Mislim da ti paketi ne prolaze preko cgnata već svi vi korisnici koji ste iza cgnata nalazite se u jedno velikoj lokalnoj mreži. Tako da postoji mogućnost da da neki korisnik kome je računar zaražen virusom broadcastuje svašta nešto i da to preko loklne telekomove mreže koja je iza NAT-a dolazi do tebe.
Iz kog adresnog opsega dolaze ti paketi. CGNat opseg je 100.64.0.0/16 do 100.127.0.0/16

ali vidi kojes su adrese


Recimo ova 85.3.155.12;
Bluewin Contact Role
address: Swisscom (Schweiz) AG
address: Internet Service Core Networks
address: INI-DOS-DPS-BNS
address: Binzring 17
address: CH-8045 Zurich
address: Switzerland
abuse-mailbox: [email protected]

nije to sa lokalne mreze, to je spolja.

Vidim da je DST adresa 192.168.0.10. pretvostavljam da je to dvoj računar u tvojoj lokalnoj mreži. Pretpostavljam da imaš neki telekomov ruter koji takođe mora da radi nat. Jedini način da dobiješ ovakav paket je da tvoj računar ili neki računar iz tvoje lokalne mreže pošalje fake paket gde je lažirao svoju src adresu i stavio 192.168.0.10. Razni spam botovi rade ovakve stvari. Viđao sam to kad fasuju virus neki kineski DVR uređaji. Ruteri u nat tablelama zapamte koju lokalnu da prevedu u tvoju javnu. To isto zapamti i CGnat ruter. Za početak bih izčupao ruter iz struje. Možda se zaludeo i da se obriše nat tabela. U drugom koraku ugasio wifi na ruteru i ostavio samo taj jedan računar u mreži. I proverio da li stižu paketi.

PS: Vidim da ti je ruter Cisco SPVTG-DPC2325R2 DOCSIS2.0

Pazi dobija se na tu adresu zato sto je DMZ host i zato sto ruter sve dolazne pakete samim ti u forvarduje. Mislim da ti prica ne pije vodu jer ovo su paketi sa neta koja ruter forvarduje na DMZ host.

Jel moze prepaid mts net na dopunu da se dmz uje iako mi to nikad nije uspevalo ni sa adsl netom.Neznam kako se to radi pa ako moze neko uputstvo i dal moze na privatnim ip adresama na ap gprsinternet kod mts a prepraid?

DMZ je samo feature rutera, tj to je kada proglasis host da prima sve dolazne konekcije, umesto pojedinacno da setujes forvard portova.

Da li si probao da ocistis NAT tabelu na svom ruteru (ili da restartujes ruter)? Da li se nakon toga javljaju isti probemi?

Jel to moze na cg natu? Ako moze da probam,na cgnatu nemam nista forvardovano.Trebao bi mi pristup udaljenom cgnat ruteru i to je extra a ako moze i kameri na njemu puna kapa.Jel javio mi se problem veliki da moram da reboot a nemam vremena kada da odem na tu lokaciju jos bi bolje bilo da imam pristup na ip kameri a to ako moze 2 dmz da natuje gura ih wd8968 koji moze da radi i kao 3g modem , radi na mts ovom usb modemu prepaid


Nat tabela mi je cista jer nista nisam mogao sa cgnat ni znao da natujem.Trenutno nemam nikakav pristup pa mi za ubuduce treba predznanja.

Host bi znao da izvedem dugo radim preko noip.com i i ma taj modem tu opciju u svom stock u to je tplink adsl modem wd8968 koji ima opciju da radi kao 3g modem, sad pitanje je sta kad se promeni ip adresa iako se on nikad ne gasi ? ali sta onda kraj hosta?

al za noip mora natovanje a to ne moze na cg nat sta onda a i cgnat ip adrese su privatne izgleda da slabo ja tu sta mogu

<sub>[Ovu poruku je menjao DUSKEZ dana 13.04.2021. u 16:20 GMT+1]

[Ovu poruku je menjao DUSKEZ dana 13.04.2021. u 16:21 GMT+1]

[Ovu poruku je menjao DUSKEZ dana 13.04.2021. u 16:21 GMT+1]</sub>

Evo setih se da imam u kolima mifi isto 3g telenorov isto na prepaid pa bi mogao na njemu dmz da probam molim te Branislave druze kazi mi sta da radim

_{[Ovu poruku je menjao DUSKEZ dana 13.04.2021. u 16:27 GMT+1]}

evo sta sve ima u vezi dmz i nat a

https://i.imgur.com/4CJ4HSd.jpeg

https://i.imgur.com/MQVqMs8.jpg

_{[Ovu poruku je menjao DUSKEZ dana 13.04.2021. u 16:35 GMT+1]}

a wd8968 nema alg sip port koliko znam

_{[Ovu poruku je menjao DUSKEZ dana 13.04.2021. u 16:35 GMT+1]}

Bane pomozi brate

Instalirao sam ngrok.exe na win 7 e sad jel moze on da radi na tplik stock fw ru ili mora opnewrt? ako moze open wrt? i kako da postavim da bude klijent taj ruter? spominje se neki vpn koji vpn da koristim da je free?

naisao sam na netu yt snimku how to disable cg nat i zvali su neki tagalog i sa nekim pricao na fb i jos uz to dobio 100 mbps ddl e sad meni treba nat na cg natu? to mi treba ko parce leba otvoreno iskreno

Nema to veze sa time. Ruter od epc3925 dobija paket sa tom dolaznom adresom na taj taj i taj port i dropuje. Jedino sto nisam probao je
da vidim da probam isto to da uradim sa natovane adrese pa da vidim jel ce bas da forvarduje kod mene provajder.

Inace zaboravio sam da kazem, a mislim da je bitno ovo se ne desava 24/7 nego samo u nekim periodima i nije uvek isti port koji gadjaju.

Aha, ti nakon WAN rutera (EPC3925) imas jos jedan ruter. Nisam to shvatio tako, ok ... Onda je u pitanju NAT na EPC3925, pa treba da pokusas da resetujes EPC.

Takodje, proveri da na EPC nije postavljen neki port forwarding. Ali ovde mislim da je nesto drugo.

Mala ilustracija: kada neko iz tvog LAN-a (npr. taj PC sa adresom 192.168.0.10) ide na net, EPC3925 njegovu privatnu adresu NAT-ira u javnu koji dobija DHCP-om od provajdera. PC tom prilikom alocira source port npr. 12345 i pokusava da uspostavi konekciju. (192.168.0.10, 54468) => (129.234.1.3, 443). Kada takav TCP paket dodje na ruter, on alocira odlazni port iz svog opsega i pokusava da uspostavi vezu (198.51.100.33, 52124) => (129.134.1.3, 443), gde je 198.51.100.33 javna adresa koju si dobio od provajdera. Mapiranje (198.51.100.33, 52124) <=> (192.168.0.10, 54468) je NAT entry koji ostaje na EPC-u sve dok traje TCP sesija, a nakon toga se brise kada mu istekne aging timer.

Medjutim, dok NAT aging timer ne istekne, tvoj EPC cuva asocijaciju (198.51.100.33, 52124) <=> (192.168.0.10, 54468) u svojoj NAT tabeli. Ako bi neko maliciozan od spolja gadjao na adresu 198.51.100.33 - port 52124, EPC to prosledjuje na (192.168.0.10, 54468). I opet cuva taj entry jer smatra da jos uvek ima saobracaja. Znam da to nema smisla, jer taj PC nema serverski proces koji slusa na portu 54468, vec je taj port bio koriscen od strane klijenta. Ali NAT asoscijacija moze da posluzi za neki dumb DDoS ka PC-u. A moguce je i da je PC fasovao neki virus koji slusa na portu 54468/tcp koji je prethodno koristio browser kao klijentski (source) port ka sajtu odakle je download-ovan virus ... kazem teoretski, jer to se i vidi:

Svi paketi imaju SYN, sto znaci da pokusavaju da uspostave konekciju ka 54468/tcp, a s obzirom da se SYN paketi ponavljaju PC verovatno ne reaguje na taj port. Ali i ne salje ICMP unreachable. Ili mozda salje, ali je taj ICMP negde filtriran.

Sta ako se koristi CGNAT? Princip je prakticno isti, samo sto tada imas dve asocijacije - npr:

* Na CGNAT gw kod provajera: (198.51.100.131, 63333) <=> (100.64.3.1, 61235)
* Na tvom EPC ruteru lokalno: (100.64.3.1, 61235) <=> (192.168.0.10, 154468)

Opet, ako neko gadja (198.51.100.131, 63333) dok oba NAT entry-a ostanu taj paket stize na (192.168.0.10, 54468).

Kao sto rekoh, probaj da resetujes EPC ...

Beri:"Ako bi neko maliciozan od spolja gadjao na adresu "

Moje pitanje je kako je to moguce sa obzirom na CG-NAT? Dakle nije sporno da paket *spolja* stize, pitanje je kako?

Pa objasnio sam ti gore - u trenutku kada PC otvori konekciju ka Internetu on mora da alocira lokalni port (npr. 54468). Na tvom EPC ruteru to kreira NAT entry. Na CGNAT ruteru kod provajdera to kreira drugi NAT entry. Taj entry stoji dok ne istekne NAT aging. Znaci, ti imas:

Kada neko gadja 198.51.100.131 na portu 63333/tcp to stize na CGNAT gateway, koji zameni destination IP+port kombinaciju novom (100.64.3.1, 61235) i posalje paket napolje. Ruteri u mrezi sada vide destination IP 100.64.3.1 i salju paket na tu adresu, a to je tvoj EPC. Kada paket stigne na tvoj EPC, on radi lookup u svojoj NAT tabeli, gde otkrije da je port 61235/tcp mapiran na PC (192.168.0.10, 54468), pa zameni odredisnu IP adresu novom [192.168.0.10], a destination TCP port novim (54468/tcp) i sibne taj paket ka PC-u koji to primi na portu 54468/tcp.

Niko ne gadja direktno privatnu adresu [192.168.0.10], vec javnu [198.51.100.131], ali zahvaljujuci nacinu na koji NAT radi tvoj PC postaje direktno vidljiv sa globalne mreze.

Naravno, sve to moze dok ne istekne NAT aging timer, bilo na CGNAT bilo na EPC3925 ... A mozes i da se lognes na EPC i izbrises NAT tabelu (ili jednostavno resetujes EPC) - tada taj NAT entry vise nece postojati, pa samim tim vise neces ni videti pakete ka PC-u.

Inace, ovo gore je klasican dokaz da privatne adrese i NAT ne pruzaju nikakvu zastitu. Imas i detaljniju pricu o tome ovde.

Hvala Beri sad je jasno. Dakle nat propusti moj dolazni port prakticno sve dok je ostvarena konekcija ka polja i ovi se na to nakace ;)
To deluje logicno ;)

Jedno usput pitanje, podrska sbb kaze korisniku koji je iza nat-a da moze da proba da restartuje ruter i da mozda ubode neku slobodnu adresu koja nije nat-ovana (ako tako moze da se kaze). Kolika je verovatnoca da je to uopste moguce da mozes da pokupish javnu dinamicku adresu ovako?

Tesko da ce to bas tako prosto da radi ... osim ako oni to nisu bas tako lose namestili, u sta sumnjam, s obzirom da naplacuju staticke adrese.

Malo objasnjenje kako stvari rade: kada se cable modem (CM) kaci na mrezu, CMTS prihvata DHCP Request od njega, gde registruje njegovu MAC adresu. CMTS je tipicno konfigurisan kao DHCP Relay, pa DHCP pakete sa originalnom MAC adresom prosledjuje DHCP serveru (tipicno Cisco CNR ili neki slican). Kada korisnik prebaci CM u bridge mode, CM presrece DHCP Request i dodaje tom paketu opciju 82, u koju upisuje sopstvenu MAC adresu, tako da CNR moze da ga identifikuje.

U oba slucaja - CNR identifikuje korisnika na osnovu MAC adrese CM i svrstava ga u jednu od unapred definisanih klasa. Tu u igru ulazi i LDAP server, koga CNR konsultuje za to, a koji ima bazu korisnika i MAC adresa njihovih CM. Za svaku klasu konfigurise se pool javnih IP adresa odakle se dodeljuju adrese za CM, kao i next-hop (default gateway) koji CNR salje CM-u DHCP-om (opcija 3).

Na primer, ako provajder nudi staticke i CGNAT-ovane adrese i naplacuje ih razlicito, velika verovatnoca je da CNR ima dve odvojene klase koje koriste odvojene pool-ove javnih adresa i odvojene default rutere - jedan iz CGNAT opsega (tipicno 100.64.0.0/10) , a drugi za korisnike sa statickim adresama (neki javni opseg). CGNAT-ovani korisnici u DHCP opciji 3 dobijaju CGNAT kao next-hop, pa CMTS njihove pakete direktno prosledjuje CGNAT-u. Staticki korisnici dobijaju next-hop ka nekom drugom ruteru koji ih vodi direktno ka Internetu, mimo CGNAT.

Jedino ako konfiguracija u SBB NAT-ovane korisnike ponekad greskom ne svrstava u staticku klasu ... u sta cisto sumnjam.

P. S. Ovo je na osnovu rekonstrukcije secanja iz prethodne firme, gde sam se CMTS-ovima bavio veoma povrsno, tamo smo imali posebne ljude koji su se bavili samo time ... moguce je da sam nesto i lupio, ali veci deo bi trebalo da je tacan.

OK hvala. Valjda cemo preziveti narednih 10-15god dok IPv6 ne zazivi

Pomnoži to sa 2.

Beri, kod SBB-a izgleda svi klijenti idu na isti DHCP (i oni sa lokalnim adresama i oni sa javnim), pa kome opanci a kome obojci.
Ne bi me začudilo da ako se desi da potroši sve lokalne adrese krene da deli javne.

Pa ni IPv6 ti ne resava sve probleme. Ja recimo kod kuce imam IPv6 adresu i to lepo radi sa sajtovima koji su na IPv6 (svi iz "FAANG" CDN-ova su na IPv6, tako da tu nema problema). Medjutim, za sajtove koji ne podrzavaju IPv4 i dalje se koristi NAT ... Ok, zove se DSLite, ali to je zapravo opet obican NAT.

Bez veze je to, sto mora ipv4 adresa uz ipv6 adrese, ali mora, ne mozes mail da saljes i primas bez ipv4 adrese ;)
Mail nikad nece preci na ipv6 zbog nemogucnosti blokiranja spamera...