Исправление firkax, (текущая версия) :
В случае SNAT, конечно подменный IP адрес должен быть на одном из интерфейсов
Вот именно, так что он не фейковый а полностью легитимный.
А в случае маршрутизации на роутере нет интерфейса с IP адресом отправителя
Если просто поставить роутер, который пересылает пакеты из одной сети в другую, и больше ничего не настраивать, то оно и не будет работать. Точнее, будет работать только в одну сторону без ответов. Вторую сторону тоже надо настроить, обычно это заключается либо в прописывании этого роутера default gateway тем компам из второй сети, либо в прописывании им маршрута конкретно до первой локалки через этот роутер. Как бы то ни было, компы из второй локалки благодаря ручной настройке знают, что надо слать пакеты именно этому роутеру. В случае интернета ручная настройка не принята, там используется BGP, про которое я же писал. Была бы ручная - перехватывать было бы намного сложнее, но и админить это всё было бы нереально.
проверяет ли роутер на который далее был передан пакет то, что IP адрес отправителя с которым пришёл пакет доступен через роутер который его переслал. Думаю что нет, т.к. это были бы большие накладки.
Роутер делает то, что ему скажут. Если ты настраиваешь сеть, то ты настроишь всё так, чтоб она работала. Домашние роутеры обычно и не умеют делать такие проверки, но некоторые умеют, а роутеры промышленного применения умеют наверно всегда, и у нормальных провайдеров они должны быть настроены на порезку всего незапланированного.
Поэтому всё же считаю, что такая подмена IP адреса отправителя на уровне роутера возможна.
Комп может слать от имени любых адресов, дело не в этом. Дело в том, что нормальный провайдер порежет это дело сразу по приходу фейкового пакета (клиенту выдали такой-то адрес, а он шлёт от другого). А если даже не порежет провайдер, то ответный пакет (если ты - не провайдер, перехвативший BGP, либо какая-то служба, сниффящая магистральный трафик) пойдёт уже настоящему адресу, а без него ты даже TCP-соединение открыть не сможешь.
Исправление firkax, :
В случае SNAT, конечно подменный IP адрес должен быть на одном из интерфейсов
Вот именно, так что он не фейковый а полностью легитимный.
А в случае маршрутизации на роутере нет интерфейса с IP адресом отправителя
Если просто поставить роутер, который пересылает пакеты из одной сети в другую, и больше ничего не настраивать, то оно и не будет работать. Точнее, будет работать только в одну сторону без ответов. Вторую сторону тоже надо настроить, обычно это заключается либо в прописывании этого роутера default gateway тем компам из второй сети, либо в прописывании им маршрута конкретно до первой локалки через этот роутер. Как бы то ни было, компы из второй локалки благодаря ручной настройке знают, что надо слать пакеты именно этому роутеру. В случае интернета ручная настройка не принята, там используется BGP, про которое я же писал. Была бы ручная - перехватывать было бы намного сложнее, но и админить это всё было бы нереально.
проверяет ли роутер на который далее был передан пакет то, что IP адрес отправителя с которым пришёл пакет доступен через роутер который его переслал. Думаю что нет, т.к. это были бы большие накладки.
Роутер делает то, что ему скажут. Если ты настраиваешь сеть, то ты настроишь всё так, чтоб она работала. Домашние роутеры обычно и не умеют делать такие проверки, но некоторые умеют, а роутеры промышленного применения умеют наверно всегда, и у нормальных провайдеров они должны быть настроены на порезку всего незапланированного.
Поэтому всё же считаю, что такая подмена IP адреса отправителя на уровне роутера возможна.
Комп может слать от имени любых адресов, дело не в этом. Дело в том, что нормальный провайдер порежет это дело сразу по приходу фейкового пакета (клиенту выдали такой-то адрес, а он шлёт от другого). А если даже не порежет провайдер, то ответный пакет (если ты - не провайдер, перезвативший BGP) пойдёт уже настоящему адресу, а без него ты даже TCP-соединение открыть не сможешь.
Исходная версия firkax, :
В случае SNAT, конечно подменный IP адрес должен быть на одном из интерфейсов
Вот именно, так что он не фейковый а полностью легитимный.
А в случае маршрутизации на роутере нет интерфейса с IP адресом отправителя
Если просто поставить роутер, который пересылает пакеты из одной сети в другую, и больше ничего не настраивать, то оно и не будет работать. Точнее, будет работать только в одну сторону без ответов. Вторую сторону тоже надо настроить, обычно это заключается либо в прописывании этого роутера default gateway тем компам из второй сети, либо в прописывании им маршрута конкретно до первой локалки через этот роутер. Как бы то ни было, компы из второй локалки благодаря ручной настройке знают, что надо слать пакеты именно этому роутеру. В случае интернета ручная настройка не принята, там используется BGP, про которое я же писал. Была бы ручная - перехватывать было бы намного сложнее, но и админить это всё было бы нереально.
проверяет ли роутер на который далее был передан пакет то, что IP адрес отправителя с которым пришёл пакет доступен через роутер который его переслал. Думаю что нет, т.к. это были бы большие накладки.
Роутер делает то, что ему скажут. Если ты настраиваешь сеть, то ты настроишь всё так, чтоб она работала. Домашние роутеры обычно и не умеют делать такие проверки, но некоторые умеют, а роутеры промышленного применения умеют наверно всегда, и у нормальных провайдеров они должны быть настроены на порезку всего незапланированного.
Поэтому всё же считаю, что такая подмена IP адреса отправителя на уровне роутера возможна.
Комп может слать от имени любых адресов, дело не в этом. Дело в том, что нормальный провайдер порежет это дело сразу по приходу фейкового пакета (клиенту выдали такой-то адрес, а он шлёт от другого). А если даже не порежет провайдер, то ответный пакет без перехвата BGP пойдёт уже настоящему адресу, а без него ты даже TCP-соединение открыть не сможешь.