forum.opennet.ru - "Адрес 172.19.X.X" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Адрес 172.19.X.X"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Адрес 172.19.X.X"
Сообщение от nobody4 on 27-Окт-03, 09:01 (MSK)
Добрый день! Имеется такой вопрос: ко мне, на интернетный интерфейс (ppp0), как с динамическим, так и со статическим адресом, при обращении к определенной службе моего провайдера сыпятся пакеты с исходящим адресом 172.19.X.X. Мой iptables, как и написано в man'e по iptables, такие пакеты отрезает. На попытку прояснить ситуацию админ сети провайдера отрезал: "..при выходе в интернет Вы входите в нашу частную сеть и такие пакеты есть норма..". На вопрос, а где об этом (какие пакеты и адреса для данного провайдера норма) узнать, сказали, что это тайна :(( Так вот, уважаемый All, подскажите, является ли такая ситуация нормой? С уважением, nobody4
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Адрес 172.19.X.X, Михаил, 12:37 , 27-Окт-03, (1)
- Адрес 172.19.X.X, nobody4, 13:00 , 27-Окт-03, (2)
  - Адрес 172.19.X.X, Михаил, 18:27 , 27-Окт-03, (4)
- Адрес 172.19.X.X, andy_coocker, 16:57 , 27-Окт-03, (3)
  - Адрес 172.19.X.X, nobody4, 08:53 , 28-Окт-03, (5)
    - Адрес 172.19.X.X, Michael, 14:24 , 28-Окт-03, (6)
      - Адрес 172.19.X.X, nobody4, 15:33 , 28-Окт-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Адрес 172.19.X.X"

Сообщение от Михаил on 27-Окт-03, 12:37  (MSK)

>админ сети провайдера отрезал: "..при выходе в интернет Вы входите
>в нашу частную сеть и такие пакеты есть норма..".
тогда можно немножко посниффить и посмотреть, а что же в этих пакетах? :)
какие исходящие/входящие порты таких пакетов?
обратный адрес всегда один и тот же или разный?
пакеты направлены именно на твой адрес?
какой протокол? udp, tcp, arp, какой-то еще?
> На вопрос,
>а где об этом (какие пакеты  и адреса для данного
>провайдера норма) узнать, сказали, что это тайна :((
это внутренняя тайна провайдера, которую он сам и разглашает :)
некоторые провы скрывают внутреннюю адресацию, некоторые - нет, некоторые - частично...
если эти пакеты служат для нестандартной реализации чего-либо, то это, имхо, плохо...
впрочем, главное, что ты их дропаешь файерволлом!

>Так вот, уважаемый All, подскажите, является ли такая ситуация нормой?
скажу так, что это не общепринято!
хотя у меня у одного из провов я получаю вообще полную копию всего трафика, который у них бегает, включая внутренний и трафик других клиентов, как будто мы присоединены к их хабу (даже не свичу!)...

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Адрес 172.19.X.X"

Сообщение от nobody4 on 27-Окт-03, 13:00  (MSK)

>какие исходящие/входящие порты таких пакетов?
>обратный адрес всегда один и тот же или разный?
>пакеты направлены именно на твой адрес?
>какой протокол? udp, tcp, arp, какой-то еще?
Это html-трафик, идущий по ssl-соединению с 443 порта. Соединение инициируется мной. В целом, ситуация штатная, единственное, что вызвало недоумение - как это я должен узнавать, какие адреса у прова легальные? Или вообще весь трафик форвардить? Так с диапазона адресов прова постоянно сканируют порты на моем шлюзе.
>хотя у меня у одного из провов я получаю вообще полную копию
>всего трафика, который у них бегает, включая внутренний и трафик других
>клиентов, как будто мы присоединены к их хабу (даже не свичу!)...
>
;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Адрес 172.19.X.X"

Сообщение от Михаил on 27-Окт-03, 18:27  (MSK)

>Это html-трафик, идущий по ssl-соединению с 443 порта. Соединение инициируется мной. В
>целом, ситуация штатная, единственное, что вызвало недоумение - как это я
>должен узнавать, какие адреса у прова легальные?
а зачем это узнавать? адрес серый, значит в дроп его!
>Или вообще весь трафик
>форвардить?
а уж тем более, зачем куда-то форвардить эти левые пакеты???
в дроп, однозначно!
>Так с диапазона адресов прова постоянно сканируют порты на моем
>шлюзе.
возможно, сканируют на предмет дыр, в качестве самозащиты и защиты других клиентов...
а может, админ хулиганит... возможно, даже, не провайдерский, а другого клиента, если сетка прова это позволяет...
в любом случае, думаю, вопрос надо поднимать на высокий уровень, чтобы директора меж собой поговорили и прекратили это все или перевели на договорные отношения, либо вообще забить на это все, предварительно аккуратно настроив файерволл.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Адрес 172.19.X.X"

Сообщение от andy_coocker on 27-Окт-03, 16:57  (MSK)

>
>>Так вот, уважаемый All, подскажите, является ли такая ситуация нормой?
>скажу так, что это не общепринято!
>
А мой пров, когда мы на выделенку подключились, сканил меня на предмет open smtp relay и public proxy.
Я вначале подумал, что кул хацер какой завёлся, взял да маляву в саппорт написал. Они сказали, что это их проделки и пообещали выключить сканинг...
... Выключили :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Адрес 172.19.X.X"

Сообщение от nobody4 on 28-Окт-03, 08:53  (MSK)

> зачем это узнавать? адрес серый, значит в дроп его!
К сожалению, все не так однозначно. На этом адресе, как оказалось, сидит служба статистики (ну там трафик, деньги, и т.д. и т.п.) и эта самая служба зело нужна. Мне ведь не трудно открыть определенный адрес, да ведь как его узнать. Провский админ так прямо и сказал: могу, грит, хучь счас адрес поменять и никому не скажу! Приходится на предмет выискивания адресов вместо безмолвного дропа все syslogd'ить и сканить логи iptables.
> возможно, сканируют на предмет дыр, в качестве самозащиты и защиты
> других клиентов...
Во-во, на предмет самозащиты. По его мнению, я должен для его сети открыть ворота пошире :)
> а может, админ хулиганит... возможно, даже, не провайдерский,
> а другого клиента, если сетка прова это позволяет...
Да, админы - они такие. Фулюганы.
> либо вообще забить на это все, предварительно аккуратно настроив
> файерволл.
Вот я так и сделал.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Адрес 172.19.X.X"

Сообщение от Michael on 28-Окт-03, 14:24  (MSK)

>> зачем это узнавать? адрес серый, значит в дроп его!
>К сожалению, все не так однозначно. На этом адресе, как оказалось, сидит
>служба статистики (ну там трафик, деньги, и т.д. и т.п.) и
>эта самая служба зело нужна. Мне ведь не трудно открыть определенный
>адрес, да ведь как его узнать. Провский админ так прямо и
>сказал: могу, грит, хучь счас адрес поменять и никому не скажу!
а за такие вещи надо по шапке давать!
если ему что-то нужно - пусть выставляет это в технических условиях в договоре или в других официальных бумагах с указанием всех адресов, портов и т.п.!
а то, что происходит, имхо, полная самодеятельность!
>> возможно, сканируют на предмет дыр, в качестве самозащиты и защиты
>> других клиентов...
>Во-во, на предмет самозащиты. По его мнению, я должен для его сети
>открыть ворота пошире :)
я бы не открыл...

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Адрес 172.19.X.X"

Сообщение от nobody4 on 28-Окт-03, 15:33  (MSK)

>а то, что происходит, имхо, полная самодеятельность!
Ну может, админу лень маскарад настроить, а может, он и не знает как :)
Спасибо всем откликнувшимся. IMHO, вопрос исчерпан.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Адрес 172.19.X.X"
Сообщение от Михаил on 27-Окт-03, 12:37 (MSK)
>админ сети провайдера отрезал: "..при выходе в интернет Вы входите >в нашу частную сеть и такие пакеты есть норма..". тогда можно немножко посниффить и посмотреть, а что же в этих пакетах? :) какие исходящие/входящие порты таких пакетов? обратный адрес всегда один и тот же или разный? пакеты направлены именно на твой адрес? какой протокол? udp, tcp, arp, какой-то еще? > На вопрос, >а где об этом (какие пакеты и адреса для данного >провайдера норма) узнать, сказали, что это тайна :(( это внутренняя тайна провайдера, которую он сам и разглашает :) некоторые провы скрывают внутреннюю адресацию, некоторые - нет, некоторые - частично... если эти пакеты служат для нестандартной реализации чего-либо, то это, имхо, плохо... впрочем, главное, что ты их дропаешь файерволлом! >Так вот, уважаемый All, подскажите, является ли такая ситуация нормой? скажу так, что это не общепринято! хотя у меня у одного из провов я получаю вообще полную копию всего трафика, который у них бегает, включая внутренний и трафик других клиентов, как будто мы присоединены к их хабу (даже не свичу!)...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Адрес 172.19.X.X"
	Сообщение от nobody4 on 27-Окт-03, 13:00 (MSK)
	>какие исходящие/входящие порты таких пакетов? >обратный адрес всегда один и тот же или разный? >пакеты направлены именно на твой адрес? >какой протокол? udp, tcp, arp, какой-то еще? Это html-трафик, идущий по ssl-соединению с 443 порта. Соединение инициируется мной. В целом, ситуация штатная, единственное, что вызвало недоумение - как это я должен узнавать, какие адреса у прова легальные? Или вообще весь трафик форвардить? Так с диапазона адресов прова постоянно сканируют порты на моем шлюзе. >хотя у меня у одного из провов я получаю вообще полную копию >всего трафика, который у них бегает, включая внутренний и трафик других >клиентов, как будто мы присоединены к их хабу (даже не свичу!)... > ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Адрес 172.19.X.X"
	Сообщение от Михаил on 27-Окт-03, 18:27 (MSK)
	>Это html-трафик, идущий по ssl-соединению с 443 порта. Соединение инициируется мной. В >целом, ситуация штатная, единственное, что вызвало недоумение - как это я >должен узнавать, какие адреса у прова легальные? а зачем это узнавать? адрес серый, значит в дроп его! >Или вообще весь трафик >форвардить? а уж тем более, зачем куда-то форвардить эти левые пакеты??? в дроп, однозначно! >Так с диапазона адресов прова постоянно сканируют порты на моем >шлюзе. возможно, сканируют на предмет дыр, в качестве самозащиты и защиты других клиентов... а может, админ хулиганит... возможно, даже, не провайдерский, а другого клиента, если сетка прова это позволяет... в любом случае, думаю, вопрос надо поднимать на высокий уровень, чтобы директора меж собой поговорили и прекратили это все или перевели на договорные отношения, либо вообще забить на это все, предварительно аккуратно настроив файерволл.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Адрес 172.19.X.X"
	Сообщение от andy_coocker on 27-Окт-03, 16:57 (MSK)
	> >>Так вот, уважаемый All, подскажите, является ли такая ситуация нормой? >скажу так, что это не общепринято! > А мой пров, когда мы на выделенку подключились, сканил меня на предмет open smtp relay и public proxy. Я вначале подумал, что кул хацер какой завёлся, взял да маляву в саппорт написал. Они сказали, что это их проделки и пообещали выключить сканинг... ... Выключили :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Адрес 172.19.X.X"
	Сообщение от nobody4 on 28-Окт-03, 08:53 (MSK)
	> зачем это узнавать? адрес серый, значит в дроп его! К сожалению, все не так однозначно. На этом адресе, как оказалось, сидит служба статистики (ну там трафик, деньги, и т.д. и т.п.) и эта самая служба зело нужна. Мне ведь не трудно открыть определенный адрес, да ведь как его узнать. Провский админ так прямо и сказал: могу, грит, хучь счас адрес поменять и никому не скажу! Приходится на предмет выискивания адресов вместо безмолвного дропа все syslogd'ить и сканить логи iptables. > возможно, сканируют на предмет дыр, в качестве самозащиты и защиты > других клиентов... Во-во, на предмет самозащиты. По его мнению, я должен для его сети открыть ворота пошире :) > а может, админ хулиганит... возможно, даже, не провайдерский, > а другого клиента, если сетка прова это позволяет... Да, админы - они такие. Фулюганы. > либо вообще забить на это все, предварительно аккуратно настроив > файерволл. Вот я так и сделал.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Адрес 172.19.X.X"
	Сообщение от Michael on 28-Окт-03, 14:24 (MSK)
	>> зачем это узнавать? адрес серый, значит в дроп его! >К сожалению, все не так однозначно. На этом адресе, как оказалось, сидит >служба статистики (ну там трафик, деньги, и т.д. и т.п.) и >эта самая служба зело нужна. Мне ведь не трудно открыть определенный >адрес, да ведь как его узнать. Провский админ так прямо и >сказал: могу, грит, хучь счас адрес поменять и никому не скажу! а за такие вещи надо по шапке давать! если ему что-то нужно - пусть выставляет это в технических условиях в договоре или в других официальных бумагах с указанием всех адресов, портов и т.п.! а то, что происходит, имхо, полная самодеятельность! >> возможно, сканируют на предмет дыр, в качестве самозащиты и защиты >> других клиентов... >Во-во, на предмет самозащиты. По его мнению, я должен для его сети >открыть ворота пошире :) я бы не открыл...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Адрес 172.19.X.X"
	Сообщение от nobody4 on 28-Окт-03, 15:33 (MSK)
	>а то, что происходит, имхо, полная самодеятельность! Ну может, админу лень маскарад настроить, а может, он и не знает как :) Спасибо всем откликнувшимся. IMHO, вопрос исчерпан.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх