201
wwbfred 2022-08-30 01:59:23 +08:00 1
@wuosuper 而且那个复制 SYN 的脑溢血方案都能上线,你告诉我"第三方测试也不是随便过的,如果存在你说的低级安全问题那必然运营商不会采购",可有半点说服力。只有不搞黑箱,用户才有可能相信。没有用户会选择相信一个放在这么底层的不明设备。
|
202
SenLief 2022-08-30 05:07:47 +08:00 via iPhone
这个算不算黑箱呢?不算,应该算是网络基础操作。应该很久之前就有这种操作了,类似于没有共享公网 ip 的 vps 。
|
205
Marionic0723 OP @SenLief 但是 VPS 会明确告诉你分配到的是内网地址。我觉得楼上吵起来的原因主要有一点就是,这个技术是否真的给人带来方便?
而现在,这套方案对小白和部分不在意稳定性的极客很友好,运营商也节省了公网资源。除了资深大佬,因为发现有玄学连不上问题,debug 半天恐怕才能发现是公网被共享过,而运营商根本没有告知用户,现在有公网的都不敢肯定自己的公网到底是不是独享的。 |
206
paramagnetic 2022-08-30 10:06:37 +08:00 1
@wuosuper 曾经没有 switch 而是 hub 的时代,也是可以抢答窃听的。比 PON 还方便,连听 backscattering 的高灵敏度收发机都省了,大家也这么过来了。核心问题不是运营商必须实现什么水平的 L1-L3 安全性,而是不应故意放任用户产生错误认知。
我个人也不认可三方测试,在利益和实际需要驱动下,人什么都干得出来,参考沙利度胺和 737 Max 事件。如果说药物和飞行器实在太过复杂,非专业人员难以评价的话,底层网络架构和协议多少年来都是靠标准化,透明化来实现安全的,为什么到了 NAT4444 就成了个必须保密的黑匣子了呢?我觉得具体实现可以是专利,但是系统的行为总应该成为一个公开的标准,就和(几乎?)所有别的网络设备一样。 |
207
laozhoubuluo 2022-08-30 10:10:52 +08:00
@jousca 100 一个地址一个月属于滥用市场支配地位的级别了。不考虑运营商现有的地址库存,采用全租用模式实现向用户分配公网 IP 地址的话,目前一个 C 的租用价格 1.5 万元一年算高于市场价的级别了所以很好租到地址,最便宜见过这个价格的五折。算 1.5 万的高价就是每个用户实际可用地址(每个 C 有 253 个)一年 60 元不到,一年 120 元的话相当于两个高价地址的成本,只要利用率高于一半那么这个价格是绝对有得赚的,如果能按照一万元租到一个 C 那就是血赚了。
@msg7086 只要运营商不管 PCDN 的话,估计大把愿意交易的。 @Archeb 感觉还需要增加用户通过网站、客服热线等渠道配置,完了 RADIUS 下发需要做映射的端口或者端口段的功能。自建 NAS 上跑的大量服务平台就是依赖于端口号固定但可以修改为非默认的,另外还有些游戏、应用需要依赖开启特定端口或端口段才能正常运行。 @wuosuper 1. 如楼上所说,需要增加用户通过自服务网站或者客服热线等渠道手动配置的功能。2. 理论来说最好是由用户路由器自行上报需要的端口段、以及动态上报 UPNP 新生成的映射关系,不过考虑到没有标准化这个很难做。 |
208
Archeb 2022-08-30 10:46:52 +08:00
@laozhoubuluo 你说的自行上报有标准,就是 RFC6970 Universal Plug and Play (UPnP) Internet Gateway Device - Port Control Protocol Interworking Function (IGD-PCP IWF) 这也是我说的“理想方案”的基础
RouterOS 不支持这个功能,然后 miniupnp 应该是支持的。 |
209
laozhoubuluo 2022-08-30 11:01:20 +08:00
@Archeb 了解了。其实运营商实现这个就能解决很多问题了。
非要省事搞端口段静态分配,完了心情不好再搞点 QoS 策略、PPS 限制,把可以接受 CGN 的用户弄的也得搞个公网 IP 绕限制。 |
210
lxr760 2022-08-30 11:32:37 +08:00
|
213
laozhoubuluo 2022-08-30 12:39:01 +08:00
@Damn 毕竟不是每个用公网 IP 的都需要映射。之前的帖子里说的是例如一个 IP 给 8 个没有端口映射需求的用户和 2 个有端口映射需求的用户,那么实际上只有这两个用户之间有可能会冲突,概率就低很多了。如果实在是分配不了,一般重新拨号换个 IP 就能解决。大不了软件再改改,如果多个端口都分配失败就把用户踢下线让用户强制更换地址。
|
214
FlyingShark 2022-08-30 13:25:39 +08:00
@wwbfred tag #死磕派#
|
215
cnbatch 2022-08-30 14:09:00 +08:00 1
@sirlion 是另一个讨论贴《运营商改造为 IPoE 的优势与劣势以及 IPv6 的安全性问题》( https://www.v2ex.com/t/875762 ) 在微博和各个论坛传播出去了,于是有不少人顺路过来看。
|
216
tia 2022-08-30 14:56:38 +08:00
公网 ip 现在还有啥好讨论的,目前 ipv6 普及率那么高,我就想问目前的 ipv6 有什么需求是解决不了的,不要说什么路由不好,大部分人要公网的需求就是能从外部访问到内部。
|
217
Karolinska 2022-08-30 16:59:51 +08:00
有一个好办法,电脑 PPPoE 拨号后用 WireShark 抓包,如果可以侦测到一些类似随机的端口扫描入站申请(比如 22 端口,MySQL 等),那应该就是全端口的公网 IP 。
|
218
laozhoubuluo 2022-08-30 17:20:21 +08:00
@tia 太多了,BT/PT 有不少 v4 Only 的节点,两边都没有公网 IP 就没法互相传输数据。另外企业内网很多都不支持 v6 因此从单位连回家必须公网 v4 地址连接,别跟我说为啥企业不改,有几个企业内网改了双栈的。
|
219
tia 2022-08-30 17:35:03 +08:00
@laozhoubuluo #218 专业玩 bt/pt 都买盒子去了,家里那点上传就算了,偶尔下载下还行。公司的话可以用手机,移动数据网是 v6 覆盖率最高的
|
220
laozhoubuluo 2022-08-30 17:40:02 +08:00 via Android 1
@tia 那您可想多了,运营商给的这三五十兆的上行玩 pt 的人不少,再一个用盒子养号又不代表人家不直接下载。另外说手机流量的,您给报销流量费吗?除非您念个咒语一下子全世界网络和所有节点都变成 v6 的节点了,否则这就是一个字浪费三个字节的废话。
|
221
lambdaq 2022-08-30 17:42:39 +08:00
好家伙。。。。
其实用纯 raw ip 包发一个过去就暴露了。端口是 tcp/udp 概念。ip 层没有端口。 |
222
wangyuyang3 2022-08-30 17:45:13 +08:00 via Android
|
223
lambdaq 2022-08-30 17:46:48 +08:00
其实对于主动发起流量的设备来说,公网 or 非公网影响不大。
但是对于需要监听的人来说,区别大了去了。我觉得这是网络阶级划分。。。 监听的权利,等于和未知世界联网的权利; 只能主动发起请求的地址,属于二等公民,只能去访问别人限定好的一个 peer 。 |
224
tia 2022-08-30 17:48:31 +08:00
@laozhoubuluo #220 不是,为啥这么冲。因为我就是玩 bt 的,圈子里玩 pt 的也都是盒子,没见谁专门在家里玩,偶尔自己在家下个啥东西,大部分都是自己盒子下好直接从盒子往自己电脑拉,总比自己电脑直接 bt 快。说到在公司连回家,你是有啥高强度高流量需求吗,我顶多就是登录一下家里的 openwrt 。
|
225
tia 2022-08-30 17:52:10 +08:00
@wangyuyang3 #222 v6 普及后楼主说的大部分跟风申请 v4 公网的需求基本都能解决了
|
226
tia 2022-08-30 17:53:42 +08:00
剩下的比如你说的稳定性之类的,我觉得申请个 v4 公网也不会有多稳定,真刚需建议购买专门做这方面的产品
|
227
Damn 2022-08-30 18:13:59 +08:00 1
还有一个问题大家可能有意无意地忽略了,被 ban ip 可是殃及池鱼啊。也就是现在论坛少了。
|
228
cnbatch 2022-08-30 18:28:23 +08:00 via Android 1
@tia 还有个特殊原因。
自前几天《运营商改造为 IPoE 的优势与劣势以及 IPv6 的安全性问题》在各大网站传播,就有小白和半桶水说,IPv6 查房可以精确到家,而以为 IPv4 因为地址是共享了的,所以查起来就没那么精确,从而“抵制”IPv6 。 他们甚至丝毫不知道运营商在 IPv4 的当下早就已经保留 NAT 转换日志,一样可以精确查到家。 显然这群小白依然以 IPv4 的角度去理解 IPv6 的分配方式。 |
229
laozhoubuluo 2022-08-30 19:46:24 +08:00
@tia 冲是因为您的言论暴论过度了,不考虑很多人的实际需求就盲目否认 IPv4 的价值。要换成 IPv6 出问题,大家来一句出问题的买 NAT 机器啊,将心比心也一样不好受。
先不说 BT/emule 这些很多都是在家玩的。我特意发了个调查统计了一下 PT 下载买盒子的比例,玩 PT 且买盒子的大概占 50% ,但是相对玩的深入的配置盒子的比例确实很高,这个可以说是圈层不同的偏差。 另外不同人对连回家的概念确实不同,我这边是长期有远程桌面回家的,而且拽文件也偶尔干。另外看楼上说的公有网盘质量问题导致必须建设私有云的也不少(我也认识好几个搞私有云的朋友),自然也需要公网 IPv4 做。 讲"跟风申请 v4 公网" 那是不知道有的地方 CGN 配置有多烂。要换成 IPv6 加个限制每个 /60 只能发起两千个会话超出不许新建(一般 CGN 限制端口在 1000 - 5000 个,会话数也是几千个),再加个每秒钟每个 /60 限制 1000 QPS ,超出限制了大家也来一句可以自己买 NAT 机器,将心比心也一样不好受。 "我觉得申请个 v4 公网也不会有多稳定" 这又是一句暴论了,不考虑楼主说的假公网 IP 其实在接入层 IPv4/v6 就是在同一台设备上运行,何谈 v4 公网和 v6 公网来比较稳定呢? |
230
tia 2022-08-30 20:08:03 +08:00
@laozhoubuluo #229 首先没有否认 v4 的价值,其次我那句不会有多稳定是回上面那位的"工作场合要保证绝对的严肃性、通用性、稳定性,关键在于可预测性",最后我的回帖是针对楼主提出的"跟风申请公网 IP 的小白的",这部分用户就是我说的"能连回家就行",我从 2016 年全国开始推 v6 就关注了,啥坑心里都有数的,所以咱两可以到此为止了,争论真的是多余的。
|
231
SenLief 2022-08-30 20:08:15 +08:00 via iPhone
@Marionic0723 我之前看过宽带的协议,以及没有给公网 ip 了,大趋势就是公网会逐步的全部回收回来,ipv4 大内网的趋势基本上无法阻挡。如果能确定这种端口的其实也很不错了。不过目前自己用比较友好的还是 ipv6
|
232
laozhoubuluo 2022-08-30 20:51:13 +08:00
@SenLief 运营商想法是运营商想法,不代表大家就得忍着。运营商还想大家把每月工资直接转给他呢,可能么。
一个月几块钱成本的地址都不愿意给,在这里搞各种手段当然要被骂的。 |
233
Marionic0723 OP |
234
fofo 2022-08-31 12:01:52 +08:00
@Damn 猜测学习应该是个持续过程,而且应该对 tcp 协议的特性也进行了学习,然后不断的对冲突进行重新分组就行,实在分组不够了,加点 ip 到 ip 池就行了。
|
235
MNIST 2022-08-31 21:39:54 +08:00
@xxfye 可是问题是你还有设备的投入啊,你还有电费啊,你的利润是 5 块,减去成本以后还有多少呢?现在普通人玩 PCDN 就是给这些 xx 云白打工,能赚回一个宽带费已经了不得了,还得天天提防着运营商的人来上门查 PCDN ,要是停了宽带还得去签保证书,取签保证书来来回回浪费的一天时间够赚多少钱了,量小的普通家宽算上设备电费精力等各项成本根本就赚不到太多钱,一个地址拉几十条宽带的人全部都是运营商里面有人,能搞到廉价带宽,不然普通人一家里几十条宽带,网管中心一眼就能看出你的流量不对,上面绝对要派人下来查 PCDN 。总之,一句话,只要想查,流量模型不符合家庭宽带的流量模型,符合商用宽带的流量模型,这种就是一查一个准。
|
236
libinglong9 2022-09-01 11:07:06 +08:00 via iPhone
竟然
@lcy630409 钻牛角尖这种词不是乱用的,更不应该给真正发现问题的人用,十分的不尊重别人,如果不是有这样的"钻牛角尖"的人,就不会有现在稳定可用的网络。钻牛角尖和严谨有本质的差异。忽然想起来宝莲灯里面二郎神说他侄子沉香的话:肯定是每次练功的时候都是差不多,差不多,关键时刻就总是差一点,差一点。中国人的劣根性,可悲。 |
237
lcy630409 2022-09-01 11:26:24 +08:00 1
@libinglong9
请不要再 at 我 还有这种说不了 又引申到其他方面的 我的主张就是 运营商会大面积使用 就证明这套系统的可用性 安全性非常高 其他人 老担心这这哪哪的 请给出详细报告 和 实际体验出来,臆想出来的安全问题 和建议火箭烧煤一样的道理 |
238
libinglong9 2022-09-01 11:28:42 +08:00 via iPhone
我不会再 @您,只希望中国人不骗中国人,好吗?
|
239
acaiplus 2022-09-01 15:15:40 +08:00
坐标江苏南通
基本可以认定这里的联通是用了这个技术,因为经常要重新拨号好几次才会重新拿到新的 IP ,并且即使路由器重新拨号后去 ping 这个公网 IP ,还是能通的。目前自己开放有 10 个端口,都是非标端口,使用起来和真的 IPV4 没有任何区别。每次连接起来也很顺畅,并没有出现“自己连接到了别人的服务上”的情况。当然没有试过 4899 ,3389 和 22 这种标准端口。相信大部份人在互联网上暴露端口的时候也不会直接使用标准端口吧? |
240
piku 2022-09-03 00:02:56 +08:00 via Android
你们都在说 TCPUDP ,但我想知道这套东西对其他协议怎么处理的,比如协议 4 ,这种没有端口的会不会一下子就测出来了?
|
241
koloonps 2022-09-03 11:40:17 +08:00
@acaiplus 3389 端口我现在就在使用,联通有一点很奇怪 3390 端口经常出问题.感觉现在这个方法其实是没有什么问题的.我老家直接就不给 ipv4,甚至还发了通告之前有的都要下.......
|
242
yutian12345 2022-09-03 15:43:23 +08:00
怎么测试呢
|
243
zhhww57 2022-09-19 16:53:19 +08:00
我感觉可以做探测,比如向 rdp 的 3389 请求,同时发给旗下所有的这个公网 ip 机器的机子,然后谁先发返回包,然后就和那个 ip 地址的端口号产生通讯
|
244
CrazyBoyFeng 2022-10-05 16:38:46 +08:00
@piku
大多数没有端口的协议(比如 icmp )没有可以用来分辨用户的应用层特征,所以我估计并不会下发给用户,而是直接应答回复。 @yutian12345 piku 的思路提醒了我,测试假公网其实有个简单办法,对小白也很友好: pppoe 连接状态下记住你的“公网”ip ,断开连接(无论是断开 pppoe 还是物理断开都可以),然后迅速用另外的网络设备(如手机) ping 那个“公网”ip ,能通就是假公网,也就是共享公网。 |
245
100240v 2022-12-14 01:08:46 +08:00
@CrazyBoyFeng 照您这个方法试了,上海联通假公网,电信真。现在上海电信公网很难申请,联通容易点,果然有猫腻
|
246
ihdbch 2023-02-10 13:17:54 +08:00 via Android
@CrazyBoyFeng 哈哈哈,网友们太牛批了
|
247
PLDj0j9FY2y8Wm9i 2023-03-03 23:21:25 +08:00
@CrazyBoyFeng ping 了之后直接 Destination port unreachable 是什么情况。。PPPoE 还连着呢
|
248
qiseniguang 2023-07-19 14:54:41 +08:00
= = 其实撞车概率应该不高吧。正常人谁会开放那几个端口啊。
|
249
james19820515 199 天前
没有公网 IP 的路过。
|