Citat:
Branimir Maksimovic:
Nema to veze sa time. Ruter od epc3925 dobija paket sa tom dolaznom adresom na taj taj i taj port i dropuje. Jedino sto nisam probao je
da vidim da probam isto to da uradim sa natovane adrese pa da vidim jel ce bas da forvarduje kod mene provajder.
Aha, ti nakon WAN rutera (EPC3925) imas jos jedan ruter. Nisam to shvatio tako, ok ... Onda je u pitanju NAT na EPC3925, pa treba da pokusas da resetujes EPC.
Takodje, proveri da na EPC nije postavljen neki port forwarding. Ali ovde mislim da je nesto drugo.
Mala ilustracija: kada neko iz tvog LAN-a (npr. taj PC sa adresom 192.168.0.10) ide na net, EPC3925 njegovu privatnu adresu NAT-ira u javnu koji dobija DHCP-om od provajdera. PC tom prilikom alocira source port npr. 12345 i pokusava da uspostavi konekciju. (192.168.0.10, 54468) => (129.234.1.3, 443). Kada takav TCP paket dodje na ruter, on alocira odlazni port iz svog opsega i pokusava da uspostavi vezu (198.51.100.33, 52124) => (129.134.1.3, 443), gde je 198.51.100.33 javna adresa koju si dobio od provajdera. Mapiranje (198.51.100.33, 52124) <=> (192.168.0.10, 54468) je NAT entry koji ostaje na EPC-u sve dok traje TCP sesija, a nakon toga se brise kada mu istekne aging timer.
Medjutim, dok NAT aging timer ne istekne, tvoj EPC cuva asocijaciju (198.51.100.33, 52124) <=> (192.168.0.10, 54468) u svojoj NAT tabeli. Ako bi neko maliciozan od spolja gadjao na adresu 198.51.100.33 - port 52124, EPC to prosledjuje na (192.168.0.10, 54468). I opet cuva taj entry jer smatra da jos uvek ima saobracaja. Znam da to nema smisla, jer taj PC nema serverski proces koji slusa na portu 54468, vec je taj port bio koriscen od strane klijenta. Ali NAT asoscijacija moze da posluzi za neki dumb DDoS ka PC-u. A moguce je i da je PC fasovao neki virus koji slusa na portu 54468/tcp koji je prethodno koristio browser kao klijentski (source) port ka sajtu odakle je download-ovan virus ... kazem teoretski, jer to se i vidi:
Code:
Apr 13 05:18:48 kernel: DROP IN=eth0 OUT= MAC=3c:7c:3f:e0:91:c8:bc:c8:10:5a:33:c7:08:00 SRC=24.76.202.244 DST=192.168.0.10 LEN=64 TOS=0x00 PREC=0x00 TTL=50 ID=44753 DF PROTO=TCP SPT=49976 DPT=54468 SEQ=2048479197 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0
Svi paketi imaju SYN, sto znaci da pokusavaju da uspostave konekciju ka 54468/tcp, a s obzirom da se SYN paketi ponavljaju PC verovatno ne reaguje na taj port. Ali i ne salje ICMP unreachable. Ili mozda salje, ali je taj ICMP negde filtriran.
Sta ako se koristi CGNAT? Princip je prakticno isti, samo sto tada imas dve asocijacije - npr:
* Na CGNAT gw kod provajera: (198.51.100.131, 63333) <=> (100.64.3.1, 61235)
* Na tvom EPC ruteru lokalno: (100.64.3.1, 61235) <=> (192.168.0.10, 154468)
Opet, ako neko gadja (198.51.100.131, 63333) dok oba NAT entry-a ostanu taj paket stize na (192.168.0.10, 54468).
Kao sto rekoh, probaj da resetujes EPC ...