¿Cómo conectarse directamente a dispositivos detrás de NAT desde Internet?

5

Tenemos una dirección IP en Internet global: "A"

Solo tenemos acceso a "A".

Tenemos una red detrás de un enrutador que hace NAT: 192.168.1.0/24

Hay un cliente detrás de ese NAT: "B"

No tenemos acceso a "B" ni al enrutador "NAT".

Objetivo : llega a la "B" directamente con "A".

No podemos usar el reenvío de puertos o UPnP, etc.

Pregunta: ¿Cuál es el truco para llegar a "B"? Un truco que podría evitarse si el enrutador tuviera un firewall con estado, ¡no solo NAT!

Estamos pensando que cuando "B" navegue por la web, saldrá a Internet. Cuando está recibiendo respuestas, el enrutador que hace el NAT debe decidir qué IP con NAT tenía "B". (Podría haber más máquinas detrás de la red NATed). Para esto, el enrutador NAT usa la información del puerto también. ¿Quizás si nosotros / ellos estamos usando UDP, podemos probar todos los puertos no privilegiados con la IP "A" para enviar un paquete a "B"?

El enrutador NAT es simplemente un enrutador Soho. (Problema original: intentar probar que NAT no es un firewall, pero necesitamos una evidencia)

    
pregunta Marina Ala 28.03.2017 - 20:48
fuente

2 respuestas

3

En una respuesta simple (si estoy entendiendo esto correctamente), sí. Puede lograr esto utilizando túneles SSH inversos.

Necesitará configurar el túnel en "B" utilizando primero calcetines (se puede hacer a través de Putty), luego deberá enrutar su tráfico a través de "A" para las solicitudes.

Cuando regresen las respuestas, serán dirigidas a través de "A", de vuelta a "B"; Esencialmente alcanzar "B directamente con A".

Aquí hay algunos recursos adicionales para lograr esto: enlace enlace

    
respondido por el c1ph3rflux 28.03.2017 - 22:37
fuente
1

En realidad, su plan podría funcionar, dependiendo de cómo funciona el dispositivo NAT.

Por lo general, los dispositivos NAT asignan la IP interna y el puerto de origen a la IP de destino y al puerto, de modo que solo permite que la IP y el puerto se comuniquen nuevamente con la IP interna. Esto hace que NAT sea un cortafuegos de estado muy crudo y pobre.

Pero esta función no es una parte obligatoria de NAT, lo que significa que cualquier proveedor puede optar por implementar este enfoque, o no.

Eso significa que es teóricamente posible poder escanear los puertos de un dispositivo NAT y descubrir la red interna si los dispositivos en la red interna responden a los intentos de conexión . Esa es una gran serie de 'ifs'. Pero vale la pena.

Entonces, sí, solo el NAT es insuficiente, porque no sabes cómo se implementó el NAT . Un firewall con estado proporciona defensa en profundidad para cubrir este posible agujero desconocido. NAT no es una tecnología de seguridad y no debe tratarse como un mecanismo de protección.

    
respondido por el schroeder 29.03.2017 - 10:57
fuente

Lea otras preguntas en las etiquetas