Популярный сервис для обхода NAT провайдера и проброса портов на подключениях с серым IP больше не работает с российскими IP. При попытке воспользоваться сервисом появляется ошибка:

ERROR:  authentication failed: We do not allow agents to connect to ngrok from your IP address (89.222.217.50). 
ERROR: 
ERROR:  ERR_NGROK_9040 
ERROR:  https://ngrok.com/docs/errors/err_ngrok_9040  
ERROR:

Текст ошибки посылает прямиком на официальный сайт, который блокирует запросы с российских IP адресов, даже не показывая страницу с ошибкой. Подключившись с IP-адреса другой страны, удалось получить такое сообщение:

Как компании, базирующейся в Соединенных Штатах Америки, нам больше не разрешается вести бизнес с организациями, против которых правительство Соединенных Штатов ввело санкции.

Теперь пользователям с серым IP придётся искать другие способы открыть порты, либо арендовать внешний IP у провайдера, либо проксировать соединения через VPS.

P.S.: К сожалению, это не первоапрельская шутка.

>>> Подробнее

В третьей статье из цикла «прозрачный брандмауэр с маршрутизатором» рассмотрена задача плавного перехода на новые адреса другого провайдера и особенности фильтрации пакетов через встроенный мост Linux на ядрах 4.X

>>> Статья полностью

Цель открытого проекта VPP — создание свича/маршрутизатора L2/L3+ с множеством функций, включая полноценный NAT, с высокой производительностью обрабатывающего сетевые пакеты при использовании обычного процессора за счёт векторной обработки данных (эта технология уже используется в новых промышленных сетевых устройствах). Проект ведётся Cisco, Pantheon Technologies и другими.

Продукт работает на Intel DPDK. Этот фрэймворк позволяет использовать сетевую карту Intel в обход ядра операционной системы.

Продукт не является стабильным; все отчёты об ошибках и запросы функциональности принимаются кураторами. Разработчики будут благодарны за тестирование.

>>> Страница VPP

>>> Страница DPDK

>>> Список рассылки

>>> Подробности

Представляю на обозрение сообщества первую публичную версию своего проекта.
Основные возможности системы:

• Управление доступом пользователей ЛВС к сети Интернет через NAT (iptables+ipset) без прокси сервера.
• Возможность авторизации по IP или прозрачной авторизации пользователей Active Directory при помощи клиента авторизации.
• Возможность ограничивать пользователей по объему потребленного трафика и максимальной скорости.
• Ведение статистики потребления трафика пользователями с сохранением списка посещенных узлов.

>>> Домашняя страница проекта

Выяснилось, что реализация протокола NAT-PMP во многих SOHO-роутерах и сетевых устройствах позволяет злоумышленнику менять настройки переадресации портов и осуществлять перехват приватного и публичного трафика (перенаправив его на подконтрольный сервер). Проблема усугубляется тем, что атаку можно произвести без авторизации.

Корень проблемы кроется в простоте протокола NAT-PMP, который не содержит никаких проверок на предмет того, откуда приходят запросы, подразумевая, что они должны приходить лишь из локальной сети. Многие производители сетевого оборудования нарушили соответствующий RFC-стандарт, реализовав возможность приёма запросов переадресации портов с внешних интерфейсов.

По предварительным данным, полученным в результате сканирования Интернета, количество уязвимых устройств (принимающих запросы на 5351 порт) превышает миллион. Из них:

• 2.5% позволяют перехватить внутренний трафик
• 86% — перехватить внешний трафик
• 88% — получить доступ к службам в локальной сети
• 88% — вызвать отказ в обслуживании
• 100% — получить информацию об оборудовании, IP-адресах, используемых портах

Уязвимо множество оборудования от ZyXEL, Netgear, ZTE, MikroTik, Ubiquiti, Technicolor, Speedifi, Radinet и Grandstream. До выхода обновлений от производителя рекомендуется отключить NAT-PMP или заблокировать входящий UDP-трафик на 5351 порту.

>>> Подробности