Internetserver sollten keine privaten IP-Bereiche wie 192.168.xx routen
Wie wird das erreicht? Muss ein Administrator eine spezielle Firewall-Regel auf dem Router aktivieren oder ist diese in der Hardware/Firmware/dem Kernel des Routers codiert?
Antwort1
Die meisten ISPs haben fest codierte ACLs, um das Routing von privatem Datenverkehr zu verhindern. Falls dies nicht der Fall ist, verhindert das Fehlen einer auffindbaren Rücksendeadresse, dass diese Pakete überhaupt irgendwohin gelangen. BGP (Border Gateway Protocol), das zentrale Routing-Protokoll des Internets, gibt nur öffentliche Routen bekannt.
Auf mit dem Internet verbundenen Cisco-Routern findet man häufig eine ACL ähnlich der folgenden:
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 169.254.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.0.255.255 any
Dadurch wird verhindert, dass private Adressen, einschließlich APIPA- und Loopback-Adressen, eine Routerschnittstelle durchlaufen, nachdem sie über eine Zugriffsgruppe angewendet wurden.
Die Firmware einiger SOHO-Router verfügt über diese Funktion über integrierte Funktionen.
Antwort2
Sie müssen besser verstehen, wie das Internet und das Routing funktionieren.
Private IP-Adressbereiche stehen anderen Unternehmen schlicht nicht zur Verfügung. Sie werden von einem RIR registriert.
Dies ist der Whois-Eintrag für 192.168.0.1:
NetRange: 192.168.0.0 - 192.168.255.255
CIDR: 192.168.0.0/16
OriginAS:
NetName: PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
NetHandle: NET-192-168-0-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
Comment: This block is used as private address space.
Comment: Traffic from these addresses does not come from IANA.
Comment: IANA has simply reserved these numbers in its database
Comment: and does not use or operate them. We are not the source
Comment: of activity you may see on logs or in e-mail records.
Comment: Please refer to http://www.iana.org/abuse/
Comment:
Comment: Addresses from this block can be used by
Comment: anyone without any need to coordinate with
Comment: IANA or an Internet registry. Addresses from
Comment: this block are used in multiple, separately
Comment: operated networks.
Comment:
Comment: This block was assigned by the IETF in the
Comment: Best Current Practice document, RFC 1918
Comment: which can be found at:
Comment:
Comment: http://www.rfc-editor.org/rfc/rfc1918.txt
RegDate: 1994-03-15
Updated: 2011-04-12
Ref: http://whois.arin.net/rest/net/NET-192-168-0-0-1
Wenn ein beliebiger Internetanbieter versuchen würde, es in seiner (öffentlich zugänglichen/mit dem Internet verbundenen) Infrastruktur zu verwenden, und er die Routen auf einem Router entsprechend konfiguriert hätte, stünde einer internen Verwendung nichts im Wege.
Wenn sie jedoch beginnen, diese IPs über DHCP/statisch an ihre Abonnenten zu vergeben, und ihre Kunden diese Adressen auch intern verwenden, könnte dies auf der Clientseite zu einigen sehr interessanten Problemen führen.
Außerdem verbinden sich Internetanbieter über verschiedene Methoden miteinander. Sofern nicht jeder andere ISP auch Routen hinzufügt, wird er einfach nicht erreichbar sein.
Und das, ohne auf BGP oder kompliziertere Dinge einzugehen ...
... Um es ein bisschen einfacher zu machen ...
Sagen wir es so: Jeder ISP kann jeden beliebigen IP-Block verwenden, aber damit das Internet funktioniert, muss er die Art und Weise konfigurieren, wie jeder die anderen weiterleitet. Die privaten IP-Bereiche werden nur von der Behörde reserviert/registriert, die andere IP-Blöcke zuteilt.
Auf die gleiche Weise kann ich problemlos öffentliche IP-Adressbereiche in meinem internen Netzwerk verwenden, aber externe Personen können ohne das Hinzufügen ihrer eigenen benutzerdefinierten Routen nicht auf mein Netzwerk routen.
**Ich habe ein paar Mal versucht, dies umzuschreiben, es ist eine ziemlich komplexe Situation und schwer zu erklären … Wenn Sie noch weitere Fragen haben, können Sie diese gerne stellen. **
Antwort3
Wenn ein beliebiger Internetanbieter versuchen würde, es in seiner (öffentlich zugänglichen/mit dem Internet verbundenen) Infrastruktur zu verwenden, und er die Routen auf einem Router entsprechend konfiguriert hätte, stünde einer internen Verwendung nichts im Wege.