Dove vanno i ping o altro ?

[Cristian81]

Ho un dgn 2000, rete lan con 4 pc.
Se ho un solo computer accesso è logico che se mi pingano o mi fanno un portscan (supponendo di avere ad es web o ssh con linux)
è chiaro che tutto arriva al pc acceso, ma se tutti i pc o solo due sono accesi a chi arrivano i pacchetti ? e se per es. solo uno dei due ha ssh attivo chi fa un portscan cosa riceve chiaramante ? una porta aperta sull'ip fonitomi dal provvider

[Alessio.16390]

Non arrivano ai PC.
Ma al Router, sennò che ci sta a fare?


Il discorso cambia se usi ad esempio la funzionalità di Server DMZ, o apri una porta all'indirizzo IP interno di uno dei 4 PC.

Ciao.

[Cristian81]

no ho abilitato ricevi ping nella sezione wan

[Alessio.16390]

Dunque?
La risposta viene dal router.

[Cristian81]

si ma a quale pc arrivano ?
se non arrivano a nessun pc, allora non c'è modo di vedere se qualcuno ti ha pingato, perchè nessun software lo rileverebbe, ne il router logga ciò.
Supponiamo che sue due pc uno non ha nessun servizio (192.168.0.2), mentre su un'altro (192.168.0.3) runna un server web, se fanno un portscan allora fuori dal router allora appare che su quell'ip pubblico si ha quel det. servizio e che dentro dal router in poi, so solo io che è quella macchina ad aver quel servizio. Ma nel caso dei ping il router risponde indipendentemente dai pc ? per cui se fossero spenti risp. lo stesso ?

[nuovoUtente86]

Un router è un dispositivo ip, per cui è capace di rispondere da se ai ping, ed è quello che fa essendo la richiesta sul suo ip pubblico.

[Cristian81]

quindi non esiste nessun modo per sapere se e chi ti ha pingato ? almeno per quanto riguarda gli icmp echo request, gli altri non ho ancora controllato, ci vorrebbe qualcuno che dalla sua connessione mi mandi qualcosa.

[Harry_Callahan]

serve il port mirroring sulla RJ11, non è previsto con il tuo router.
in breve viene sniffato tutto il traffico ATM

[Cristian81]

però col protocollo tcp e udp questo non succede.

[Harry_Callahan]

Quote:

Originariamente inviato da Cristian81

però col protocollo tcp e udp questo non succede.

a cosa ti riferisci?

[Cristian81]

che sotto iptables, tcp, udp (firewall di linux) li posso bloccare o semplicemente loggare, mentre se mi pingo da un sito, non blocco ne loggo. Forse questo vale solo per i ping, li piglia solo il router è basta, dopotutto se io avessi + pc accessi a quali dovrebbe andare il pacchetto ?
credo sia cosi con tutti gli icmp perchè ho provato a farmi un trace e non loggo nulla, mi son fatto pingare da gente su irc e non loggo ne blocco nulla, dovrei riuscire a farmi mandare un'altro tipo di icmp da qualcuno giusto per vedere come li gestisce il dgn2000, se solo con i ping (echo request o type 8 verso di me) o con tutti.

[Harry_Callahan]

nei post precedenti è stato più volte spiegato che i ping arrivano all'interfaccia RJ11, cioè al WAN IP. Non vedrai mai questo tipo di traffico in LAN se ti pingano l'IP pubblico. Se vuoi vedere cosa arriva da fuori sull'interfaccia RJ11 ti serve un router con il port mirroring(es. FRITZ! Box VoIP, vedi il thread dedicato su come catturare traffico)

[Cristian81]

si ma non capisco perchè con gli altri protocolli di rete la cosa funzionava diversamente...

[nuovoUtente86]

forse perchè siamo a livello trasporto?

[Cristian81]

spiegheresti per il bene di tutti ?

[nuovoUtente86]

ICMP è un protocollo, essenzialmente di segnalazione, che opera a livello rete ovvero ip e pertanto (non essendo in gioco i sap-address comunemente detti porte di livello traporto) è il router a farsi carico delle risposte, se ne ha l' abilitazione.
Per i protocolli TCP e UDP, che sono di trasporto, il discorso è diverso in quanto il router (ma in realtà è corretto dire il natter) agisce con questa logica:
-legge la porta destinazione (oltre ai flag di connessione)
-se il segmento è parte di una connessione già attiva e tracciata, viene ad essa consegnato, altrimenti
-controlla se vi sia un proprio servizio attivo e può, quindi, processare da se la richiesta oppure
-verifica la propria tabella di forward e se trova una entry smista il traffico sul relativo host, in caso contrario
-droppa il pacchetto ip relativo.

Ti chiederai perchè allora i ping in uscita, dagli hosts della rete, ricevono riscontro: semplicemente perchè il router (come anche per le richieste DNS e udp in genere che sono stateless) mantiene in ogni caso un tabella dei passaggi ancora attivi.

[Cristian81]

Quote:

Originariamente inviato da nuovoUtente86

Per i protocolli TCP e UDP, che sono di trasporto, il discorso è diverso in quanto il router (ma in realtà è corretto dire il natter) agisce con questa logica:
-legge la porta destinazione (oltre ai flag di connessione)
-se il segmento è parte di una connessione già attiva e tracciata, viene ad essa consegnato, altrimenti
-controlla se vi sia un proprio servizio attivo e può, quindi, processare da se la richiesta oppure
-verifica la propria tabella di forward e se trova una entry smista il traffico sul relativo host, in caso contrario
-droppa il pacchetto ip relativo.

Se ho ben capito allora perchè (nessun servizio attivo, nessuna porta aperta) vado su irc e chiedo a un'amico di farmi un portscan (quindi nessuna connessione in precedenza con l'ip del mio amico nulla) con iptables ricevo e posso bloccare/loggare i suoi pacchetti, non avrebbe dovuto bloccarli il nat ?

[nuovoUtente86]

se c'è un router senza forward, è impossibile che entrino pacchetti nella rete. Ovviamente se utilizzi un gateway linux, questi fa esso stesso da natter per cui poco cambia a livello architetturale.

[Cristian81]

No solo dgn2000 e iptables configurato quasi sempre solo per loggare. Appena trovo qualcuno disposto a scannarmi devo riprovare

[nuovoUtente86]

Deve dire come è strutturata la rete: con un router adsl con firmware non mod, non è possibile.