Se supone que los servidores de Internet no deben enrutar rangos de IP privados como 192.168.xx.
¿Cómo logran esto? ¿Debería un administrador habilitar una regla de firewall específica en el enrutador o está codificada en el hardware/firmware/kernel del enrutador?
Respuesta1
La mayoría de los ISP tendrán ACL codificadas para evitar el enrutamiento del tráfico privado. En caso de que no lo hagan, la falta de una dirección de remitente localizable impedirá que estos paquetes lleguen a cualquier parte. BGP (Border Gateway Protocol), el protocolo de enrutamiento central de Internet, solo anuncia rutas públicas.
Es común encontrar una ACL similar a la siguiente en los enrutadores Cisco con acceso a Internet:
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 169.254.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.0.255.255 any
Esto bloqueará las direcciones privadas, incluidas APIPA y las direcciones de bucle invertido, para que no atraviesen una interfaz de enrutador después de aplicarse a través de un grupo de acceso.
El firmware de algunos enrutadores SOHO tiene esta funcionalidad incorporada.
Respuesta2
Debe comprender mejor cómo funcionan Internet y el enrutamiento.
Los rangos de direcciones IP privadas simplemente no están disponibles para que los utilicen otras empresas. Están registrados por un RIR.
Este es el registro Whois de 192.168.0.1:
NetRange: 192.168.0.0 - 192.168.255.255
CIDR: 192.168.0.0/16
OriginAS:
NetName: PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
NetHandle: NET-192-168-0-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
Comment: This block is used as private address space.
Comment: Traffic from these addresses does not come from IANA.
Comment: IANA has simply reserved these numbers in its database
Comment: and does not use or operate them. We are not the source
Comment: of activity you may see on logs or in e-mail records.
Comment: Please refer to http://www.iana.org/abuse/
Comment:
Comment: Addresses from this block can be used by
Comment: anyone without any need to coordinate with
Comment: IANA or an Internet registry. Addresses from
Comment: this block are used in multiple, separately
Comment: operated networks.
Comment:
Comment: This block was assigned by the IETF in the
Comment: Best Current Practice document, RFC 1918
Comment: which can be found at:
Comment:
Comment: http://www.rfc-editor.org/rfc/rfc1918.txt
RegDate: 1994-03-15
Updated: 2011-04-12
Ref: http://whois.arin.net/rest/net/NET-192-168-0-0-1
Si algún proveedor de Internet intentara usarlo en su infraestructura (pública/conectada a Internet) y configurara las rutas en un enrutador en consecuencia, no habría nada que le impidiera usarlo internamente.
Sin embargo, si comienzan a proporcionar estas direcciones IP a sus suscriptores a través de DHCP/estático, y sus clientes también usan estas direcciones internamente, podría generar algunos problemas muy interesantes en el lado del cliente.
Además, los proveedores de Internet se conectan entre sí mediante diversos métodos. A menos que todos los demás ISP también agreguen rutas, simplemente no será accesible.
Esto es sin entrar en BGP ni nada más complicado...
... Para intentar hacerlo un poco más sencillo...
Dicho de esta manera, cualquier ISP puede usar cualquier bloque de IP que desee, pero, para que Internet funcione, debe configurar la forma en que cada ruta se conecta entre sí. Los rangos de IP privados simplemente están reservados/registrados por la autoridad que distribuye otros bloques de IP.
De la misma manera, puedo usar fácilmente rangos de direcciones IP públicas en mi red interna, pero las personas externas/externas no podrán enrutar a mi red sin agregar sus propias rutas personalizadas.
** He intentado reescribir esto varias veces, es una situación bastante compleja y difícil de explicar... Si tiene alguna otra pregunta de seguimiento, no dude en preguntar. **
Respuesta3
Si algún proveedor de Internet intentara usarlo en su infraestructura (pública/conectada a Internet) y configurara las rutas en un enrutador en consecuencia, no habría nada que le impidiera usarlo internamente.