V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dot
V2EX  ›  宽带症候群

知道运营商为啥不给你公网 IP?为了保护你啊!

  •  
  •   dot · 2017-05-14 15:01:53 +08:00 · 17241 次点击
    这是一个创建于 2759 天前的主题,其中的信息可能已经有所发展或是发生改变。
    看看这次 WannaCry 的传播方式~

    如果不是运营商把你深深地藏在多少级 NAT 里面,你会逃得过吗?直连公网那分分钟就是死啊~

    嗯,我们应该对运营商心怀感恩才对。

    第 1 条附言  ·  2017-05-15 14:25:13 +08:00
    有点激动的童鞋们,要有幽默感嘛……
    73 条回复    2017-05-16 16:29:57 +08:00
    yexm0
        1
    yexm0  
       2017-05-14 15:07:08 +08:00 via Android   ❤️ 1
    这次 ga,石油,校园大规模中招就是通过内网散播造成的。而家庭用户可没中招。
    ys0290
        2
    ys0290  
       2017-05-14 15:08:29 +08:00 via iPhone   ❤️ 2
    感恩的是 445 端口封了,关内网啥事
    bazingaterry
        3
    bazingaterry  
       2017-05-14 15:10:40 +08:00
    就算是公网也有路由器挡着啊,楼主应该担心 IPv6 普及之后的情况……
    leavic
        4
    leavic  
       2017-05-14 15:24:47 +08:00 via iPhone   ❤️ 1
    @bazingaterry 学校网络很多都是电脑直接就分配到公网 IP 的,一个实验室活生生一个数据中心。
    imn1
        5
    imn1  
       2017-05-14 15:30:06 +08:00   ❤️ 10
    关进监狱可以避免更多受害可能
    mytsing520
        6
    mytsing520  
       2017-05-14 15:35:46 +08:00
    @yexm0 你说的这些客户大部分可没有 NAT 设备
    mandymak
        7
    mandymak  
       2017-05-14 15:43:15 +08:00
    我在想主要不是运营商保护了家庭用户,主要是家庭用户大多是用路由器。试想想如果家庭用户多是用电脑直接拨号的话,而同运营商 NAT 内网中有用户的电脑中了此病毒,其他用户不也同样遭殃吗?
    Liqianyu
        8
    Liqianyu  
       2017-05-14 15:47:55 +08:00
    NAT≠CGN
    sbbeta
        9
    sbbeta  
       2017-05-14 15:48:08 +08:00 via Android
    @mandymak 不知道运营商大内网会不会也屏蔽 80-443 这样的端口,哈哈
    Gothack
        10
    Gothack  
       2017-05-14 15:48:19 +08:00 via iPhone
    得了吧,即便给你公网 ip 也大概率不会染到家庭用户,只要你不随便点链接,因为大多数家里都会安装路由器,外面请求到不了 pc 的 445。反而是学校医院等大局域网,一万个人只要有一个人点了病毒链接就会迅速在局域网中散开。
    mandymak
        11
    mandymak  
       2017-05-14 15:50:51 +08:00
    @sbbeta 没测过,因为手上宽带全是公网 IP。
    dot
        12
    dot  
    OP
       2017-05-14 16:02:35 +08:00
    @bazingaterry 貌似很多高校,IPv6 都是一机一 IP 直连公网的……
    dot
        13
    dot  
    OP
       2017-05-14 16:03:04 +08:00
    @imn1 已经在大移动的监狱里面关着了
    dot
        14
    dot  
    OP
       2017-05-14 16:06:32 +08:00
    @mandymak 运营商的本意当然不是为了保护用户……是为了省 IP ……至于你说的路由器,当然现在很多人都用,也有那种光猫桥接直接拨号的,什么都有的啦~ 不过貌似运营商内部 NAT 有做端口隔离吧~ 我还没扫到过其它 IP 有响应的……回家试试~
    dot
        15
    dot  
    OP
       2017-05-14 16:08:38 +08:00
    @Gothack 自己搞的 NAT 也是 NAT ……光猫桥接直连拨号的客户也是有的,还有 DMZ 的,那种分分钟就挂掉了嘛~
    jasontse
        16
    jasontse  
       2017-05-14 16:16:02 +08:00 via Android
    @Liqianyu CGN 全称 Carrier-grade NAT
    skyeycirno
        17
    skyeycirno  
       2017-05-14 16:56:37 +08:00
    三巨头是因为封锁了 445 端口,不是因为 NAT 啊
    bilok
        18
    bilok  
       2017-05-14 17:19:20 +08:00 via iPhone
    封锁 80 445 端口本意是为保护用户?醒醒
    965380535
        19
    965380535  
       2017-05-14 17:22:54 +08:00
    楼主是调侃 还是当真了? 没有公网 ip 大搞 nat 是 ip 不够了 封掉 80 端口是防止用于提供网站服务
    ouqihang
        20
    ouqihang  
       2017-05-14 17:23:53 +08:00 via Android
    公网地址也可以隔离,指定某个网段才能直接访问。
    kooze
        21
    kooze  
       2017-05-14 17:49:29 +08:00
    脑子是个好东西
    ksmter
        22
    ksmter  
       2017-05-14 19:03:43 +08:00
    吓得我赶紧把 DMZ 给关了,虽然理论上 win10 1703 不受影响。。
    zoues
        23
    zoues  
       2017-05-14 19:08:40 +08:00 via iPhone
    @sbbeta 80 屏蔽是脑子瓦塔了啊
    LGA1150
        24
    LGA1150  
       2017-05-14 19:12:01 +08:00
    就算是公网 IP 也能通过 255.255.255.255 掩码并在网关处限制子网 IP 间通信来解决
    mooncakejs
        25
    mooncakejs  
       2017-05-14 19:30:49 +08:00
    公网 ip 本来就不够用,凭什么必须给你?
    yhxx
        26
    yhxx  
       2017-05-14 19:35:01 +08:00
    封 445 应该确实是为了安全

    至于封 80.。。。。
    LCD
        27
    LCD  
       2017-05-14 19:43:05 +08:00 via Android
    @dot 确实
    chinawrj
        28
    chinawrj  
       2017-05-14 19:54:59 +08:00
    @bazingaterry IPV6 普及之后更没这个问题。
    onion83
        29
    onion83  
       2017-05-14 19:56:46 +08:00
    封 80 为了保护你们的路由器啊(笑
    awss
        30
    awss  
       2017-05-14 20:06:18 +08:00
    嗯,我们也应该感谢 gfw,让我们免受帝国主义的毒害。。。。
    JenghongLee
        31
    JenghongLee  
       2017-05-14 20:09:11 +08:00 via iPhone   ❤️ 1
    楼主想感恩运营商 NAT 那就感恩去吧。三大运营商公网都是屏蔽了 445 端口的你知道嘛。最主要还不是为了省钱不普及 IP v6。
    liliang13
        32
    liliang13  
       2017-05-14 20:10:15 +08:00   ❤️ 1
    记得当年,很流行扫描开放了 80 端口的 ADSL 猫,用弱密码登录后获取宽带账号密码去电信互联星空充值 Q 币。
    这是既有公网 IP,又开放了 80 端口
    expy
        33
    expy  
       2017-05-14 20:40:45 +08:00
    nat 主要解决 ip 不够的问题吧,虽然事实上起到了保护作用。
    坏处是各种 p2p 软件不能完全正常工作,想从外面连回家也是各种蛋疼。
    sgissb1
        34
    sgissb1  
       2017-05-14 22:01:56 +08:00   ❤️ 1
    lz 你这嘲讽的不对,如果运营商给内网 ip,然后又没有做 vlan 隔离的话,那么更严重,因为所有的 pppoe 终端都在同一个 vlan,不仅可以互通。。。。还可以互相访问 smb。

    如果做了 vlan 隔离,那么就和给了公网 ip 可能是一样的。甚至更牛逼。我说的 vlan 不是一个很准确的意思,取决于运营商做网络规划和配置的那群人的智商水平。

    有些连 vlan 是啥都不知道,全部都在一个 vlan 里。有些比较狠,每一个用户的内 ip 不仅是一个 host 地址而且每个 host 之间不能互通。。。。。

    我也遇到过很多种内分内网 ip 的,哥们还是别笑在前面为妙。。。。。
    sgissb1
        35
    sgissb1  
       2017-05-14 22:03:13 +08:00
    @bilok 封 80 和 445 其实本意不是保护,只是间接达到效果。更多用意估计和方校长的那个玩意差不多。
    rrfeng
        36
    rrfeng  
       2017-05-14 22:05:36 +08:00
    这个事跟运营商半毛钱关系没有,只是恰好封了一些端口,避免了大规模传播。

    不给公网 IP 那是真没的用了,你起服务架网站的时候发现 80 不通别骂运营商啊。IPv6 之后不给公网 IP 你看看。

    我觉得怕的事,这个事被拿来教育我们:你看不能给用户公网 IP,就要用 NAT,不能用 IPv6 这样全暴露了而推迟新技术的发展。
    windfarer
        37
    windfarer  
       2017-05-14 22:06:12 +08:00
    封 80 是为了保护你们的水表
    bilok
        38
    bilok  
       2017-05-14 22:18:34 +08:00 via iPhone
    @sgissb1 仔细看看我的回复吧
    liaoyaoheng
        39
    liaoyaoheng  
       2017-05-14 22:32:56 +08:00
    @bazingaterry 请教,adsl 公网,通过路由器的 windows 就不会感染?
    liaoyaoheng
        40
    liaoyaoheng  
       2017-05-14 22:34:46 +08:00
    @Gothack 路由开启 “禁止来自 wan 口的 ping ”就不会感染?
    mingyun
        41
    mingyun  
       2017-05-14 22:51:01 +08:00
    赞同 2 楼
    hohi2015
        42
    hohi2015  
       2017-05-14 22:54:39 +08:00
    我差点就信了
    ppbaozi
        43
    ppbaozi  
       2017-05-14 23:25:20 +08:00 via iPhone
    @liaoyaoheng 我认为,不管什么网络,只要没动 windows 自带防火墙,网络类型选择公用,就不会感染
    Gothack
        44
    Gothack  
       2017-05-15 00:30:47 +08:00 via iPhone
    @liaoyaoheng 跟这个没关系,只要有一层 nat 就没事
    freestyle
        45
    freestyle  
       2017-05-15 01:13:04 +08:00 via iPhone
    明明是 ipv4 不够用...
    bazingaterry
        46
    bazingaterry  
       2017-05-15 02:26:14 +08:00 via iPhone
    @liaoyaoheng 只要你没开 DMZ,内网没有机器被感染,就不用害怕。
    JJaicmkmy
        47
    JJaicmkmy  
       2017-05-15 02:59:52 +08:00
    然而 445 端口被封真的给我带来了很多麻烦,让我不得不用 VPN 访问家里的 NAS。
    msg7086
        48
    msg7086  
       2017-05-15 04:04:16 +08:00
    说得好像直连公网的运营商就没办法做保护了一样。
    axzy
        49
    axzy  
       2017-05-15 08:17:33 +08:00
    然而是公网 IP 资源短缺,IP4 情况下,每个人都有独立 IP,铁定是不够用的
    zscself
        50
    zscself  
       2017-05-15 09:46:19 +08:00
    感觉 LZ 就是顺势讽刺一波运营商的大内网
    YvesX
        51
    YvesX  
       2017-05-15 11:06:50 +08:00 via iPhone
    缺乏幽默感的人有点多啊……
    kghch
        52
    kghch  
       2017-05-15 12:23:31 +08:00
    LZ 大概会被一些楼层蠢哭,明明就想说个玩笑的
    stormpeach
        53
    stormpeach  
       2017-05-15 12:37:50 +08:00
    教育网一打一个准。。。关键是你敢不敢。。。
    Khlieb
        54
    Khlieb  
       2017-05-15 12:54:03 +08:00
    将来赵家人建设 gfw 又多了个口实
    redsonic
        55
    redsonic  
       2017-05-15 14:08:22 +08:00
    家用的都让路由器挡下来了。另外好像这次的病毒仅通过扫描内网传播? 并且如果支持 ipv6 呢? 很多光猫根本没有内置 ip6tables,如果用户终端启用 ipv6 且关闭自带防火墙、杀毒、防护软件就等于真裸奔,连码都不打。

    @sbbeta 他们内网端口是白名单制。
    @ys0290 其实与你相邻的几个段都没封,我这的区承包商都能告诉你哪些封了哪些没封。
    dot
        56
    dot  
    OP
       2017-05-15 14:23:52 +08:00
    @zscself #50
    @YvesX #51
    @kghch #52

    还是你们懂我啊……~~
    dot
        57
    dot  
    OP
       2017-05-15 14:27:09 +08:00
    @zoues 封 80 是因为北岸的关系……不允许私搭乱建个人网站。
    dot
        58
    dot  
    OP
       2017-05-15 14:34:33 +08:00
    @sgissb1 内网隔离的方法就很多了,VLAN 是一个,划子网是一个,光猫 NAT 是一个……所以这只是嘲讽一下啦,不是认真要讨论 NAT 这个事情。

    @liaoyaoheng
    通过路由器的 ADSL,只能从内攻破,外面进不来的,放心好了。

    @hohi2015
    哈哈哈哈,还好你没信~
    swulling
        59
    swulling  
       2017-05-15 14:41:02 +08:00
    @Gothack 本次漏洞不需要点链接,直接远程感染
    dot
        60
    dot  
    OP
       2017-05-15 17:09:44 +08:00
    @swulling 身处路由器保护之下的,是不需要担心的~
    liaoyaoheng
        61
    liaoyaoheng  
       2017-05-15 17:54:48 +08:00
    @dot 想请教下,ADSL 下透过无漏洞的路由器连接网络,不开 DMZ 等映射,所有的来自网络的远程攻击都不会感染到路由器下的客户端( windows 安卓 ios 等)?

    dot
        62
    dot  
    OP
       2017-05-15 20:02:50 +08:00   ❤️ 1
    @liaoyaoheng
    如果路由器没问题的话,你的内网是安全的。路由的 NAT 可以帮助你抵挡一些外界主动发起的攻击。

    但是如果你要跟外界通信的话,来自网络的攻击有多种多样的~
    可以劫持进出你路由的数据包嘛,可以劫持你的 DNS 查询请求嘛~ 运营商插入广告不就是这么干的么。
    如果它劫持你的数据跳转的是一个带毒的网页呢?那你内网的设备不就被攻破了~

    所以,还是有风险的。
    liaoyaoheng
        63
    liaoyaoheng  
       2017-05-15 21:24:47 +08:00
    @dot 其实很好奇带毒的网页,用 chrome,firefox,edge 最新版,其实觉得并不会中毒,毕竟都在沙盘内难以攻破。
    txydhr
        64
    txydhr  
       2017-05-16 00:23:27 +08:00 via iPhone
    这病毒不是主要危害局域网的么?家庭用户本来就对这病毒无所谓吧,这病毒只能 windows 传 windows 所以中招的都是大型局域网,少则 5 台左右多则上百台 windows,而且长期开机。。。收发邮件,文件共享都是容易中招的高风险行为,其中有个小白中招直接团灭。。还是安全意识的问题,多少公司不打补丁,有公司就关闭垃圾邮件病毒邮件扫描,说怕漏了邮件。。。
    家庭用户现在一般就一两台电脑,而且在 nat 后面,只要自己不去下载奇怪的邮件,不会中招。在家玩游戏,看视频都是低风险行为,个人邮箱 qq、gmail 都自带病毒扫描。。。剩下的都是手机平板。。
    另外虽然 ipv6 没有 nat 了,但是一般家用路由器默认 block all incoming ipv6 traffic,效果和 nat 一样。。
    txydhr
        65
    txydhr  
       2017-05-16 00:24:20 +08:00 via iPhone
    @liaoyaoheng 下载下来的文件就不在沙盒了
    raysonx
        66
    raysonx  
       2017-05-16 01:57:13 +08:00 via iPad
    IPv6 因为地址空间大,如果主机地址够随机,很难去对网段进行扫描
    QQ2171775959
        67
    QQ2171775959  
       2017-05-16 10:15:03 +08:00
    做好了防范的话,公网 IP 也是没有多大的问题,运营不给你们家用公司 IP,是为了节约成本考虑的。并非你说的那么伟大的。
    julyclyde
        68
    julyclyde  
       2017-05-16 11:00:30 +08:00
    这个没啥用,其它宽带客户会感染你的
    只有“少量机器在 nat 后面”才有保护效果
    dot
        69
    dot  
    OP
       2017-05-16 11:30:24 +08:00
    @liaoyaoheng 沙盒还不是会被破,你以为每年那么多不同的黑客大会都在干什么?
    dot
        70
    dot  
    OP
       2017-05-16 11:34:48 +08:00
    @txydhr 这个病毒主要危害的是,存在 ETERNAL BLUE 漏洞并且开放了 445 端口的 Windows 用户。
    所以,要中毒得满足两个个条件:
    1. 445 开放
    2. 有 ETERNAL BLUE 漏洞
    缺一不可,就是光开放 445 但是打过补丁的话,也是没戏的~

    而且那些装了 360,电脑管家什么的,3 月份补丁就打过了……
    所以其实目前身边还没见到中毒的。
    dot
        71
    dot  
    OP
       2017-05-16 11:36:32 +08:00
    @QQ2171775959
    这个大家都是心知肚明的,IPV4 确实紧张,新晋运营商手上也没几个 B 段,自然舍不得放出来给家庭客户。

    对,我说的就是 CMCC。
    dot
        72
    dot  
    OP
       2017-05-16 11:37:18 +08:00
    @julyclyde 这个要看了,如果家家都装了路由器,基本上一个 VLAN 或者一个 LAN 里面也影响不大。
    huobazi
        73
    huobazi  
       2017-05-16 16:29:57 +08:00
    我上学时宿舍电脑直接教育网公网 IP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3678 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 82ms · UTC 04:30 · PVG 12:30 · LAX 20:30 · JFK 23:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.