J'ai un modem / routeur / commutateur ADSL qui effectue le NAT. Cela se fait même pour l'hôte, il peut être configuré pour fournir une zone démilitarisée.
Je veux pouvoir effectuer des analyses Nmap à partir d'un hôte spécifique et aucun NAT ne devrait avoir lieu pour cet hôte. Une des choses que je ne peux pas faire actuellement derrière NAT est nmap --traceroute
avec autre chose que ICMP. En même temps, je veux que les autres hôtes de mon réseau soient derrière le NAT. Mon FAI m'assigne une adresse IPv4 unique, mais je crois, en tant que client professionnel, que je peux demander une adresse supplémentaire.
Est-il techniquement possible pour un appareil de fournir ce type de fonctionnalité? Existe-t-il une classe de périphérique qui le fournit?
Extra: Pourquoi nmap --traceroute ne fonctionne-t-il pas?
Les travaux suivants fonctionnent comme prévu: -
nmap -sP -PE --traceroute scanme.nmap.org
TRACEROUTE (using proto 1/icmp)
HOP RTT ADDRESS
1 16.00 ms my.router (192.168.1.1)
2 55.00 ms lo0.10.central10.ptn-bng01.plus.net (195.166.128.228)
3 42.00 ms irb.10.ptw-cr02.plus.net (84.93.249.2)
4 37.00 ms 10gigabitethernet5-1.core1.lon1.he.net (5.57.80.128)
5 33.00 ms 10ge3-1.core1.lon2.he.net (72.52.92.222)
6 100.00 ms 100ge1-1.core1.nyc4.he.net (72.52.92.166)
7 183.00 ms 10ge9-7.core1.sjc2.he.net (184.105.213.197)
8 179.00 ms 10ge3-2.core3.fmt2.he.net (184.105.222.13)
9 176.00 ms router3-fmt.linode.com (65.49.10.218)
10 168.00 ms scanme.nmap.org (74.207.244.221)
Nmap done: 1 IP address (1 host up) scanned in 5.58 seconds
Cela ne fonctionne pas comme prévu: -
nmap -sP -PS80 --traceroute scanme.nmap.org
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 ... 9
10 166.00 ms scanme.nmap.org (74.207.244.221)
Nmap done: 1 IP address (1 host up) scanned in 6.15 seconds
D'après ce que je comprends, my.router supprime les messages ICMP Time Exceeded provenant des tronçons intermédiaires et je pense que cela est dû au fait que mon.router attend des réponses TCP aux entrées TCP de sa table NAT et considère que les réponses ICMP sont non valides.
(J'ai demandé la version originale de cette question dans Ingénierie de réseau et on m'a conseillé de la poser ici)
la source
nmap --traceroute
ne devrait pas poser de problème. Je ne pense pas vraiment que le NAT soit le problème ici; il semble que le problème est la surcharge PAT. Plus basique que tout ça ... qu'espérez-vous accomplir? Résoudre lenmap
problème ou poser une question théorique? Il semble que le « théorique: ce dispositif n'existe » partie de la question est sans objet si vous pouvez résoudre lenmap
problème ... non?Réponses:
Le NAT IPv4 (SNAT / MASQUERADE, pour être précis) ne peut pas être désactivé en mode passerelle. C'est le mode de fonctionnement de base d'un périphérique de passerelle Internet grand public.
Vous devrez passer en mode ponté, si possible, et utiliser la numérotation PPPoE à partir de l'hôte de votre choix. De cette façon, l'hôte sélectionné (et seul cet hôte) aura un accès Internet non filtré.
Vous ne recevrez pas d'adresse supplémentaire, ce qui est généralement une caractéristique des contrats commerciaux. Votre routeur ne peut probablement pas le gérer de toute façon.
L'hôte appelé DMZ est en réalité "l'hôte exposé". Il s'agit essentiellement de transférer tous les ports entrants vers cet hôte. Naturellement, ce n’est pas réellement une zone démilitarisée.
la source