ciao a tutti,
dopo varie ricerche riguardanti la rete FastWeb mi è stata spiegata la 'particolarità' della rete fastweb di avere un NAT tra la loro (intranet?) ed internet che 'traduce' l' IP del mip PC (SNAT) e quello dell' altro PC (DNAT) durante la connessione in modo 'trasparente'.
Da qui i vari problemi di connessione da INTERNET verso la rete FASTWEB impossibili a meno di avere un IP pubblico (a pagamento, pare:doh: )

Se ho ben capito fastweb dovrebbe utilizzare la tecnica Double NAT per ovviare ai casi in cui un indirizzo IP appartiene ad un PC interno alla INTRANET e ad un PC su INTERNET.


Qualcuno mi saprebbe spiegare come funziona questo Double NAT IN PRATICA (o qualsiasi altra diavoleria stia usando fastweb)?

ecco un esempio:

Dato che all' interno dell' INTRANET è possibile assegnare qualsiasi indirizzo IP anche se nella rete INTERNET sarebbe illegale usarlo perchè è già stato registrato ed appartenente ad un altro dominio,
se un PC all' interno dell' INTRANET (IP: A.x.x.x) vuole contattare un PC su INTERNET (IP: B.x.x.x) che,guarda caso ha lo stesso indirizzo IP di un PC interno alla INTRANET (IP: B.x.x.x), come risolve il problema FastWeb?

e per il contrario?
cioè se un PC (IP: C.x.x.x) mi fa una scansione delle porte (si dice 'port knocking'?) o altro ed il mio firewall la rileva io come faccio a sapere se è un IP esterno (ovvero INTERNET) che posso rintracciare con il servizio di rete WHOIS oppure un indirizzo interno appartenente alla mia INTRANET?

In effetti mi è capitato più volte di guardare il LOG del firewall e notare un 'port knocking' ma quando (intendo subito, quindi escluderei la possibiltà che l' utente abbia subito terminato la connessione e quindi il DHCP abbia 'liberato l' indirizzo' ) per curiosita' ho dato un WHOIS l' IP è risultato non assegnato dall ICANN (che a quanto ho capito è l'organismo internazionale di assegnazione IP) oppure assegnato a società straniere che si occupano magari di trasporti marittimi :muro: .

i tecnici mi scusino per il linguaggio semplice ma il networking non è il mio campo...sono solo curioso di capire come funziona

-in realtà ho trovato in rete molta documentazione tecnica (sopratutto in inglese:mc: ) ma a parte i disegnini non ho capito molto... sopratutto il funzionamento IN PRATICA quando si presenta una situazione come quella degli esempi sopra-

Ciao, trovi info qua (http://plany.fasthosting.it/docs/FAQ16pdf.zip)

ciao, grazie del link!

non è aggiornato, ma alcune cose sono ancora valide

ciao

ciao
ho guardato il file che hai linkato ma non ho trovato le risposte che cercavo.

In effetti la guida affronta altri aspetti pratici del 'problema' di essere dietro ad un NAT come ad es accedere ad un PC (dentro la rete FW) dall' esterno della rete FW (da internet) con una VPN oppure come installare un server casalingo ma non spiega invece COME viene risolto l' indirizzamento nel caso che ho proposto nel primo post limitandosi ad una semplice descrizione del NAT/IP MASQUERADING.

Sapresti indicarmi altre fonti che trattino l' argomento in modo non eccessivamente tecnico?

RETTIFICO: non avevo guardato bene!

DICE:
"Nel caso dei clienti residenziali/SOHO (oltre che di alcuni apparati di rete)
FastWeb ha invece optato per una soluzione particolare, utilizzando IP riservati
che per definizione non sono allocati per uso pubblico ma che comunque non
dovrebbero essere utilizzati per uso privato -> infatti vi é sempre il rischio
che alcuni di tali indirizzi possano essere allocati a qualche sito pubblico
accessibile su Internet... ed in tal caso FastWeb avrebbe qualche problema."

quindi significa che se io (che sono dentro FW) cerco di accedere ad un IP che inizia per 41.x.x.x il router di FW mi instrada verso il PC di un utente FW del Piemonte e non verso il proprietario dell IP a cui IANA ha assegnato l' indirizzo (la società di trasporti marittimi dell' esempio), e quindi vale anche il contrario cioè se nel file di LOG trovo un indirizzo del tipo 41.x.x.x, quello che mi ha fatto la scansione delle porte è l utente FW e non un' azienda americana o un provider internet cinese?

ho dato un' occhio al RFC che parla del 'NAT' ed in effetti sembra operare solo attraverso una sostituzione dell IP rendendo di fatto impossibile per me accedere al 'VERO' intestatario dell IP e viceversa.

E' corretto?

allora cerchero di essere il piu chiaro possibile.

funziona piu o meno cosi.

La rete di fastweb è essenzialmente una wan con indirizzamento privato. Vedila come un sottoinsieme di internet.

A questo punto per "dialogare" con la rete internet devi passare per degli apparati di fastweb (che stanno nelle centrali fastweb) che da una parte sttanno su internet e dall'altra sulla wan fastweb. Vedila un po come il tuo router di casa che divide internet e la tua piccola lan. E' la stessa cosa.

Ora, ci sono vari sistemi per far dialogare le due reti:

- 1 nattando il traffico. Cioè la soluzione standard. Come avvine a casa, che non hai ip pubblico, tu riesci ad uscire solamente e i pacchetti riescono a tornare indietro solo perche li hai prima richiesti tu dall'interno. Questo impedisce ad un utente pubblico di accedere alle risorse all'interno di una macchina, perche quest'utlimo ha indirizzamento privato (all'interno di fastwe).

- 2 ti fai dare un indirizzo pubblico. Pur avendo un indirizzo pubblico, tu comunque risiederai nella wan privata fastweb solo che attraverso regole di routing degli apparati fastweb (nelle centrali) verrai visto dall'esterno perche il tuo ip avrà valenza a livello internet. Il servizio è a pagamento.

- 3 esistono dei servizi (come ad esempio il live di xbox360) già pubblicati da fastweb in quanto servizi molto utilizzati. PEr cui pur essendo in una wan privata, riuscirai ad hostare partite con utenti che stanno direttamente su internet.

ciao

ok, grazie a tutti per le risposte


ciao!

"i pacchetti riescono a tornare indietro solo perche li hai prima richiesti tu dall'interno"

io però nel LOG del firewall vedo che sono state bloccate connessioni (TCP, ICMP, il solito) provenienti da FUORI rete Fastweb (135.x.x.x - 143.x.x.x - 55.x.x.x sono IP Internet) senza che io mi sia connesso precedentemente a questi IP. come è possibile se io esco verso internet 'nascosto' dal NAT di Fastweb?

escludo che sia traffico 'di ritorno' generato visitando pagine web perchè ho anche provato ad escludere il traffico http - https.

D' altronde per come funziona il NAT è impossibile che le connessioni fossero dirette ad un altro PC appartenente alla mia sottorete (quindi con il mio stesso IP su INTERNET)

Ma allora (tralasciando l' ip spoofing che non credo sia il mio caso) come è possibile che io venga contattato da questi IP ?

"i pacchetti riescono a tornare indietro solo perche li hai prima richiesti tu dall'interno"

io però nel LOG del firewall vedo che sono state bloccate connessioni (TCP, ICMP, il solito) provenienti da FUORI rete Fastweb (135.x.x.x - 143.x.x.x - 55.x.x.x sono IP Internet) senza che io mi sia connesso precedentemente a questi IP. come è possibile se io esco verso internet 'nascosto' dal NAT di Fastweb?

escludo poi che sia traffico 'di ritorno' generato visitando pagine web perchè ho anche provato ad escludere il traffico http - https.

D' altronde per come funziona il NAT è impossibile che le connessioni fossero dirette ad un altro PC appartenente alla mia sottorete (quindi con il mio stesso IP su INTERNET)

Ma allora (tralasciando l' ip spoofing che non credo sia il mio caso) come è possibile che io venga contattato da questi IP ?