Выявление и блокирование хостов за NAT'ом

Из мануала по iptables: Дело в том, что отдельные провайдеры очень не любят когда одно подключение разделяется несколькими компьютерами. и тогда они начинают проверять значение TTL приходящих пакетов и используют его как один из критериев определения того, один компьютер «сидит» на подключении или несколько.

ps возможно есть еще другие методы

http://www.sflow.org/detectNAT/

уходить от таких жидовских провайдеров. давить их нужно!

Куда же ты от монополиста уйдёшь.

не знал, возьму на заметку. Раньше думал что можно попалить только на разном TTL(хотя с помощью iptables можно принудительно выставить TTL), а оказывается не все так просто...

попробуйте iptables -t mangle -A PREROUTING -i внешний_интерфейс -j TTL --ttl-set 64

про выявить уже написали

>Дело в том, что отдельные провайдеры очень не любят когда одно подключение разделяется несколькими компьютерами.

С этим никогда не сталкивался, и смысла не понимаю, какая ISP разница? Или они боятся, что я перепродавать начну, или колхоза, чушь какая то.

http://www.linux.org.ru/forum/admin/1972764

Раньше такое встречал, сейчас не знаю. Это хороший способ заработать денег на стоимости подключения, особенно если провайдер один в доме, тогда и цену можно ломить раза в 2 выше, чем в соседнем доме, где уже есть конкурент.

А сейчас, когда в доме 2-3 провайдера, и они регулярно бесплатно переподклчают при условии разрыва договора с конкурентом, детектирование NAT, ИМХО, умерло.

Хотя СОРМ, вроде, остался. Может провайдер здесь себе «соломку подстилает».

А отдельный вопрос, вот провайдер запрещает NAT, а если на одном хосте несколько гостевых OC с разным настройками TTL, это NAT или нет?

>>С этим никогда не сталкивался, и смысла не понимаю, какая ISP разница? Или они боятся, что я перепродавать начну, или колхоза, чушь какая то.

Для меня это тоже загадка

>а если на одном хосте несколько гостевых OC

Дома Wi-Fi роутер, там бук, нетбук, телефон, 2 компа, серверок, и не у меня одного не один. Сейчас уже и телевизоры с IP, не говоря уже о разных коробках к нии. Да и один бы комп был, все равно не вешал на него ихний ppp, спрятал-бы за NATом.

Да, NAT, именно из-за этого я и написал сюда.

Может я слишком пьян, но я не понял, к чему ваш пост. В том плане, что мне не важно, сколько у вас железа за NAT'ом, я не ваш провайдер, и вобще не провайдер :)

Но несколько лет назад я видел, может даже на ЛОРе, как один представитель провайдера плакался, как плохо, когда NAT. Они недополучают денег и подключают дома в убыток себе, бедненькие :))

Ну, если виртуалки будут считаться NAT'ом, то может держать это как аргумент в споре с провайдером. Как я понимаю, вы ведь не провайдер?

То есть в случае чего придти к ним в офис и в развёрнутой форме, желательно письменно, объяснять, что комп у вас один, а нужна одна программа из Винды и одна из Линуса. По моему опыту, письменная претензия на имя директора действует лучше, чем долгие разговоры с техподдержкой...

Нет, провайдер не я.

Жалобы пишем, да. Открывают после такого, да. Но обойти тоже нужно знать как.

Как мне показалось, это совсем уж криминалистические методы. Т.е. в реальной жизни и в реальной работе сетей вряд-ли кто станет такое делать.

Мне вот интересно, у меня роуетр с Wi-Fi, как, наверное у многих. Приезжают ко мне гости довольно часто, естественно люди почти всегда подрубаются к моему Wi-Fi. Как это с точки зрения юриспреденции?

Если это нормально, то тогда факт, что я раздаю интенет соседям без налогооблагаемого взимания с них денег считается нарушением? чем? почему оно отличается?

Если я сисадмин, у меня дома есть тестовый сегмент, который лежит домашней сети на котором я тестирую всякие решения. Получится, что у устройств внутри этого террариума TTL относительно моего корневого роутера +3, это сразу же почти отсеют, но ведь я ничего не нарушал.

Короче задача больше юридическая, чем техническая.

Может я слишком пьян, но я не понял, к чему ваш пост.

к тому, что за натом может быть и 1 железка, просто кому-то так удобнее. и провайдер «недополучать» денег не будет

Проверять если и будут, то только при существенном скачке трафика. И скорее по используемым «одним» хостом портам, TTL и прочим очевидным вещам. А это никак не скроешь.

А вот всякие умные техники (типа учета ID пакетов) никто использовать не будет, нафиг оно никому не надо. Точнее, обычно в компаниях для которых чужой NAT - трагедия, нет таких специалистов.

Особенно боятся, когда трафик внутри сети нелимитированый и бесплатный :) Контора может сидеть на нищебродском подключении 1 мегабит, а реально иметь 100500 этих мегабит :) Собсна, у нас так и делают.

>Особенно боятся, когда трафик внутри сети нелимитированый и бесплатный

Т.е. боятся не денег, а что канал просадим.

Ага, когда я подключался (давно...) они давали свой проксик, никогда его не использовал. Вроде как внутрисетевой трафик получается, надо пробовать, работает ли сейчас, и что это даст.

прочим очевидным вещам

Каким?

Т.е. боятся не денег, а что канал просадим.

для них это эквивалентно, потому что канал не выдержит и 1/10 загрузки, которую по тарифам проплатили пользователи. Провайдеры не продают гарантированное пропускание.

>Открывают после такого, да. Но обойти тоже нужно знать как.

Пардон, открывают ЧТО? Провайдер блокирует твою учетку или как-то умудрятся блокироват NAT?

А вообще, либо менять такого гнусного провайдера, либо писать жалобы в анимонополный комитет. В последнее время их там очень любят и ждут.

>Жалобы пишем, да. Открывают после такого, да.

Пишите жалобу, официально регистрируете у них в приемной, получаете ответ. Если ответ не устраивает пишите жалобу «куда надо» прилагая копии предыдущей жалобы и ответа на нее, формулируя «какого лысого черта нехороший провайдер не разрешает мне подключаться к сети за пользование которой я плачу ему деньги. Использую повсеместно продающееся устройство длинк-ххх применение которого не запрещено ничем»

Они умудряются НАТ блочить.

>Они умудряются НАТ блочить.

Бр-бр-бр. В смысле? Как это проявляется?

Блин, не поверишь — не работает :).

>Блин, не поверишь — не работает :).

Не поверю! Что именно не работает и что именно работает?

Из сервера всё работает, из клиентов за НАТом всё спотыкается на шлюзе.

>Из сервера всё работает, из клиентов за НАТом всё спотыкается на шлюзе.

Тогда гипотеза H1: провайдер вычисляет max(TTL) с твоего IP за период, затем блокирует TTL < max(TTL).

Вот эту гипотезу и будем проверять после следующей блокировки.

>будем проверять после следующей блокировки

А может лучше сразу NATить отдельной железкой?

Мопед не мой :).

>Из сервера всё работает, из клиентов за НАТом всё спотыкается на шлюзе.

Я бы поставил на кривые настройки шлюза на клиентах или настройках форварда сервера :)

Очень сомневаюсь что можно эффективно (для автоматической блокировки) отслеживать NAT. ОС - ну еще ладно, какой-то p0f демонизировать, анализировать результаты в надежде на точ что они правильные. Но не NAT сам по себе.

>Каким?

Когда нам это еще было надо, мы смотрели самых злостных качальщиков - по объемам трафика уже и так понятно что там сетка (а если нет объемов - то и фиг с ней).

А дальше сканер в руки и пытаешься понять что за трафик идет. Ну не может один пользователь играть во все игры сразу, смотреть четыре фильма онлайн и сидеть на 40 сайтах (я не про вкладки). А если и может, то он такой нафиг не нужен, отключать под любым предлогом.

Т.е. никакой автоматизации, о которой ты говоришь, нет.

Проблема точно не в шлюзе. Я всё-таки думаю, что они смотрят по TTL. Проверим — напишу.

Обычные wi-fi роутеры реализуют подключение нескольких компьютеров именно как NAT. Провайдер по определению не может его запретить, потому что у тогда 90% пользователей отвалится интернет и они уйдут к другому провайдеру.