Привет, я хотел бы узнать, каким образом некоторые сайты(сервисы) определяют мой внутренний локальный IP адрес, даже когда я выхожу в Интернет через NAT(именно NAT, не через Proxy)? Я думал, что NAT подменяет полностью IP адрес источника на указанный IP адрес в заголовке IP пакета. Второе, через Proxy тоже видны не смотря, на то что включены в конфиге опции как:request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
forwarded_for off
request_header_access From deny all
request_header_access Server deny all
request_header_access User-Agent deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny allКак настроить NAT или Proxy, чтобы мои локальные IP адреса не были видны снаружи?
>[оверквотинг удален]
> request_header_access Via deny all
> request_header_access Cache-Control deny all
> forwarded_for off
> request_header_access From deny all
> request_header_access Server deny all
> request_header_access User-Agent deny all
> request_header_access WWW-Authenticate deny all
> request_header_access Link deny all
> Как настроить NAT или Proxy, чтобы мои локальные IP
> адреса не были видны снаружи?Некоторые сервисы передают IP в теле пакета, куда НАТ не "заглядывает", ибо не его задача.
> Некоторые сервисы передают IP в теле пакета, куда НАТ не "заглядывает",..., кроме протоколов, заглядывать в которые его в конце концов научили:
$ find /lib/modules/ -name 'nf_nat*' |sed -nr 's;.+/;;p'|sort -u
nf_nat_amanda.ko
nf_nat_ftp.ko
nf_nat_h323.ko
nf_nat_ipv4.ko
nf_nat_ipv6.ko
nf_nat_irc.ko
nf_nat.ko
nf_nat_pptp.ko
nf_nat_proto_dccp.ko
nf_nat_proto_gre.ko
nf_nat_proto_sctp.ko
nf_nat_proto_udplite.ko
nf_nat_sip.ko
nf_nat_snmp_basic.ko
nf_nat_tftp.kohttp://www.netfilter.org/documentation/HOWTO/netfilter-hacki...
""Protocol helpers for NAT do two things: firstly allow the NAT code to manipulate the data stream to change the address contained within it, and secondly to perform NAT on the related connection when it comes in, based on the original connection.
> ""Protocol helpers for NAT do two things: firstly allow the NAT code
> to manipulate the data stream to change the address contained within
> it, and secondly to perform NAT on the related connection when
> it comes in, based on the original connection.Как я понял из этих слов, что NAT подменяет IP, но и сохраняет IP исходного источника чтобы знать ответный пакет куда обратно транслировать(но в этом предложении не сказано, где хранится адрес источника(в системе или в наружу отправляющем пакете)). Вопрос 1 - где хранится IP истинного источника во время передачи данных с внешним узлом?. Я думал, что адрес исходного источника сохраняется в системе временно, а не в пакете, и тем более по seq(последовательность 1,2,...) и по другим параметрам можно же определить, что пакет ответный(conn state ESTABLISHED или RELATED) и идет от destination'а(адресата), куда отправлен изначально пакет со статусом NEW. Потом когда система(ядро, iptables, ...) получит ответ от dest, его перенаправит, вернет исходному источнику. Зачем хранить в пакете IP адрес источника, если его можно временно хранить в системе, по ИБ это вообще глупо. Плохо когда в Интернете кто-то видит твои локальные IP адреса. Я соглашусь с fantom'ом, что может некоторые программы как браузеры включают IP клиента в инкапсулированный http-пакет, который действует на протоколе 7-ого уровня. NAT как раз таки работает на 3-ом уровне и он не смотрит содержимое 7-ого уровня. Грубо говоря, ему все равно что находится в http-пакете. А Proxy как раз таки фильтрует http-пакет, но все равно когда я работаю через Proxy виден IP с внешных узлов. Вопрос 2 - если NAT'ом все ясно, а как отрезать IP источника из http-пакета с помощью опций Proxy?
P.S. Верхные указанные опции работали, а сейчас нет, например https://2ip.com.ua/ видит LAN адреса.
>[оверквотинг удален]
> Я соглашусь с fantom'ом, что может некоторые программы как браузеры включают
> IP клиента в инкапсулированный http-пакет, который действует на протоколе 7-ого уровня.
> NAT как раз таки работает на 3-ом уровне и он не
> смотрит содержимое 7-ого уровня. Грубо говоря, ему все равно что находится
> в http-пакете. А Proxy как раз таки фильтрует http-пакет, но все
> равно когда я работаю через Proxy виден IP с внешных узлов.
> Вопрос 2 - если NAT'ом все ясно, а как отрезать IP
> источника из http-пакета с помощью опций Proxy?
> P.S. Верхные указанные опции работали, а сейчас нет, например https://2ip.com.ua/ видит
> LAN адреса.нат работает на 3-4-ом уровне и ДЛЯ НЕКОТОРЫХ протоколов анализирует НЕКОТОРЫЕ данные на 7-ом, и http - это уже 6-7 уровень и на НАТ ему плевать с высокой колокольни.
>[оверквотинг удален]
>> смотрит содержимое 7-ого уровня. Грубо говоря, ему все равно что находится
>> в http-пакете. А Proxy как раз таки фильтрует http-пакет, но все
>> равно когда я работаю через Proxy виден IP с внешных узлов.
>> Вопрос 2 - если NAT'ом все ясно, а как отрезать IP
>> источника из http-пакета с помощью опций Proxy?
>> P.S. Верхные указанные опции работали, а сейчас нет, например https://2ip.com.ua/ видит
>> LAN адреса.
> нат работает на 3-4-ом уровне и ДЛЯ НЕКОТОРЫХ протоколов анализирует НЕКОТОРЫЕ данные
> на 7-ом, и http - это уже 6-7 уровень и на
> НАТ ему плевать с высокой колокольни.Кроме того есть такая "пакость" как ввсякие скрипты, которые могут совершенно спокойно попросить локальный IP, и тут уж наверное никакой фильтрацией заголовков не отфильтруешь.
пусть пользует тор и не трахает людям мозг бесплатным обучением основам сети
Я и без тебя знаю основы сетей, умник!!! Следи за язычком!
слишком сомнительно
Вот и по теме новость появилась...
> Вот и по теме новость появилась...
> http://www.opennet.me/opennews/art.shtml?num=41606Спасибо Вам fantom за хороший и своевременный ответ.