Périphérique ADSL n'offrant pas de NAT DMZ avec NAT (IPv4)

0

J'ai un modem / routeur / commutateur ADSL qui effectue le NAT. Cela se fait même pour l'hôte, il peut être configuré pour fournir une zone démilitarisée.

Je veux pouvoir effectuer des analyses Nmap à partir d'un hôte spécifique et aucun NAT ne devrait avoir lieu pour cet hôte. Une des choses que je ne peux pas faire actuellement derrière NAT est nmap --tracerouteavec autre chose que ICMP. En même temps, je veux que les autres hôtes de mon réseau soient derrière le NAT. Mon FAI m'assigne une adresse IPv4 unique, mais je crois, en tant que client professionnel, que je peux demander une adresse supplémentaire.

Est-il techniquement possible pour un appareil de fournir ce type de fonctionnalité? Existe-t-il une classe de périphérique qui le fournit?

Extra: Pourquoi nmap --traceroute ne fonctionne-t-il pas?

Les travaux suivants fonctionnent comme prévu: -

nmap -sP -PE --traceroute scanme.nmap.org

TRACEROUTE (using proto 1/icmp)
HOP RTT       ADDRESS
1   16.00 ms  my.router (192.168.1.1)
2   55.00 ms  lo0.10.central10.ptn-bng01.plus.net (195.166.128.228)
3   42.00 ms  irb.10.ptw-cr02.plus.net (84.93.249.2)
4   37.00 ms  10gigabitethernet5-1.core1.lon1.he.net (5.57.80.128)
5   33.00 ms  10ge3-1.core1.lon2.he.net (72.52.92.222)
6   100.00 ms 100ge1-1.core1.nyc4.he.net (72.52.92.166)
7   183.00 ms 10ge9-7.core1.sjc2.he.net (184.105.213.197)
8   179.00 ms 10ge3-2.core3.fmt2.he.net (184.105.222.13)
9   176.00 ms router3-fmt.linode.com (65.49.10.218)
10  168.00 ms scanme.nmap.org (74.207.244.221)

Nmap done: 1 IP address (1 host up) scanned in 5.58 seconds

Cela ne fonctionne pas comme prévu: -

nmap -sP -PS80 --traceroute scanme.nmap.org

TRACEROUTE (using port 80/tcp)
HOP RTT       ADDRESS
1   ... 9
10  166.00 ms scanme.nmap.org (74.207.244.221)

Nmap done: 1 IP address (1 host up) scanned in 6.15 seconds

D'après ce que je comprends, my.router supprime les messages ICMP Time Exceeded provenant des tronçons intermédiaires et je pense que cela est dû au fait que mon.router attend des réponses TCP aux entrées TCP de sa table NAT et considère que les réponses ICMP sont non valides.

(J'ai demandé la version originale de cette question dans Ingénierie de réseau et on m'a conseillé de la poser ici)

jah
la source
Si vous avez une traduction nat 1: 1 statique entre adresses IP publiques et privées, cela nmap --traceroutene devrait pas poser de problème. Je ne pense pas vraiment que le NAT soit le problème ici; il semble que le problème est la surcharge PAT. Plus basique que tout ça ... qu'espérez-vous accomplir? Résoudre le nmapproblème ou poser une question théorique? Il semble que le « théorique: ce dispositif n'existe » partie de la question est sans objet si vous pouvez résoudre le nmapproblème ... non?
Mike Pennington
Je pense que ma question (en deux parties) est concrète, même si j’apprécie qu’elle puisse sembler un peu confuse. Je souhaite savoir si un périphérique peut fournir la technologie NAT à un réseau privé d’hôtes tout en exposant un hôte à Internet sans la technologie NAT; et si oui, quel type de périphérique peut fournir cette fonctionnalité.
Jah

Réponses:

1

Le NAT IPv4 (SNAT / MASQUERADE, pour être précis) ne peut pas être désactivé en mode passerelle. C'est le mode de fonctionnement de base d'un périphérique de passerelle Internet grand public.

Vous devrez passer en mode ponté, si possible, et utiliser la numérotation PPPoE à partir de l'hôte de votre choix. De cette façon, l'hôte sélectionné (et seul cet hôte) aura un accès Internet non filtré.

Vous ne recevrez pas d'adresse supplémentaire, ce qui est généralement une caractéristique des contrats commerciaux. Votre routeur ne peut probablement pas le gérer de toute façon.

L'hôte appelé DMZ est en réalité "l'hôte exposé". Il s'agit essentiellement de transférer tous les ports entrants vers cet hôte. Naturellement, ce n’est pas réellement une zone démilitarisée.

Daniel B
la source