首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
Coding
V2EX  ›  宽带症候群

知道运营商为啥不给你公网 IP?为了保护你啊!

  •  
  •   dot · 2017-05-14 15:01:53 +08:00 · 13095 次点击
    这是一个创建于 945 天前的主题,其中的信息可能已经有所发展或是发生改变。
    看看这次 WannaCry 的传播方式~

    如果不是运营商把你深深地藏在多少级 NAT 里面,你会逃得过吗?直连公网那分分钟就是死啊~

    嗯,我们应该对运营商心怀感恩才对。

    第 1 条附言  ·  2017-05-15 14:25:13 +08:00
    有点激动的童鞋们,要有幽默感嘛……
    73 回复  |  直到 2017-05-16 16:29:57 +08:00
        1
    yexm0   2017-05-14 15:07:08 +08:00 via Android   ♥ 1
    这次 ga,石油,校园大规模中招就是通过内网散播造成的。而家庭用户可没中招。
        2
    ys0290   2017-05-14 15:08:29 +08:00 via iPhone   ♥ 2
    感恩的是 445 端口封了,关内网啥事
        3
    bazingaterry   2017-05-14 15:10:40 +08:00
    就算是公网也有路由器挡着啊,楼主应该担心 IPv6 普及之后的情况……
        4
    leavic   2017-05-14 15:24:47 +08:00 via iPhone   ♥ 1
    @bazingaterry 学校网络很多都是电脑直接就分配到公网 IP 的,一个实验室活生生一个数据中心。
        5
    imn1   2017-05-14 15:30:06 +08:00   ♥ 9
    关进监狱可以避免更多受害可能
        6
    mytsing520   2017-05-14 15:35:46 +08:00
    @yexm0 你说的这些客户大部分可没有 NAT 设备
        7
    mandymak   2017-05-14 15:43:15 +08:00
    我在想主要不是运营商保护了家庭用户,主要是家庭用户大多是用路由器。试想想如果家庭用户多是用电脑直接拨号的话,而同运营商 NAT 内网中有用户的电脑中了此病毒,其他用户不也同样遭殃吗?
        8
    Liqianyu   2017-05-14 15:47:55 +08:00
    NAT≠CGN
        9
    sbbeta   2017-05-14 15:48:08 +08:00 via Android
    @mandymak 不知道运营商大内网会不会也屏蔽 80-443 这样的端口,哈哈
        10
    Gothack   2017-05-14 15:48:19 +08:00 via iPhone
    得了吧,即便给你公网 ip 也大概率不会染到家庭用户,只要你不随便点链接,因为大多数家里都会安装路由器,外面请求到不了 pc 的 445。反而是学校医院等大局域网,一万个人只要有一个人点了病毒链接就会迅速在局域网中散开。
        11
    mandymak   2017-05-14 15:50:51 +08:00
    @sbbeta 没测过,因为手上宽带全是公网 IP。
        12
    dot   2017-05-14 16:02:35 +08:00
    @bazingaterry 貌似很多高校,IPv6 都是一机一 IP 直连公网的……
        13
    dot   2017-05-14 16:03:04 +08:00
    @imn1 已经在大移动的监狱里面关着了
        14
    dot   2017-05-14 16:06:32 +08:00
    @mandymak 运营商的本意当然不是为了保护用户……是为了省 IP ……至于你说的路由器,当然现在很多人都用,也有那种光猫桥接直接拨号的,什么都有的啦~ 不过貌似运营商内部 NAT 有做端口隔离吧~ 我还没扫到过其它 IP 有响应的……回家试试~
        15
    dot   2017-05-14 16:08:38 +08:00
    @Gothack 自己搞的 NAT 也是 NAT ……光猫桥接直连拨号的客户也是有的,还有 DMZ 的,那种分分钟就挂掉了嘛~
        16
    jasontse   2017-05-14 16:16:02 +08:00 via Android
    @Liqianyu CGN 全称 Carrier-grade NAT
        17
    skyeycirno   2017-05-14 16:56:37 +08:00
    三巨头是因为封锁了 445 端口,不是因为 NAT 啊
        18
    bilok   2017-05-14 17:19:20 +08:00 via iPhone
    封锁 80 445 端口本意是为保护用户?醒醒
        19
    965380535   2017-05-14 17:22:54 +08:00
    楼主是调侃 还是当真了? 没有公网 ip 大搞 nat 是 ip 不够了 封掉 80 端口是防止用于提供网站服务
        20
    ouqihang   2017-05-14 17:23:53 +08:00 via Android
    公网地址也可以隔离,指定某个网段才能直接访问。
        21
    kooze   2017-05-14 17:49:29 +08:00
    脑子是个好东西
        22
    ksmter   2017-05-14 19:03:43 +08:00
    吓得我赶紧把 DMZ 给关了,虽然理论上 win10 1703 不受影响。。
        23
    zoues   2017-05-14 19:08:40 +08:00 via iPhone
    @sbbeta 80 屏蔽是脑子瓦塔了啊
        24
    LGA1150   2017-05-14 19:12:01 +08:00
    就算是公网 IP 也能通过 255.255.255.255 掩码并在网关处限制子网 IP 间通信来解决
        25
    mooncakejs   2017-05-14 19:30:49 +08:00
    公网 ip 本来就不够用,凭什么必须给你?
        26
    yhxx   2017-05-14 19:35:01 +08:00
    封 445 应该确实是为了安全

    至于封 80.。。。。
        27
    LCD   2017-05-14 19:43:05 +08:00 via Android
    @dot 确实
        28
    chinawrj   2017-05-14 19:54:59 +08:00
    @bazingaterry IPV6 普及之后更没这个问题。
        29
    onion83   2017-05-14 19:56:46 +08:00
    封 80 为了保护你们的路由器啊(笑
        30
    awss   2017-05-14 20:06:18 +08:00
    嗯,我们也应该感谢 gfw,让我们免受帝国主义的毒害。。。。
        31
    JenghongLee   2017-05-14 20:09:11 +08:00 via iPhone   ♥ 1
    楼主想感恩运营商 NAT 那就感恩去吧。三大运营商公网都是屏蔽了 445 端口的你知道嘛。最主要还不是为了省钱不普及 IP v6。
        32
    liliang13   2017-05-14 20:10:15 +08:00   ♥ 1
    记得当年,很流行扫描开放了 80 端口的 ADSL 猫,用弱密码登录后获取宽带账号密码去电信互联星空充值 Q 币。
    这是既有公网 IP,又开放了 80 端口
        33
    expy   2017-05-14 20:40:45 +08:00
    nat 主要解决 ip 不够的问题吧,虽然事实上起到了保护作用。
    坏处是各种 p2p 软件不能完全正常工作,想从外面连回家也是各种蛋疼。
        34
    sgissb1   2017-05-14 22:01:56 +08:00   ♥ 1
    lz 你这嘲讽的不对,如果运营商给内网 ip,然后又没有做 vlan 隔离的话,那么更严重,因为所有的 pppoe 终端都在同一个 vlan,不仅可以互通。。。。还可以互相访问 smb。

    如果做了 vlan 隔离,那么就和给了公网 ip 可能是一样的。甚至更牛逼。我说的 vlan 不是一个很准确的意思,取决于运营商做网络规划和配置的那群人的智商水平。

    有些连 vlan 是啥都不知道,全部都在一个 vlan 里。有些比较狠,每一个用户的内 ip 不仅是一个 host 地址而且每个 host 之间不能互通。。。。。

    我也遇到过很多种内分内网 ip 的,哥们还是别笑在前面为妙。。。。。
        35
    sgissb1   2017-05-14 22:03:13 +08:00
    @bilok 封 80 和 445 其实本意不是保护,只是间接达到效果。更多用意估计和方校长的那个玩意差不多。
        36
    rrfeng   2017-05-14 22:05:36 +08:00
    这个事跟运营商半毛钱关系没有,只是恰好封了一些端口,避免了大规模传播。

    不给公网 IP 那是真没的用了,你起服务架网站的时候发现 80 不通别骂运营商啊。IPv6 之后不给公网 IP 你看看。

    我觉得怕的事,这个事被拿来教育我们:你看不能给用户公网 IP,就要用 NAT,不能用 IPv6 这样全暴露了而推迟新技术的发展。
        37
    windfarer   2017-05-14 22:06:12 +08:00
    封 80 是为了保护你们的水表
        38
    bilok   2017-05-14 22:18:34 +08:00 via iPhone
    @sgissb1 仔细看看我的回复吧
        39
    liaoyaoheng   2017-05-14 22:32:56 +08:00
    @bazingaterry 请教,adsl 公网,通过路由器的 windows 就不会感染?
        40
    liaoyaoheng   2017-05-14 22:34:46 +08:00
    @Gothack 路由开启 “禁止来自 wan 口的 ping ”就不会感染?
        41
    mingyun   2017-05-14 22:51:01 +08:00
    赞同 2 楼
        42
    hohi2015   2017-05-14 22:54:39 +08:00
    我差点就信了
        43
    ppbaozi   2017-05-14 23:25:20 +08:00 via iPhone
    @liaoyaoheng 我认为,不管什么网络,只要没动 windows 自带防火墙,网络类型选择公用,就不会感染
        44
    Gothack   2017-05-15 00:30:47 +08:00 via iPhone
    @liaoyaoheng 跟这个没关系,只要有一层 nat 就没事
        45
    freestyle   2017-05-15 01:13:04 +08:00 via iPhone
    明明是 ipv4 不够用...
        46
    bazingaterry   2017-05-15 02:26:14 +08:00 via iPhone
    @liaoyaoheng 只要你没开 DMZ,内网没有机器被感染,就不用害怕。
        47
    JJaicmkmy   2017-05-15 02:59:52 +08:00
    然而 445 端口被封真的给我带来了很多麻烦,让我不得不用 VPN 访问家里的 NAS。
        48
    msg7086   2017-05-15 04:04:16 +08:00
    说得好像直连公网的运营商就没办法做保护了一样。
        49
    axzy   2017-05-15 08:17:33 +08:00
    然而是公网 IP 资源短缺,IP4 情况下,每个人都有独立 IP,铁定是不够用的
        50
    zscself   2017-05-15 09:46:19 +08:00
    感觉 LZ 就是顺势讽刺一波运营商的大内网
        51
    YvesX   2017-05-15 11:06:50 +08:00 via iPhone
    缺乏幽默感的人有点多啊……
        52
    kghch   2017-05-15 12:23:31 +08:00
    LZ 大概会被一些楼层蠢哭,明明就想说个玩笑的
        53
    stormpeach   2017-05-15 12:37:50 +08:00
    教育网一打一个准。。。关键是你敢不敢。。。
        54
    Khlieb   2017-05-15 12:54:03 +08:00
    将来赵家人建设 gfw 又多了个口实
        55
    redsonic   2017-05-15 14:08:22 +08:00
    家用的都让路由器挡下来了。另外好像这次的病毒仅通过扫描内网传播? 并且如果支持 ipv6 呢? 很多光猫根本没有内置 ip6tables,如果用户终端启用 ipv6 且关闭自带防火墙、杀毒、防护软件就等于真裸奔,连码都不打。

    @sbbeta 他们内网端口是白名单制。
    @ys0290 其实与你相邻的几个段都没封,我这的区承包商都能告诉你哪些封了哪些没封。
        56
    dot   2017-05-15 14:23:52 +08:00
    @zscself #50
    @YvesX #51
    @kghch #52

    还是你们懂我啊……~~
        57
    dot   2017-05-15 14:27:09 +08:00
    @zoues 封 80 是因为北岸的关系……不允许私搭乱建个人网站。
        58
    dot   2017-05-15 14:34:33 +08:00
    @sgissb1 内网隔离的方法就很多了,VLAN 是一个,划子网是一个,光猫 NAT 是一个……所以这只是嘲讽一下啦,不是认真要讨论 NAT 这个事情。

    @liaoyaoheng
    通过路由器的 ADSL,只能从内攻破,外面进不来的,放心好了。

    @hohi2015
    哈哈哈哈,还好你没信~
        59
    swulling   2017-05-15 14:41:02 +08:00
    @Gothack 本次漏洞不需要点链接,直接远程感染
        60
    dot   2017-05-15 17:09:44 +08:00
    @swulling 身处路由器保护之下的,是不需要担心的~
        61
    liaoyaoheng   2017-05-15 17:54:48 +08:00
    @dot 想请教下,ADSL 下透过无漏洞的路由器连接网络,不开 DMZ 等映射,所有的来自网络的远程攻击都不会感染到路由器下的客户端( windows 安卓 ios 等)?

        62
    dot   2017-05-15 20:02:50 +08:00   ♥ 1
    @liaoyaoheng
    如果路由器没问题的话,你的内网是安全的。路由的 NAT 可以帮助你抵挡一些外界主动发起的攻击。

    但是如果你要跟外界通信的话,来自网络的攻击有多种多样的~
    可以劫持进出你路由的数据包嘛,可以劫持你的 DNS 查询请求嘛~ 运营商插入广告不就是这么干的么。
    如果它劫持你的数据跳转的是一个带毒的网页呢?那你内网的设备不就被攻破了~

    所以,还是有风险的。
        63
    liaoyaoheng   2017-05-15 21:24:47 +08:00
    @dot 其实很好奇带毒的网页,用 chrome,firefox,edge 最新版,其实觉得并不会中毒,毕竟都在沙盘内难以攻破。
        64
    txydhr   2017-05-16 00:23:27 +08:00 via iPhone
    这病毒不是主要危害局域网的么?家庭用户本来就对这病毒无所谓吧,这病毒只能 windows 传 windows 所以中招的都是大型局域网,少则 5 台左右多则上百台 windows,而且长期开机。。。收发邮件,文件共享都是容易中招的高风险行为,其中有个小白中招直接团灭。。还是安全意识的问题,多少公司不打补丁,有公司就关闭垃圾邮件病毒邮件扫描,说怕漏了邮件。。。
    家庭用户现在一般就一两台电脑,而且在 nat 后面,只要自己不去下载奇怪的邮件,不会中招。在家玩游戏,看视频都是低风险行为,个人邮箱 qq、gmail 都自带病毒扫描。。。剩下的都是手机平板。。
    另外虽然 ipv6 没有 nat 了,但是一般家用路由器默认 block all incoming ipv6 traffic,效果和 nat 一样。。
        65
    txydhr   2017-05-16 00:24:20 +08:00 via iPhone
    @liaoyaoheng 下载下来的文件就不在沙盒了
        66
    raysonx   2017-05-16 01:57:13 +08:00 via iPad
    IPv6 因为地址空间大,如果主机地址够随机,很难去对网段进行扫描
        67
    QQ2171775959   2017-05-16 10:15:03 +08:00
    做好了防范的话,公网 IP 也是没有多大的问题,运营不给你们家用公司 IP,是为了节约成本考虑的。并非你说的那么伟大的。
        68
    julyclyde   2017-05-16 11:00:30 +08:00
    这个没啥用,其它宽带客户会感染你的
    只有“少量机器在 nat 后面”才有保护效果
        69
    dot   2017-05-16 11:30:24 +08:00
    @liaoyaoheng 沙盒还不是会被破,你以为每年那么多不同的黑客大会都在干什么?
        70
    dot   2017-05-16 11:34:48 +08:00
    @txydhr 这个病毒主要危害的是,存在 ETERNAL BLUE 漏洞并且开放了 445 端口的 Windows 用户。
    所以,要中毒得满足两个个条件:
    1. 445 开放
    2. 有 ETERNAL BLUE 漏洞
    缺一不可,就是光开放 445 但是打过补丁的话,也是没戏的~

    而且那些装了 360,电脑管家什么的,3 月份补丁就打过了……
    所以其实目前身边还没见到中毒的。
        71
    dot   2017-05-16 11:36:32 +08:00
    @QQ2171775959
    这个大家都是心知肚明的,IPV4 确实紧张,新晋运营商手上也没几个 B 段,自然舍不得放出来给家庭客户。

    对,我说的就是 CMCC。
        72
    dot   2017-05-16 11:37:18 +08:00
    @julyclyde 这个要看了,如果家家都装了路由器,基本上一个 VLAN 或者一个 LAN 里面也影响不大。
        73
    huobazi   2017-05-16 16:29:57 +08:00
    我上学时宿舍电脑直接教育网公网 IP
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   838 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 91ms · UTC 19:28 · PVG 03:28 · LAX 11:28 · JFK 14:28
    ♥ Do have faith in what you're doing.