?! Оказывается это всё бесполезно... :))))))
Я думаю с таким талантом нужно искать места более достойные чем opennet.ru. Не трать своё время зря. Этот ресурс тебя не достоин! ;)))
>> банально определят какому прову в Германии данный IP принадлежит и получат Ваш
>> договор с ним - все - приехали.
> Ты такой гений! Просто всех заткнул за пояс. Браво! И как мы
> раньше не догадались?! Оказывается это всё бесполезно... :))))))
> Я думаю с таким талантом нужно искать места более достойные чем opennet.ru.
> Не трать своё время зря. Этот ресурс тебя не достоин! ;)))Балабол.
Если тебя захотят за Ж взять, то возьмут даже без всяких технических хитростей. Посмотрят первый попавшийся засвеченый тобой ИП, получат санкции и просто пройдут по цепочке договоров с провайдерами.
Смотрю модер тихо потёр моё тебе послание... :)))
Ну да ладно... На этот раз повезло... :)))
>[оверквотинг удален]
> знать только транзитный IP в Германии. И то, его ведь тоже
> можно замаскировать под какой-нибудь внутрилокалановый.
>> Если траффик пробросить через туннель и дополнительный роутер,
>> то вычислить будет непросто.
> Так оно и есть. Шлюзом работает дополнительный роутер, который по VPN подключён
> к немецкому серверу (который же маскирует). Если включить маскрад и пустить
> интернет, то tracert будет вести к немецкому провайдеру, а не к
> московскому. Но, как я писал интернет отключён внутри.
> Всё же вот... очень интересует про "непросто". Какие мысли есть по этому
> поводу?считаю, что не имея доступа к немецкой машине - никак:
после расшифровки пакетов при выходе из VPN на немецком сервере, он работает только
с частными адресами из этой VPN. Где стоит Московский сервер вопрос конфигурации VPN на немецкой машине и после удаления заголовков VPN эта информация теряется безвозвратно.Вопрос есть и другой: а что будет, если возьмут с открытым RDP и будут пытаться с московского сервера определять его место положения? На этот случай согласно данной конфигурации, надо предусмотреть, что бы московский VPN-router вместе с файерволом разрешал исключительно входящие соединения из немецкой VPN и исходящие ответы по открытым сессиям. Все остальное должно блокироваться.
> после расшифровки пакетов при выходе из VPN на немецком сервере, он работает
> только
> с частными адресами из этой VPN. Где стоит Московский сервер вопрос конфигурации
> VPN на немецкой машине и после удаления заголовков VPN эта информация
> теряется безвозвратно.VPN соединение устанавливает сам роутер. он подключается к немецкому серверу и получает с немецкого же сервера Интернет (по этому VPN тунелю)
далее, этот самый роутер может раздавать интернет дальше, может не раздавать.
в данном случае не раздаёт.
то есть, на самом сервере RDP тоже нет никаких VPN соединений и чтобы узнать куда конектица роутер, его нужно взломать. со стороны RDP сервера можно знать только IP роутера, т.к. он является шлюзом.> Вопрос есть и другой: а что будет, если возьмут с открытым RDP
> и будут пытаться с московского сервера определять его место положения?
> этот случай согласно данной конфигурации, надо предусмотреть, что бы московский VPN-router
> вместе с файерволом разрешал исключительно входящие соединения из немецкой VPN и
> исходящие ответы по открытым сессиям. Все остальное должно блокироваться.получается на московском VPN-роутере просто НЕ включён маскарадинг Интернета во внутреннюю сеть и в частности на сам RDP сервер.
Этого не достаточно? Нужны ещё какие-то запрещающие правила/фильтры или нет?
но входящие соединения на RDT сервер естественно должны проходить и они проходят, и он на них отвечает. понятно что если не пустить интернет по VPN туннелю от германии до москвы то и доступа к RDP не будет. интернет нужен в любом случае.
но вот внутри с RDP сервера в интернет не выйти.в общем... кажется всё правильно, с двумя вопросами что выше. если есть ещё мысли, было бы здорово обсудить. тема я думаю весьма актуальна в наше смутное время.
>> после расшифровки пакетов при выходе из VPN на немецком сервере, он работает
>> только
>> с частными адресами из этой VPN. Где стоит Московский сервер вопрос конфигурации
>> VPN на немецкой машине и после удаления заголовков VPN эта информация
>> теряется безвозвратно.
> VPN соединение устанавливает сам роутер. он подключается к немецкому серверу и получает
> с немецкого же сервера Интернет (по этому VPN тунелю)
> далее, этот самый роутер может раздавать интернет дальше, может не раздавать.
> в данном случае не раздаёт.тогда еще интересней, нужен доступ к немецкому роутеру тогда, когда установлен VPN.
ЛИБО! Это наверное даже легче, бомбить немецкого провайдера с вопросом с какого
адреса устанавливается VPN.>[оверквотинг удален]
> чтобы узнать куда конектица роутер, его нужно взломать. со стороны RDP
> сервера можно знать только IP роутера, т.к. он является шлюзом.
>> Вопрос есть и другой: а что будет, если возьмут с открытым RDP
>> и будут пытаться с московского сервера определять его место положения?
>> этот случай согласно данной конфигурации, надо предусмотреть, что бы московский VPN-router
>> вместе с файерволом разрешал исключительно входящие соединения из немецкой VPN и
>> исходящие ответы по открытым сессиям. Все остальное должно блокироваться.
> получается на московском VPN-роутере просто НЕ включён маскарадинг Интернета во внутреннюю
> сеть и в частности на сам RDP сервер.
> Этого не достаточно?ок. вобщем достаточно.
> Нужны ещё какие-то запрещающие правила/фильтры или нет?
если все так строго, то как я уже написал, со стороны сервера на роутере я бы запретил все входящие соединения, кроме уже установеленных сессий.
> но входящие соединения на RDT сервер естественно должны проходить и они проходят,
> и он на них отвечает. понятно что если не пустить интернет
> по VPN туннелю от германии до москвы то и доступа к
> RDP не будет. интернет нужен в любом случае.
> но вот внутри с RDP сервера в интернет не выйти.
> в общем... кажется всё правильно, с двумя вопросами что выше. если есть
> ещё мысли, было бы здорово обсудить. тема я думаю весьма актуальна
> в наше смутное время.
operator, спасибо тебе огромное! Будем работать.