Özel bir IP adresini yönlendirilemez yapan şey nedir?

21

Ben gibi bu özel adresi anlaşılmadı 10.0.0.0/8, 172.16.0.0/12ve 192.168.0.0/16yönlendirilebilir değildir. Ancak, bu adreslerin yönlendirilebilir olmasını tam olarak ne engelliyor? ISS'ler bu ağların yönlendirilmesini engelleyen ACL'ler kullanıyor mu yoksa daha yüksek bir şey mi var?

Ayrıca, bu tasarımı yaratan IANA mı?

networking routing ipv4

— QuantumRads
kaynak

"Kamuya yönlendirilmeyecekleri GARANTİLİ OLDUĞU GİDİYOR MUSU, ve hala halkı yanlış yönlendiren biri var mı?" Şeklinde bir soru var mı?

— rackandboneman

3

Son sorunuza gelince: IETF bunları IANA'nın halka açık adres alanından çıkarılması için tanımladı. IPv4 için RFC1918 ve IPv6 için RFC4193

— Lenniey

3

Elbette yönlendirilebilirler. Yönlendiriciler genel dış adresinizden bir mesaj alır ve bir iç özel adrese "yönlendirir". Ağ Adresi Çevirisi'nin temellerini incelemenizi öneririz.

— Lakey

2

Lakey, halka açık web üzerinden yönlendirilemezler. Bu yüzden Nat neden gerekli ve IP adreslerini korumak için kullanılıyor? Cisco sınıfındayım ve profesörüm bu soruya cevap veremedi, bu yüzden buraya gönderiyorum.

— QuantumRads

1

Ayrıca, özel adreslerin özel bir ağda yönlendirilebildiğini ancak genel bir ağda olmadığını netleştirmeliydim.

— QuantumRads

39

Özel IP adresleri , halka açık olmamakla birlikte yönlendirilebilir. Temel olarak, bir yönlendirici özel bir adresi internet yerine özel / dahili LAN'a yönlendirir.

Bir yönlendirici: Cevabımı genişletmek için kutu varsayılan ağ geçidi üzerinden, rota kamu tarafına özel bir adres. Bununla birlikte, paket düşüren diğer yönlendiriciler nedeniyle veya paketin TTL'sinin 0'a ulaşması nedeniyle paket "kayıp" olur.

Örneğin, şuna bir bakın (kısmen şaşkın) traceroute -I -n 192.168.200.1:

[root@myhost ~]# traceroute -I -n 192.168.200.1
traceroute to 192.168.200.1 (192.168.200.1), 30 hops max, 60 byte packets
 1  x.x.x.x  0.851 ms  0.841 ms  0.818 ms
 2  6x.xx.xx.xx  0.791 ms  0.791 ms  0.849 ms
 3  15x.xx.xx.xx  1.350 ms  1.347 ms  1.373 ms
 4  15x.x.xx.xx  1.446 ms  1.435 ms  1.428 ms
 5  151.6.68.20  2.272 ms  2.266 ms  2.251 ms
 6  151.6.0.91  8.818 ms  8.256 ms  8.326 ms
 7  * * *
 8  * * *
 9  * * *
10  * * *
...
...
29  * * *
30  * * *

Gördüğünüz gibi, paket olan makinenin varsayılan ağ geçidi üzerinden kamusal internete yönlendirilir. Ancak, geçiş sırasında düşürülür ve hiçbir zaman uygun bir hedefe ulaşmaz.

Sonuçta, özel IP'ler / sınıflar (tanım gereği) müşteri arasında örtüşüyor, bu nedenle 192.168.200.x / 24 ağından hangisinin bu pakete yönlendirilmesi gerekiyor?

İlginç bir not: İnternet sağlayıcıları iç yönlendirme için sıklıkla özel adresler kullanır. Örneğin, özel bir 192.168.200.x / 24 sınıfları iç yönlendirme için kullanılması halinde, IP 192.168.200.1 birinci yönlendirici / makine olacaktır alma ama istenmeyen olduğu için, paket bırakma. ICMP ilginç bir istisnadır, çünkü yönlendirici / makineler genellikle istenmemiş PING'lere yanıt verir. Bu, bazen ISS'nizi özel ağınıza eşlemek için özel adres taramalarını kullanabileceğiniz anlamına gelir.

— shodanshok
kaynak

2

Bu nedenle, temel olarak, eğer IP adresi 10, 172.16-31 veya 192.168 ile başlıyorsa, yönlendiricinin harici internete değil (bir Şirket içinde, genel olarak harici bir şirkete değil) onları yalnızca dahili LAN ağı üzerinden gönderecek şekilde yapılandırılması gerekir. ağ geçidi). Bu 'özel ağları' buradan okuyabilirsiniz: en.wikipedia.org/wiki/Private_network

— Bruno

3

Yönlendirilmiş bir özel ağ kurduğunuzda, özel RFC1918 adreslerini (192.168, 172.16, 10) yönlendirmek çok nadir değildir.

— user253751

3

@ Bruno mutlaka değil. Bir yol kutu yol varsayılan ağ geçidine dış tarafında özel bir adres, ancak diğer yönlendiriciler sonunda bir döngüde paketleri veya yol bırakın (ve TTL 0 ulaştığında paket atılır).

— shodanshok

İSS ana yönlendiriciler hatta Do sahip bir varsayılan ağ geçidini? Ne olurdu?

— kubanczyk

Genellikle evet. Sonuçta, bir ISS'nin diğer ISS'lere yönelik paketleri yönlendirmesi gerekiyor ...

— shodanshok

9

Genellikle, özel IP adresleri ISS tarafından filtrelenir. Erişim yönlendiriciniz de sızıntı yapmaması için yapılandırılmalıdır.

Özel IP adresleri internette kullanılamaz çünkü herhangi biri onları kullanabilir . Özel olarak 192.168.1.1 kullanan birçok milyon cihaz var - hangisini paket göndermesi gereken İnternet yönlendiricisi?

Sıfırconf adresleri (169.254.0.0/16) aslında yönlendirilemez. Bunlar geçici olarak herhangi bir yerde kullanılabilir, ancak İnternet’e veya herhangi bir alt ağa erişemezler; Yönlendirilemezler çünkü yalnızca her cihazın kullanılmayan bir adresi kendi seçebileceği yayın alanı içinde geçerli olabilirler. Tanım olarak, zeroconf DHCP sunucusu gibi bir yönetim örneğine sahip değildir.

— Zac67
kaynak

6

Ancak, bu adreslerin yönlendirilebilir olmasını tam olarak ne engelliyor?

İletişim kuran kuruluşlar tarafından uygulanan kabul edilmiş standartlar. Bunlar yazılım, donanım ve yapılandırmalarda uygulanır.

ISS'ler bu ağların yönlendirilmesini engelleyen ACL'ler kullanıyor mu yoksa daha yüksek bir şey mi var?

Yapabilirler ama gerçekten durdurulan sadece standartlara uymayan geçersiz bir çeviridir.

Çoğu ev kullanıcısı gibiyseniz, genel IP adresi olarak size atanmış bir IP adresiniz vardır. Bağlanan tüm cihazlarınızdan gelen trafiğin iletişim kurması için yönlendirici, NAT (ağ adresi çevirisi) veya PAT (bağlantı noktası adresi çevirisi) kullanarak bu dahili IP adreslerinin çevirisini gerçekleştirir.

Temel olarak, yönlendiriciniz LAN'ınızdaki hangi yerel IP adreslerinin (yerel alan ağı) LAN'ınızın dışına, yönlendiriciden ve WAN (geniş alan ağı) arabiriminden ulaşan bir oturum başlattığını hatırlar. Veriler yönlendiriciden çıktığında, size kaynak IP olarak atanan o tek IP adresini içerir. Girdiğinde, paket hedef IP ile aynı adresi içerir. Yönlendirici oradan nereye yönlendirileceğine karar verir.

Dışarıya doğru, yönlendiricinin IP adresi olan yalnızca tek bir IP adresiniz vardır. Yönlendirici bu oturumları izleyebilir ve hangi trafiğin kendi LAN üzerindeki her bir IP adresine ait olduğunu belirleyebilir ve bu trafiği buna göre yönlendirir. Bu karmaşık bir yönetim sürecidir, ancak her yönlendiricideki her şeyin çevirildiğini anladığınızda fikir aslında oldukça basittir.

Ayrıca, çoğu ev yönlendiricisinin anahtarlama bağlantı noktaları vardır, bu sayede trafiğin IP adresi üzerinden değil, MAC adresi üzerinden iletilir. Paket içindeki kaynak MAC adresi bir yönlendiriciye basana kadar aynı kalır. Yönlendirici bu MAC adresini sorar ve kendi WAN arayüzünün MAC adresini ekler.

Ayrıca, bu tasarımı yaratan IANA mı?

Bu standartlar başlangıçta IANA tarafından tasarlanmamıştır. Bugün, standartları belirleme konusunda öncülük etmelerine rağmen, kesinlikle onları herhangi bir hukuk yolu ile zorlamıyorlar. Konsensüs yoluyla uygulanan standartlardır. RFC 791'i arayın.

Herkesin kendilerine uymaya istekli olduğu ölçüde "yetkileri" vardır. Bu standartlara uymak tamamen mümkündür ancak sonunda uygun bir şekilde ISS ile karşılaşacaksınız ya da uymanızı talep edecek ya da trafiğinizi bırakacaklar.

Umarım bu yardımcı olur..

— CipherBytes
kaynak

2

Bunun her kelimesi OP'nin özel sorusu ile ilgili olarak kafanın üzerindeki çiviyi vuruyor. Diğer cevaplar aslında doğrudur, ancak OP'nin kesin kargaşasını olabildiğince doğrudan ele aldıklarından emin değilim. Kilit nokta şudur: Kongre ve çoğu insan buna uymak istiyor .

— Monica ile Hafiflik Yarışları

1

@LightnessRacesinOrbit: Bu, temel olarak bu cevapta alıntılanmayan ilk kelimeyle kaplıdır, ki bu kesinlikle gerekmeyecektir ... Bu kelime, yaptığınız noktayı vurgulamaktadır. Yine de, italik metninizin bu konuyu daha iyi hale getireceğine katılıyorum.

— TOOGAM,

2

@TOOGAM: Evet, sadece onu destekliyorum. Dediğim gibi, bu cevabın mükemmel olduğunu düşünüyorum.

— Monica ile Hafiflik Yarışları 22:

1

Diğer cevaplardan açıklığa kavuşturulması gereken bir nokta olarak, yerel olarak kullandığınız özel IP adresleri İnternet'e yönlendirilmez çünkü yönlendirme tablosunda kendilerine özgü açık girişler vardır. İşte masaüstümdeki evden rota masam, örneğin:

$ ip route
default via 192.168.1.1 dev enp5s0 proto dhcp src 192.168.1.104 metric 1024 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
172.18.0.0/16 dev br-90a372f4b373 proto kernel scope link src 172.18.0.1 linkdown 
192.168.1.0/24 dev enp5s0 proto kernel scope link src 192.168.1.104 
192.168.1.1 dev enp5s0 proto dhcp scope link src 192.168.1.104 metric 1024

Not 172.17.0.0/16ve 172.18.0.0/16. Bu ağlara gelen paketler, bilgisayarımdan hiç çıkmadan doğrudan docker köprülerime gidecek, çünkü rota tablomda belirli bir girişi var. 192.168.1.0/24Giriş açıkça bu ağa trafik dışarı gidecek diyor enp5s0arayüz. Yönlendiricimin rota tablosu, masaüstümün bağlı olduğu arabirimden o özel ağ için tüm trafiği gönderecek şekilde benzer bir girişe sahip olacaktır.

Yalnızca varsayılan rotaya gidecek tabloda açıkça bulunmayan ağlar için paketler. Bir ağı açıkça erişilemez olarak işaretleyebilirsiniz:

$ ip route add unreachable 10.0.0.0/8

Bu benim rota tablomu şöyle değiştirir:

$ ip route
default via 192.168.1.1 dev enp5s0 proto dhcp src 192.168.1.104 metric 1024 
unreachable 10.0.0.0/8 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
172.18.0.0/16 dev br-90a372f4b373 proto kernel scope link src 172.18.0.1 linkdown 
192.168.1.0/24 dev enp5s0 proto kernel scope link src 192.168.1.104 
192.168.1.1 dev enp5s0 proto dhcp scope link src 192.168.1.104 metric 1024

Artık masaüstüm, varsayılan ağ geçidine o aralıktaki adresleri sormaya çalışmaz. Bu adres için yapılan aramalar derhal "Barındırılacak yol yok" ifadesini döndürür.

$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 60 byte packets
connect: No route to host

Güzergah tablosunda erişilemez olarak açıkça işaretlenmemiş erişilemeyen ağlar için paketler , paket ağın erişilemediğini açıkça bilen bir yönlendiriciye ulaşana veya TTL'nin süresi doluncaya kadar, varsayılan yollarla iletilmeye devam eder.

— Karl Bielefeldt
kaynak