V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Marionic0723
V2EX  ›  宽带症候群

关于运营商分配假公网 IP 的问题

  Marionic0723 · 2022-08-27 20:34:35 +08:00 · 39300 次点击
这是一个创建于 818 天前的主题,其中的信息可能已经有所发展或是发生改变。
感谢 @onion83 发的图


这种技术多半是是运营商用来应对那些啥都不知道又跟风申请公网 IP 的小白的,用了这招之后,拨号获取到的 IP 和上网查到的的确是同一个,NAT 类型也会测出最宽松,能骗过绝大多数人,只有需要公网开服务而且正好端口和别人冲突的时候才会发现异常。

那么问题来了,如何分辨这种假公网?多用户在同一端口开放服务后,NAT 设备如何处理流量?

我的想法:
1.分别在低位和高位端口开设服务,然后用跨运营商的网络去访问它,查看访问能否成功,如果有不成功的,除了被运营商封锁(如 25 ,80 ,443 ),剩下的端口就是给别人了,证明公网 IP 是共享的。
2.内网发起路由跟踪,看看到达运营商真正的公网网关前是否出现丢包跳数。手机流量一般就是这样,只不过能看出是内网 IP 。
还有什么想法欢迎各位补充。
第 1 条附言  ·  2022-08-28 10:02:02 +08:00
简单看了下各位的讨论,我觉得:

1.这个方案分配到的公共 IP 地址(请注意“公共”和“公网”的区别)其实称作“共享公网”更恰当(可惜标题不能改),因为它确实支持有限度的从外部访问(除非运营商还有一套方案,公网私用而且来骗小白,也就是完全不支持外部访问,也就是加强版的 100.64.0.0/10 ),路由器 WAN 口和上网查到的是同个 IP ,NAT 类型也是 A/宽松 /优秀,只不过同一时刻别人也在用。

2.如果真的是共享公网地址,那就必然会提到外部访问,而共享的肯定会冲突。虽然各位提到很多避免冲突的问题,撞协议其实在某些时候并不是少数。如 SSH 、RDP 和 VNC 。我举个例子,有人发现自己是 100.64 ,然后申请公网,一开始运营商二话不说给了这种共享公网,客户一时间根本看不出异常,除非要外部访问时,那才会发现——SSH 密钥不通过、RDP 登录死活是密码错误,或者 NAT 网关丢包。有点电脑操作水平的话会继续排查,很快就会发现连的是别人的机器(或者是机器始终没有收到请求),继而马上知道这个公网是假的 /被共享过的,然后再向运营商投诉时,才会被分配到独享全端口(除 80 等)的,广义上的「公网 IP 」。

3.我同意 @mikewang 的观点,大家缺的可能就是开放端口。很多地方即使是内网,NAT 类型也是 A ,如果一部分人有外部访问的需求,申请公网 IP 的步骤就换成申请开放端口,路由器啥的 DDNS 靠检测网页上返回的 IP 而不是接口 IP 来更新,然后在这个公共 IP 上分配 100 个独享端口啥的,这样的话就能解决不少问题。我自己也有公网,但是常用到的端口也就那么十几个。

目前尚未得知这套方案是否已经大范围部署,也不知道冲突时运营商的网关是怎么处理的,就比如 @cnbatch 的假设:“假设某个假公网(假设是 123.45.67.89 )后面有 3 个 3389 (都是 Windows 远程桌面),那么外界某台机器发起请求,连接到 123.45.67.89:3389 的时候,应该连后面的哪台机器?”

不过运营商狡猾得很,干出啥都不奇怪。我家前几天免费升级电信千兆,装好了公网掉了,去测速,选了个美国洛杉矶的服务器,电信出国慢是众所周知的,结果也给我跑了 900 多 Mbps ,Speed test 延迟也是 170 左右,看上去没问题,而打开资源监视器一看,发现测速 IP 全是天津电信机房,估计是劫持 DNS 吧,真的闸总。第一时间确实把我骗过了,随后马上想到电信出国不可能这么快,于是才发现异常。但凡它装的像一点,装模作样跑个 200M ,我都不会去怀疑了。
第 2 条附言  ·  2022-08-29 10:38:55 +08:00
补充说明:
据说这套方案早已经部署了,如果不是这张图,可能没人能发现,怪不得会出现“有时候连不上,过一会又好了”的灵异现象。

wuosuper 说:“至于探测,老用户是没法探测的,只有新装宽带的用户在前一周内可以探测,并且经过多年迭代体验与真实 IP 无异。厂商并不想推这项技术,是某地运营商要他们做的,后来被各地运营商看中,并且已经已经部署了 40+城市。”

假到足够以假乱真时,是不是就可以把它当成残血的正牌货了?
250 条回复    2024-06-13 08:18:13 +08:00
1  2  3  
NXzCH8fP20468ML5
    101
NXzCH8fP20468ML5  
   2022-08-29 00:42:22 +08:00 via Android
@wuosuper 其实还有一个问题是,看起来这套系统会限制连接数,不知道这种连接数的限制是系统直接对连接数进行限制,还是由于端口不足导致的限制。
如果不想要公网 ipv4 ,能否绕过这套系统,以避免连接数被限制。
wuosuper
    102
wuosuper  
   2022-08-29 02:15:27 +08:00 via Android
@xxfye 厂商技术人员说不限制连接数的,每个用户并发连接数都可以 20 万以上,同一个端口可以给多个用户复用,并且数据不会冲突。
同一个端口,既可以作为公开在公网的端口供访问,也可以作为多个用户访问公网的源端口。
举个例子,一个端口 12345
可以接受公网传入连接,
也可以复用给多个用户:
10.0.0.1:12345-1.1.1.1:80
10.0.0.2:12345-1.1.1.1:443
10.0.0.3:12345-1.1.1.2:80
10.0.0.4:12345-1.1.1.3:80
10.0.0.5:12345-1.1.1.4:80

只要同一批用户不同时使用同一个来源端口访问同一个目标地址同一个目标端口就不会冲突,冲突会 rst ,客户端自动重试更换新的源端口。
具体的技术没讲,也同样完全是一个黑箱产品。
wuosuper
    103
wuosuper  
   2022-08-29 03:04:45 +08:00 via Android
@wwbfred #98 #99 经过建维朋友咨询厂商
对两个问题的回复:现网运行版本已经很好地解决了这些问题,遇到这些问题的概率低于万分之一,分配 IP 池时即尽可能确保了不会出现这些问题,该问题只会出现在用户首次入网首次拨号的情况。
wwbfred
    104
wwbfred  
   2022-08-29 03:10:23 +08:00
@wuosuper 你说端口冲突可以通过算法分配,降到一个够低的概率,我信。那我回答所有 SYN 包,怎么办?我通过#99 提出的方案主动探测是否是假 IP ,怎么解决?
更重要的是,既然不遵循标准协议,是不是也应该告诉客户会发生什么,以及这一技术的安全隐患。算法一定是根据开端口的情况的来分配 IP 的,那我换个端口又是首次拨号,攻击面根本没变。
wwbfred
    105
wwbfred  
   2022-08-29 03:15:52 +08:00
@wuosuper 即使是万分之一,那也是给 IP 层开的一个洞。而且这个万分之一是怎么算的?一万个数据包有一个出问题?还是一万个连接出错期望是一个?还是一万个用户有一个会发现问题?这种 PPT 说法,概率值看起来很小,实际上用户端看到的问题可能比这个要严重得多。现在的低投诉,你根本不知道是没啥问题还是别人根本不知道问题在你运营商这儿。
NSAgold
    106
NSAgold  
   2022-08-29 03:18:12 +08:00 via Android
@acbot #84 花半分钟想的方案,肯定想的不周到,别在意😂
wuosuper
    107
wuosuper  
   2022-08-29 04:08:50 +08:00 via Android
@wwbfred 厂商回复:#104 具体看运营商配置,不会冲突,现网版本不会触发全部 syn 响应问题,已在 2018 年早期版本修复。
#99 具体看运营商配置,默认配置下用户无法探测,同一个用户分配到的地址池数量有限,用户无法遍历全部地址,并且用户短期重新拨号无法更换新 IP 。
#105 万分之一概率是指每一万次地址池分配出现端口冲突的概率约为一次。并且光猫已内置网络质量监测模块,频繁出现相关错误会及时通知后端处理。
wwbfred
    108
wwbfred  
   2022-08-29 04:42:01 +08:00
@wuosuper 大半夜的辛苦了。虽然我不知道你是哪个部门的,但看得出来厂商是想推这个模块的。
回复 1:完全没看懂是什么意思。
回复 2:看懂了,但我问的不是这个问题。
回复 3:端口冲突是所有问题里最好解决的。
而且厂商的回答没有涉及到最关键的安全性问题。上面提到的几个非常简单的攻击方案,厂商都没有正面回答,都是声称"解决了",但怎么解决的是机密,解决到什么程度了也是机密。我这里我已经测了,大概率不是假公网,没法进行进一步测试。但这个模块要是大范围部署了,就会有更多人构造出更多的攻击路径,到时候可就不是一个"机密"能说得过去的了。
wuosuper
    109
wuosuper  
   2022-08-29 05:18:01 +08:00 via Android
@wwbfred #108 我就是个打工的,在通宵打游戏,恰好建维朋友在值班,恰好他那边厂商也在值班,恰好他们也在划水,就帮你问了。
安全性问题他们表示现网运行版本不存在,你说的问题初期版本就解决了。至于探测,老用户是没法探测的,只有新装宽带的用户在前一周内可以探测,并且经过多年迭代体验与真实 IP 无异。厂商并不想推这项技术,是某地运营商要他们做的,后来被各地运营商看中,并且已经已经部署了 40+城市。
wwbfred
    110
wwbfred  
   2022-08-29 05:28:46 +08:00
@wuosuper "安全性问题他们表示现网运行版本不存在",计算机网络领域,一个连它的存在都不愿意公开的东西,安全何从谈起,这个根本就是违反常识。TCP 握手包复制,UDP 就是首个数据包复制,还是直接发送给其他用户,极大扩大了攻击面。要是能说出个所以然来也行啊,不说,机密,但就是安全。而且就是这个安全稳定高效的方案,我们也不想推,都是运营商求着用。我说句实在话,咱能靠谱点么?
wuosuper
    111
wuosuper  
   2022-08-29 05:45:19 +08:00 via Android
@wwbfred #110 同样厂商回复:上面的图与包复制相关资料都已经过时,现网运行版本结构与上图结构完全不同,是新重构的版本。新版本不会采用包复制 /广播相关方案,故不存在相关安全问题。安全问题已通过相关测试,目前未表明存在相关安全问题。与其关心 CGNAT 的安全性不如关心 PON 接入的安全性,目前部署的 PON 也采用全明文数据广播分发的方式,各运营商为了最大接入数量也未开启加密,加上背反射的情况是完全可以获取整个 PON 下所有用户的上下行明文数据的。
wwbfred
    112
wwbfred  
   2022-08-29 05:54:06 +08:00 via iPhone
@wuosuper 行吧,都说到这份上了,是骡子是马就出来溜溜吧。这个东西至少初版看起来很是问题,至于现在的安全性,公开出来让大家一起玩玩就知道了。
Dorcoin
    113
Dorcoin  
   2022-08-29 08:59:30 +08:00 via Android
有说电信的申请现在基本上不好通过了吗?想选个运营商方便一点的,有什么推荐吗?
jadelike
    114
jadelike  
   2022-08-29 09:38:52 +08:00
你们说的都很 nb ,所以我这个小白想问问公网 ip 有啥用,我申请了有啥好处。
Marionic0723
    115
Marionic0723  
OP
   2022-08-29 10:34:18 +08:00
@jadelike 也就可以外部访问,没啥。只不过这里的大部分人对远程访问是刚需,所以对公网 IP 的反应不小。

@Dorcoin 别选电信就对了,如果你常上国外网站的话,卡的你怀疑人生。

@wuosuper 已经大规模部署了吗?突然感觉某些时候的灵异事件有解了,比如公网开个端口可以 tcping 通,但是软件连接时就报错,过一会又能连上,难道我也是用的共享地址……?
lcy630409
    116
lcy630409  
   2022-08-29 10:46:38 +08:00
我觉得 wwbfred 算是钻牛角尖了
为啥要公开?你要是运营商的工作人员 能接触到 就能接触到,公开让大家又一窝蜂的去测试 ip ?某些视频主 又开始忽悠小白 去要真 ip ?
很多不需要真 ip 的 看着比人发的视频 文章就去要,要回来干啥? ip 不够就技术凑吧
算了 反正现在 v6 一直在推进,后面 v4 的公网 肯定是都要收回的,也就能搞几年了 没啥意义了
wwbfred
    117
wwbfred  
   2022-08-29 11:01:29 +08:00
@lcy630409 一个搞基础网络,还在这儿上黑箱设施,能瞒一天算一天,出了问题让用户抓瞎。搞个公网 IP ,还分小白大佬,好像一部分人有权利比另一部分人更平等,开动物庄园呢这是?
厂商那边到头来也没说清楚,这玩意到底有什么缺点。处处都是优点,堪称开天辟地,但一说责任就是运营商要求上的,不是我们推的,这玩意儿你用着放心?
MNIST
    118
MNIST  
   2022-08-29 11:18:35 +08:00
@wwbfred 大家都是在一个 BARS 下的城域网,理论上延迟是差不多的,我很好奇要如何进行抢答呢?
kyor0
    119
kyor0  
   2022-08-29 11:22:37 +08:00
我现在有点怀疑,在大内网的现在,ipv4 还稀缺么。
wwbfred
    120
wwbfred  
   2022-08-29 11:24:50 +08:00
@MNIST 如果延迟都是一样的,其他条件条件也是理想的,那就是 50%成功率呗,够你干很多事的了。而且要是真能这个成功率,我能笑出声。
lcy630409
    121
lcy630409  
   2022-08-29 11:54:49 +08:00
@wwbfred
你完全不知道技术如何实现的,却在这里一直怀疑
但是根据上面的人说的 确实很多省市上了这套设备,说明是可以实现的,还一直纠结这些技术问题没啥必要吧?

而且 运营商敢用这套设备就说明他们是有数据支撑的
家宽本来就是靠超售赚钱的
机房网络贵的原因就是因为 机房网络的使用率是按照 80%算,所以宽带贵
家宽不要钱一样的送,就是因为家宽使用率不高,不到 20%,但是户头终端又多,上这套假公网 ip 完全没问题,既能满足用户的要求(需要公网 ip ), 又能符合运营商自己的利益( ip 少), 何乐而不为呢?
如果你的家宽使用率高 这套技术影响了你的使用,你投诉就行了,他们会知道你是那部分宽带使用率高的群体 给你单独真 ip 也可以

如果你觉得运营商使用假公网 ip 技术违反了合约或者导致你的业务出现问题 你可以投诉 甚至起诉,一直在这里讲究所谓的权利 没必要吧?
而且说不好听的,在网络里家宽就是没权利 所有的优先级最低,保证服务率也是最低,有需求有意见 可以签专线合约,断网赔钱
wwbfred
    122
wwbfred  
   2022-08-29 12:04:15 +08:00 via iPhone   ❤️ 4
好家伙,他们藏着掖着三缄其口,现在反过来因为我不知道细节质疑我提出问题的权力?知道的人要遵守保密协议,不知道的没资格质疑。好一个逻辑学大师。
lcy630409
    123
lcy630409  
   2022-08-29 12:37:38 +08:00   ❤️ 1
谁藏着了?别人大厂做的系统 自己的专利 凭什么你一个无关的用户说要看 就立马送你面前?
你的公网 ip 要求达到没?运营商根据自己的条件达到用户的要求 还要被人指指点点
按照你的要求,咋 要专门建一个网站来显示运营商所有的技术要点?等别人建好网站 估计你的要求又变成了 要手把手的教你?

很奇怪的思维,你和别人签了合约,别人按照合约给你提供了相应的服务,甚至公网 ip 都没写合约上,额外给你的,还这么多要求,给了 1 2 块钱就要想当大爷?

凭什么签个家宽,就要专线的 99999 服务?
凭什么存几块钱,就要用银行 vip 室专人服务?
凭什么交 1 块钱物业费 就要享受别人 10 星级服务?

要不是有个工信部,看给你惯的
JohnBull
    124
JohnBull  
   2022-08-29 12:56:46 +08:00 via Android
@wwbfred 这不是学习的问题,而是工程实践。书上学来的协议和通过工程实践踩坑搞明白的协议不是一个东西
MNIST
    125
MNIST  
   2022-08-29 13:18:55 +08:00
@wwbfred 其实吧,要我说,ip 地址太少了很难受,ip 地址太多了也很难受,ipv4 地址太少,变着花样搞复用技术,ipv6 地址太多,要防止存在 BT 或者 PT 的家庭网内没有防火墙的设备被外界探测到,反正现在运营商开始部署 IPOE 和 ipv4in6 ,除此之外还有这种新的 NAT 技术,以后家用上网要大变天啊
Servo
    126
Servo  
   2022-08-29 13:39:20 +08:00 via Android
我有一个可能很弱智的问题,不是都有 IPV6 了,为何一些用户还是执着于申请公网 IPV4
libinglong9
    127
libinglong9  
   2022-08-29 13:39:45 +08:00 via iPhone
@wwbfred 非常赞同你的观点,国内为了解决问题不择手段的"牛逼"技术真是数不胜数,更有一些吊儿郎当的人还顶礼膜拜,真是笑死人了
libinglong9
    128
libinglong9  
   2022-08-29 13:42:22 +08:00 via iPhone
@xxfye wwbfred 是高手,他没有针对你的意思,而是抨击行业不规范的行为,确实后患无穷。
wuosuper
    129
wuosuper  
   2022-08-29 14:49:26 +08:00 via Android   ❤️ 1
@Marionic0723 最早部署的已经 5 年了,陆陆续续都有运营商在采购,现在是普遍部署的状态,目前厂商给了一个特性可以用来判断是不是部署了:反复重新拨号,看分配到的 IP 是否是同一个,或者可分配的 IP 很少,来来回回就那么几个。当然部署后投诉率暴增的地区也有,比如广东电信 /深圳电信,改了这种公网反而不如 100 段内网 CGNAT 稳定。
huaes
    130
huaes  
   2022-08-29 14:51:15 +08:00
我现在都怀疑那些以为被固定 IP 了的家宽,是不是上了这一套系统,一个 IP 下限制用户数那为了节省计算资源干脆固定 IP 算了
NXzCH8fP20468ML5
    131
NXzCH8fP20468ML5  
   2022-08-29 14:52:37 +08:00 via Android
@libinglong9 能解决现实问题的技术就是牛逼的技术。
隔壁新鲜出炉的帖子,要不你们去批判一下不遵循行业规范?
https://www.v2ex.com/t/875975
wwbfred
    132
wwbfred  
   2022-08-29 14:55:53 +08:00
@lcy630409 少来这套,我要某司专利干嘛,我要的是某司瞎搞我就能骂某司的权力。
而不是把它偷偷上线,然后把技术细节藏起来说这是我的机密,你没看过所以你无权批评。这简直就是流氓逻辑。
而且瞧你后面说的那是什么话,虚空打靶,前言不搭后语。我这是戳到谁脊梁骨了,还是砸了谁的饭碗了?
cnbatch
    133
cnbatch  
   2022-08-29 15:03:43 +08:00
关键句来了:“并且用户短期重新拨号无法更换新 IP”

看来想要判断自己的公网是不是真·公网 IP 很简单,短期内多次断线重连,看看 IP 地址会不会发生改变就行了。
每次重连都会换新 IP 那就是原始意义上的公网 IP ,如果 IP 还是没变化那就是共享式公网 IP 。
gy911201
    134
gy911201  
   2022-08-29 15:20:37 +08:00
@kyor0 稀缺, 因为抖音上很多视频让粉丝去要公网 IP, 并声称这样可以提高网速, 还降低延迟, 所以有很多人跟风的.
libinglong9
    135
libinglong9  
   2022-08-29 15:23:34 +08:00 via iPhone
@xxfye @wwbfred 内行看笑话的技术罢了。国内的风气真是醉了。假设我在部署一个服务,出现问题,当我耗尽数周都难以解决,最后才发现问题在运营商,这是多么难受的情况?我发现这里的人有个误区,说有一部分高级用户,可以申请独享 ip 池,这个没错,但是,这部分高级用户,首先怎么知道自己是公共 ip ?运营商告诉他?还是他历尽千辛万苦的 debug ,最后上网发现了这个帖子?
cnbatch
    136
cnbatch  
   2022-08-29 15:48:21 +08:00   ❤️ 2
@xxfye 主要是第一个破坏规则规范的人是谁,以及另一边的受影响方是否感知到、能否自己缓解 /化解。

在梯子技术中,第一个破坏规则的人并不是用户,于是用户们也只好用非规范的手段去做原先能直接做的事情。然而至少用户是知道这种“破坏规则”是存在的,尽管第一个破坏者自己没说话,但起码用户侧能很明显地感受到,并且用户可以自己去缓解、化解。

而到了这种“NAT 真假公网”的情形,第一个破坏规则规范的人依然不是用户自己,受到负面影响的却依然是用户自身(比如前面有人提到的玄学式的时而能连时而断开),稳定性反倒不如 NAT1 ,但用户给却毫不知情,以为是自己的问题。直到大家都见到 OP 转发的那张图,才惊觉原来是运营商和厂商使用了非规范措施导致自己连接变玄学,而自己此前一直不知情。
而且这种“故障”并不是自然形成的(例如线路受电磁干扰、光纤弯折过高、连接头没插稳、双方设备负载过高等等),而是故意引入的非规范设备的“后遗症”。
在这种情况下,作为用户,出现愤怒、发出声讨是很正常的。更何况,用户这一侧毫无缓解 /化解 /反击的措施。

解决问题的办法有很多种,并不是每一样都该赞的,毕竟有一些单纯只是“应付式”,表面上看解决了,实际上只不过是“堵住用户的嘴”。
举个例子。江苏广电为了“解决”IP 地址的不足,居然把 102.x.x.x 当成内网地址来用: https://www.v2ex.com/t/859490
能用吗?当然能用,也能算是“解决办法”的一种,然而就如同前面的“NAT 真假公网”一样,会带来风险与麻烦。
当然了,由于江苏广电这种做法带来的麻烦更为明显,并且违反规范的方式肉眼可见,实打实地造成用户无法访问 102.*的所有资源,更容易引起用户的察觉。
wwbfred
    137
wwbfred  
   2022-08-29 16:01:40 +08:00 via iPhone   ❤️ 1
@xxfye 越往底层,就越要稳定,而不是创新。你说我在物理层搞出了一个非常牛逼的模块,只不过会引入万分之一的误码率,这不是在搞笑么? IP 层也是一样,标准稳定,所有人都知道在这一层发生了什么,这才是最重要的,甚至是唯一重要的,否则这就是在给人挖天坑。想玩花活,去上层搞去,不要破坏底层。要破坏也是破坏你自己的就行了,不要悄么悄地给一大帮子人上线。
lcy630409
    138
lcy630409  
   2022-08-29 16:02:35 +08:00
@cnbatch
@wwbfred

那你们说说 公网 ip 不足了,运营商连花钱都买不到,怎么办?

技术的出现和大规模的使用 必然是因为有其原因,只站在技术和自己的角度来讲究权利?那不给公网 ip 也是运营商的权利,因为和你签订的合约上没有公网 ip ,只有网络服务

伪公网 ip 只要在技术上杜绝安全问题,达到目前连一般专业用户都无法察觉的存在 就说明这技术已经很优秀了,不是共赢么?难道一定要让运营商实在拿不出 ip 来 干脆一刀切,统统内网?
lcy630409
    139
lcy630409  
   2022-08-29 16:04:08 +08:00
@wuosuper
@huaes
@cnbatch
目前工信部下发了最新的要求 ,就是用户短时间内重播 不允许换 ip ,各地运营商已经在陆续执行了
防止刷 ip 做黑产
对于 99%的普通用户来说 没影响
bobwang3
    140
bobwang3  
   2022-08-29 16:14:03 +08:00
我关心 2 个问题:
1. 我家老电信光猫做了桥接,用了一个企业级的防火墙负责 PPPOE ,它做了 site2site 连到我公司。NAT4444 会让我连不上嘛?
2. 如果 NAT4444 不满足我的需求,我能通过投诉达到我的要求嘛?
lcy630409
    141
lcy630409  
   2022-08-29 16:16:04 +08:00
@bobwang3
NAT4444 基本无感知,出现问题再说 ,不要人云亦云的感觉出问题
libinglong9
    142
libinglong9  
   2022-08-29 16:20:47 +08:00
@lcy630409 实际上是两个维度的思考。如果问题在技术上确实是无解的,那只能通过花钱,价高者得,做技术要有底线。
wwbfred
    143
wwbfred  
   2022-08-29 16:31:36 +08:00 via iPhone
@lcy630409 底层的网络协议,不是谁说安全就安全的,自己开发自己测试自己评估,这又当球员又当裁判的玩法,在这个领域不适用。公开,是底层协议必须做到的。一直这么黑箱下去,没有任何安全可言。说白了就是,我不知道我是否安全;如果不安全,我也不知道有多不安全。而作为用户,我不愿把自己暴露在这样的不明环境之下。
lcy630409
    144
lcy630409  
   2022-08-29 16:42:32 +08:00
@libinglong9
底线?技术有什么底线?那给个方案吧?最起码思考 5 分钟的那种方案:分配的 ip 段已经用完了,不停的新增用户,他们的 ip 怎么解决,不给公网 ip 就投诉 整天烦死你的那种
lcy630409
    145
lcy630409  
   2022-08-29 16:47:34 +08:00
@wwbfred
你这话对于运营商来说 没有任何意义,你的所有数据都是在他那儿经传的,有国家监管法律的要求下,讲什么安全性?
这个技术对于用户 对于运营商来说 是双赢的,家宽也没有对你承诺过不出一点问题。

你要是很在意这个假公网,可以选择政企专线呢,甚至不是专线那种,就普通的和家宽同线路的政企套餐,他都不会给你假公网 ip
libinglong9
    146
libinglong9  
   2022-08-29 16:50:57 +08:00
@lcy630409

这是跪久了,站不起来了?公开的是协议,跟专利有什么关系,为啥要混淆概念?所以我们到底在谈技术,还是在谈政治?

>>>
谁藏着了?别人大厂做的系统 自己的专利 凭什么你一个无关的用户说要看 就立马送你面前?
你的公网 ip 要求达到没?运营商根据自己的条件达到用户的要求 还要被人指指点点
按照你的要求,咋 要专门建一个网站来显示运营商所有的技术要点?等别人建好网站 估计你的要求又变成了 要手把手的教你?

很奇怪的思维,你和别人签了合约,别人按照合约给你提供了相应的服务,甚至公网 ip 都没写合约上,额外给你的,还这么多要求,给了 1 2 块钱就要想当大爷?

凭什么签个家宽,就要专线的 99999 服务?
凭什么存几块钱,就要用银行 vip 室专人服务?
凭什么交 1 块钱物业费 就要享受别人 10 星级服务?

要不是有个工信部,看给你惯的
>>>
libinglong9
    147
libinglong9  
   2022-08-29 16:56:18 +08:00
@lcy630409 我貌似感觉到你可能是运营商的工作人员,至少在里面工作过。我知道工信部给运营商的压力大,我曾经在联通,说实话,还好有这么个部门,不然运营商要上天。
libinglong9
    148
libinglong9  
   2022-08-29 16:58:41 +08:00
@lcy630409 如果你说这是由于压力导致的屁股决定脑袋的方案,我是接受的,但你要让我接受这是个好方案,那是不可能的。
lcy630409
    149
lcy630409  
   2022-08-29 16:59:25 +08:00
@libinglong9
你们这不是一直在扭曲问题么
这个技术的出现的原因就是因为 ip 缺乏,但是用户公网 ip 的需求变多,怎么办?

对于普通用户来说是无感知的,不说别人 就这个帖子回复的人 有一个出现了问题么?上面 wuosuper 老哥一直在帮忙传递问话,都已经告诉你们了 这个技术经过几年的发展 基本没有问题了,有很大批量用户在使用,但是你们一直在用着普通的家宽来讲自己的网络权利,什么都不管 就是要讲自己的网络权益。

别人做这一整套系统,有什么义务给你们公开?

要是想要完整的技术服务,直接上政企宽带,钱给够 啥都有
libinglong9
    150
libinglong9  
   2022-08-29 17:01:06 +08:00   ❤️ 3
@lcy630409 屎一样的方案任何一个 it 从业人员都做过,无论是出于经验,还是由于压力逼迫,但垃圾的方案自己要承认,如果非但不承认,还要逼迫别人说屎是香的,就太过分了。
lcy630409
    151
lcy630409  
   2022-08-29 17:02:13 +08:00
@libinglong9
我不是运营商的人,但是我经常协助管理着一批人和事,知道所谓的人都是些什么样的,整天讲着权利,对于义务 就装不懂

运营商是个半商业化的公司,这个假 ip 就是个对双方都有好处的方案。
lcy630409
    152
lcy630409  
   2022-08-29 17:03:13 +08:00
@libinglong9 这个方案在别的地方 shi 都不是,但是在今天 ip 的缺乏和用户的要求来讲 就是香的
huaes
    153
huaes  
   2022-08-29 17:11:44 +08:00
@lcy630409 刚试了三次,换了 120.4 、60.3 、110.243 三个 IP 段,其实感觉这个技术还是用在 IP 资源紧张的省份
Marionic0723
    154
Marionic0723  
OP
   2022-08-29 17:53:15 +08:00
@Servo 因为 ipv4 现在仍然是主流,就比如说你要开公网共享文件,对方猫是路由模式,下面再接一个 20 块的 tp link ,只支持 ipv4 ,固件还是十年没更新的那种,总会有不支持 v6 的。而能上网的 v4 肯定没问题,所以说 v4 公网还有需求。

@wuosuper 我看别人讨论提到一点,工信部要求短时间重拨不换 IP ,但我这个是立刻换的,每次拨都变,在两个 /24 段横跳,而且每次拨号,ip 最后一位会越来越高,到达最高可用地址后再拨才会从头开始。
而且跟 100.64 的时候无明显差别。内网时也是越来越大,对应的公网也是。
我觉得是独享的,但是依然有能 tcping 通但无法连接的诡异现象,而且是过一会就好。
刚申请公网那会发现 443 在外网 tcping 都是通的,但是延迟比其他端口都低,请求也没发到我的设备上,可能是运营商网关伪造我的地址抢答了。

@huaes 像微信的风控策略是 IP 会变化才判断为正常使用,一直在一个 IP 底下反而容易风控(新号),我觉得是不可能为民用宽带分配静态 IP 地址的。
MNIST
    155
MNIST  
   2022-08-29 17:54:47 +08:00
@msg7086 就家宽那个上传,一条宽带一个月能赚 20 块钱就了不起了,你还想让 PCDN 的服务商给你 20 块钱让你买 IP ?
erfesq
    156
erfesq  
   2022-08-29 17:54:54 +08:00
国内差不多 3 亿多 ipv4 ,我看了国内差不多也就 3 亿多宽带用户,再加上移动的用户基本私网 ip ,就电联的公网 v4 肯定是够用的,不知道为啥非要搞这些东西。
libinglong9
    157
libinglong9  
   2022-08-29 18:15:17 +08:00
@lcy630409 最差的方案也是价高者得啊,为啥非得要吃大锅饭?

>>>
底线?技术有什么底线?那给个方案吧?最起码思考 5 分钟的那种方案:分配的 ip 段已经用完了,不停的新增用户,他们的 ip 怎么解决,不给公网 ip 就投诉 整天烦死你的那种
>>>
huaes
    158
huaes  
   2022-08-29 18:27:13 +08:00
@erfesq 还有那么多 IDC 机房呢,电信把大头都给了机房了所以哪怕它 IP 再多给民用的也没多少了,不过我倒感觉联通手里的 IP 是真的多。。。移动本来就没多少更都给了机房了,而且说句不客气的,大多数要了公网 IP 的实际使用情况和内网使用其实没多大区别,为了照顾那些真有需求甚至投诉的那只能敷衍一下那些没多大需求的了
Damn
    159
Damn  
   2022-08-29 18:36:58 +08:00
@libinglong9 #147 其实个人很希望移动采纳这个方案。我别处的两个联通目前还是真·v4 公网,无 v6 ,互联比较麻烦。
acbot
    160
acbot  
   2022-08-29 18:39:11 +08:00
@erfesq 对头,很多问题只要你留意或者是反过来一想就知道是咋回事了!除移动外其实电联多数省份都有大段(/12-16 的那种) v4 在吃灰!收 v4 都是省级公司层面的统一决策,并且是有相关部门政策指导的,决策之前很多因素就考虑进去了,执行之前客服部门都要统一话术培训,所以说人家没有考虑过投诉 KPI 的问题? 很多专业技术问题有时候你不要以为一线装维和客户人员真的不知道,仅仅是他们知道这个问题自己权限解决不了或者是不讨好,装傻罢了!
Damn
    161
Damn  
   2022-08-29 18:42:59 +08:00
@huaes 自信点,联通 ip 确实多。
我两个联通宽带,一个南方一个北方,都是小县城,都还没有上 ipv6 ,只有真 v4 ,也没有遇到什么 ip 很久不变的情况,每次重拨在很多个 c 段里乱跳。。
NXzCH8fP20468ML5
    162
NXzCH8fP20468ML5  
   2022-08-29 18:49:57 +08:00 via Android
@libinglong9
现在不就是价高者得?专线免费送公网 ipv4 。NAT 大锅饭吃得,NAT4444 大锅饭吃不得?

没错,我们现在就是谈政治,谈现实。
政治本质就是利益的分配,放在这里就是对于公网 ipv4 的分配。
而技术也不过是为了解决现实问题,解决政治问题。
单纯谈技术,放大炮谁不会啊,我要是总理,就下死命令要求 2025 年 ipv4 退网,说不定设备替换还能再利好一波华为。

@erfesq
国内的 ipv4 大部分不在运营商手上,运营商内部 ip 分配也有地域不平衡,即使 ip 也不可能全部家用,无论是预留还已分配,肯定是商用重要性远大于家用。
qwvy2g
    163
qwvy2g  
   2022-08-29 18:54:43 +08:00 via Android
那我有个问题这个假 ip 能不能用运营商的办法分配到每个设备上?
wangyuyang3
    164
wangyuyang3  
   2022-08-29 19:17:03 +08:00 via Android
@xxfye 几乎所有的 ip 资源都在运营商手里好吧。。。
NXzCH8fP20468ML5
    165
NXzCH8fP20468ML5  
   2022-08-29 19:19:04 +08:00 via Android
@erfesq
另外我不知道你那 3 亿宽带用户怎么得到的,下面加起来就是 5 亿多宽带客户了。


截至 2021 年底,中国电信有线宽带用户达到近 1.70 亿户,累计净增达 1100 万户左右,这其中中国电信的有线宽带用户数都在逐月递增。

而中国移动 2021 年有线宽带用户数累计达 2.40 亿户,不过在 12 月当月却净减 45.9 万户,全年累计净增 2978.5 万户;中国联通固网宽带用户
huaes
    166
huaes  
   2022-08-29 19:27:59 +08:00
@Damn 的确,联通 IP 多到有的物联网卡都能有动态 IP
NXzCH8fP20468ML5
    167
NXzCH8fP20468ML5  
   2022-08-29 19:36:51 +08:00 via Android
@MNIST 你说 pcdn 我可不困了。
我广东电信公网,早期办千兆有 100M 上传,网心云一天 5 。
就按照现在千兆上传 50M ,算每天 2.5 ,一个月也有 75 ,点心云说不定更高。
另一栋楼,也是我,广东移动全椎,30M 上传,网心一天 0.9 ,加京东云一天 0.4 。

这里面的经济利益看不懂吗?如果公网 ipv4 收费搞市场化,20 块钱?洗洗睡吧,梦里什么都有。
NXzCH8fP20468ML5
    168
NXzCH8fP20468ML5  
   2022-08-29 19:39:19 +08:00 via Android
@huaes #165 没发全,联通固网客户确实是最少的。

中国联通固网宽带用户全年净增 895 万户,总数达到 9505 万户。
NXzCH8fP20468ML5
    169
NXzCH8fP20468ML5  
   2022-08-29 19:50:02 +08:00 via Android
@wangyuyang3 是我手贱打错了,我想打的是,“大部分都在运营商手上,但是运营商内部 ip 分配也有地域不平衡”
wangyuyang3
    170
wangyuyang3  
   2022-08-29 19:55:20 +08:00 via Android
@xxfye 楼上一堆人怼你的根本原因就是你这个“能解决利益分配、现实问题的技术就是牛逼的技术”的观点。你好像认为自己是站在中立方视角,想最大化平衡运营商和用户的利益。但你必须承认,这个技术是运营商拿来解决麻烦的,它优先考虑的是运营商的维稳利益,矛盾的解决主要是以牺牲用户的网络安全和知情权为代价。

你可以说“我认为,站在运营商视角,运营商用这个技术很聪明,能解决资源不足和用户投诉的困境”;但你把这种利益高度相关的技术拿来作为技术牛逼与否的标准和论据,我真觉得你既侮辱了技术行业,也侮辱了牛逼这个词。。

而且你上面举的翻墙代理协议的例子也反映了你的思想混沌。如果 ss 或 v2ray 是牛逼的技术,那 gfw 是不是也是牛逼的技术?前者解决了翻墙的现实需求,后者解决了国家维稳需求,都是解决显示问题的聪明方案。但很显然,在当事双方来看,对国家来说,翻墙协议无疑是邪恶的技术;对追求自由的网民来说,gfw 也是邪恶的技术。

结果只有中立的你夹在 gfw 和 v2ray 中间大喊双方技术牛逼,不觉得尴尬吗。。。
huaes
    171
huaes  
   2022-08-29 20:08:11 +08:00
@xxfye 按照最新财报。固网用户电信 1.75 亿,移动 2.3 亿。联通 0.9948 亿。但又有什么关系呢,运营商此举就是为了解决投诉问题的,移动是无能为力,电信联通是为了专线 IDC 用户的高利润率,而且部分用户拿公网 IP 就是为了爽,不给就投诉,这套技术还真就做到你好我好大家好了
NXzCH8fP20468ML5
    172
NXzCH8fP20468ML5  
   2022-08-29 20:09:35 +08:00
@wangyuyang3 对啊,我觉得 gfw 确实很牛逼,ss 也很牛逼,都很切实解决双方的问题,两者并不矛盾。
我不太喜欢 v2ray ,clash ,原因在于 vmess 和 vless 我至今也看不懂比 ss 好在哪里,clash 顶多就是把以前 iptables 干的事情搬到用户空间,做到开箱即用,实现起来却有些扭曲。
另外我也挺喜欢 tarjon 的。
lovelylain
    173
lovelylain  
   2022-08-29 20:13:02 +08:00 via Android
@wangyuyang3 还是有区别的,国内公网 ipv4 地址少是客观情况,僧多粥少的情况下采取一些变通措施,达成皆大欢喜的结果,如果相比没公网的没啥缺点的话,我觉得挺好的。
wangyuyang3
    174
wangyuyang3  
   2022-08-29 21:43:14 +08:00 via Android   ❤️ 1
@xxfye 分两部分回复。
首先是对这一整个帖子你们的长段争吵做一个小结。牛逼这个词具有高度的价值判断色彩,但你天赋异禀,竟然可以把这个词同时用在两个价值截然对立的事物上,这本身反映了你对语文的使用存在问题。当然我不能干涉你的用语偏好,但你这种习惯放到类似的讨论上以后必定还会制造大量争端和无效讨论,浪费网友阅读时间。。虽然怎样讨论问题是个人自由,但从维护讨论社区健康发展的角度看,行使发言权也必然要承担“避免他人误解”的义务。

第二,一个小建议,对待非自己本行的问题讨论,如果无法确保自己有尽可能全面的认知,还是保持谦卑,少下论断为好。从最简单的翻墙这个问题上,就能反映出你的基础实在欠缺,认知混乱,却想树立鲜明的独立思考、有独到见解的形象。

iptables 是一个防火墙工具,对于翻墙来说作用在于接收数据包并根据策略转发给代理工具,实现透明代理。但你说的 clash ,它在特定场景同样也要用到 iptables ,作为代理客户端的 clash 和作为将数据包转发给代理工具的防火墙,两者之间怎么会具有可比性?你旗帜鲜明的观点从根基就是站不住脚的。

clash 的亮点在于实现了分流规则的高度可定制化和分享便利性,也就是判断哪些域名和 ip 需要代理,哪些需要直连,海外流媒体爱好者可以非常方便地选择各种平台用哪个节点,做到一键切换,这些都是原始简单的 ipset 分流、Geoip 不可企及的。

另外,别拼错了,Trojan 。
wangyuyang3
    175
wangyuyang3  
   2022-08-29 21:50:33 +08:00 via Android
@jobmailcn @xxfye 另外,假公网 ip 当然不是一个皆大欢喜的方案,上面几位朋友的义愤填膺不能就这样轻易无视吧?

其实这个帖子建立了太多不存在的假设,让讨论陷入了各执己见的混乱。

运营商是不是别无选择,非得靠伪装假公网 ip 解决矛盾?当然不是。可不可以在兼顾商业道德、技术通用性、服务质量、信息安全等多方面价值的基础上解决矛盾?当然可以。

就算没有公网 ip ,为什么不提供民用 nat SaaS 产品?公网 ip 不够用,为什么不因地制宜,ip 稀缺的地方共享 ip ,指定用户使用不相互冲突的端口段,ip 富裕的地方继续提供独立公网 ip ?
wangyuyang3
    176
wangyuyang3  
   2022-08-29 22:03:30 +08:00
@xxfye 所以说了这么多,为什么你说“这个技术牛逼”会被怼。因为在真正的技术从业者看来,它本身没体现出什么智慧,没有什么创新性,也不够聪明,同时有违道德。
如果你觉得 NAT4444 牛逼,那我倒想问问,最最最最简单、传统、老掉牙的“公网 IP 共享+端口转发”服务,比 NAT4444 不牛逼在哪里。是更加政治不正确吗?要不你去试试看咸鱼面板、极光面板、VPS 领域单独售卖 nat 机子的服务有多方便可靠?
NXzCH8fP20468ML5
    177
NXzCH8fP20468ML5  
   2022-08-29 22:10:11 +08:00
@wangyuyang3 你说的都很美好,但是建议你去“广东联通”贴吧看看,翻一翻最近 10 天的帖子,参观一下战场,就能明白用户是如何使用他们的投诉权。
我完全能够想象得到以下几点:
1. 凭什么广东电信有公网 IPv4 ,我广东移动没有?
2. 凭什么广东电信有公网 IPv4 ,我山东电信没有?
3. 。。。。

一切的一切,都源于一句话,不患寡而患不均。

另外我的想法更加美好:IPv4 退网! IPv6 永存!
wangyuyang3
    178
wangyuyang3  
   2022-08-29 22:26:51 +08:00 via Android
@xxfye 你没有回答我上面两段回复,我默认你不持反对意见,或说不出反对理由。

不平等当然会产生争议,但问题在于假公网 ip 不会解决不公平感,反而增加被欺骗的愤怒情绪。实际上你所谓的公平感唯独建立在欺骗之上,但这层窗户纸现在已经被题主捅破了,各个面相小白的渠道迟早一传十十传百。小白总会知道假公网 ip 的劣势和运营商欺骗用户的不道德。

另外两个不存在的假设你也没回复,我默认你想不出答案:
1 、用户投诉了,然后呢?会引发暴动?大范围投诉?不如去看看 V2EX 历史帖子,有多少人工信部投诉了也拿不到公网 ip 。投诉本身并不构成迫不得已要动用欺骗手段的迫切理由。之前的腾讯大王卡投诉,你见腾讯有啥损失了吗?

2 、你要解决公平。好,我现在假设,所有人都别要独立公网 ip 了,全都共享公网 ip+端口转发,必要时候提供增值服务花钱多加端口。这样好不好?牛不牛逼?和假公网 ip 比起来不牛逼在哪里?

3 、现在的一切问题都建立在 ipv6 不成熟、不通用的基础上。ipv6 会扰乱软路由端的翻墙工具透明代理,分流规则也会出问题。在跨境方面,许多 vps 供应商并不保证 ipv6 的路由质量,走 ipv6 存在路由劣化的情况。
wangyuyang3
    179
wangyuyang3  
   2022-08-29 22:33:55 +08:00 via Android
@xxfye 上面帖子讨论的“跟风小白”,他们的能量究竟大到什么程度、持续性强到什么程度?至死不渝吗?还是一看四处碰壁过几天就兴致过去了冷静了。

你别说小白了,就算是高端玩家,遇到别的地区运营商光猫用 gpon ,自己这边给的是 sdn+eopn ,当然也会嫉妒别人买猫棒便宜一大截,但不还是默默承受不平等的现实?忍一忍就过去了。
laozhoubuluo
    180
laozhoubuluo  
   2022-08-29 22:44:37 +08:00
@Servo IPv6 的通用性还是比较低,比如单位连回家这种场景很多时候就是 v4 Only 。另外 BT 之类的 v4 公网也有更高的效用。

@bobwang3 取决于谁做 Server ,如果 Server 在公司那么可以认为出事概率忽略不计,如果 Server 在家那就比较不好说了。取决于他的自学习机制能否学到那个端口。
laozhoubuluo
    181
laozhoubuluo  
   2022-08-29 22:54:16 +08:00
@wuosuper 这种方案一大劣势就是重新拨号之后外部端口会不会变化。
其实最好的方案就是需要开什么端口需要到运营商网站登记,相关数据在认证阶段发送给 BRAS ,让他来分配。这样可以保证分配的端口可以不随着重新拨号而打乱重来。
NXzCH8fP20468ML5
    182
NXzCH8fP20468ML5  
   2022-08-29 23:38:31 +08:00
@wangyuyang3
一点点回答你的问题,回答完后,这个帖子就不再回复了。

运营商即使教会用户端口转发可以解决外网访问问题,用户也有一句话:凭什么别人有,我没有?然后反手投诉运营商推卸责任,避重就轻。
更何况大部分用户根本就不是想解决外网访问问题,而是只有一个问题:公网 IPv4 能加快网速,因此我就要拿到。
如果运营商干脆全部收回,又会惹来原本已经有公网 IP 更多的投诉。

教育客户从来就不是明智之选,不然和张小泉菜刀事件又有什么区别?硬度较高菜刀不能拍蒜对吗?对的。
但问题是这是客户和公众想得到的结果吗,只不过想要道歉和赔偿而已,息事宁人才是硬道理。
所以这从来不是一个技术问题,而是政治问题。

关于 Trojan ,以前只了解过它利用 tls 原理,非常喜欢这种思路,但从来没有真正用过。反而是 v2ray 作为备用使用。
之前竞赛时交流习惯打 tarjan 算法,不经过你提醒,还真没发现自己一直错了。

关于 clash ,确实易用,但我个人一直使用 iptables+ss tun 实现相同的功能,因此确实不太看得上 clash 。
当然也谈不上讨厌,另一方面也不太喜欢这种将代理配置文件交给代理商进行一键配置的思路。

最后,我承认我说”牛逼“确实错了,说的时候没有考虑过他人的感受。在这里向诸位道歉。
我最近一直尝试在 ipv4 NAT1 和 ipv6 环境建立隧道,类似 tailscale 但如何更容易部署。进而思考公网 IPv4 的出路,最后只有悲观想到,只有全面普及 IPv6 才是未来,而这个未来离我们有多远还不能确定。
逛 v2 时意外的得知 NAT4444 这种技术可以续命一波 IPv4 ,并且能够解决用户大量投诉问题。作为同样有巨大投诉压力的打工人(投诉==影响巨大==低绩效+开除边缘),确实大开眼界,非常激动。而技术缺点在我看来,实在是过于微不足道,因此有些词穷的喊出”牛逼“两个字(确实语文水平不太行)。我原以为我的激情发言也会像过往一样被淹没,没想到被这么多人看见并且重点回复,实在有些尴尬和惭愧。
Archeb
    183
Archeb  
   2022-08-29 23:46:39 +08:00
我认为最理想的方案是:光猫路由模式或者路由器支持 UPnP + BRAS 支持 NAT-PCP…… 就和 95 楼说的类似。

这样只要支持 UPnP 协议的应用(或者手动请求)都可以获得一个能外访的公网端口。这样的实现既安全,又标准。

但是在解决部分小白用户投诉这个问题上,这个方案其实是不管用的……毕竟他们要的是表象。
yecl
    184
yecl  
   2022-08-30 00:14:54 +08:00 via iPhone
欺骗用户也是一种销售手段,各位搞技术的大佬大惊小怪了。
wwbfred
    185
wwbfred  
   2022-08-30 00:20:06 +08:00 via iPhone
@lcy630409 你没看前面的讨论么?他们把你的数据发送给别的用户啊。本来的问题是你信不信任运营商,现在的问题是你信不信任你的邻居,这叫我的担忧"没有任何意义"?
wuosuper
    186
wuosuper  
   2022-08-30 00:39:33 +08:00 via Android
@wwbfred #185 就目前三家运营商的家宽接入配置来看,你的数据也会发送给你的邻居,你邻居的数据也会发送给你,完全明文无门槛抓包。家宽的链路安全在运营商来看从来都不是重点,所以对安全性有需求还是要用专线,物理链路来保障安全。
wuosuper
    187
wuosuper  
   2022-08-30 00:42:27 +08:00 via Android
@laozhoubuluo #181 正如#183 @Archeb 说的那样,使用 pcp 在 cgnat 下映射端口的方案已经推进了 2-3 年,但是用户不买单,映射端口需要光猫路由模式,但是有端口映射需求的用户大部分都需要桥接,桥接后又无法使用 pcp 通讯来映射端口。
Damn
    188
Damn  
   2022-08-30 00:51:10 +08:00
@wuosuper 二层广播和四层广播区别还是挺大的,PON 广播抓包虽然无门槛,但用户不替换运营商给的光猫应该是无法抓包的吧。应用层广播是真正的 0 门槛抓包了。。。
wuosuper
    189
wuosuper  
   2022-08-30 00:56:55 +08:00 via Android
@Damn #188 你可以认为 PON 是无门槛抓包,运营商给的光猫要么打开镜像可以抓包,要么是小厂的光猫没有处理好过滤,直接打开桥接模式(透传)就可以抓包了。
至于四层广播,厂商回复说已经不采用这种方式了。
wwbfred
    190
wwbfred  
   2022-08-30 01:07:45 +08:00 via iPhone
@wuosuper 发给我的邻居,我的邻居能抢答么?本来这个问题就应该解决的,现在可好,倒有人以这个理由说明我把一个更不安全的东西上线是合理的,说得过去么?
wwbfred
    191
wwbfred  
   2022-08-30 01:19:14 +08:00   ❤️ 1
@wuosuper 你看看你的历史发言,一会说产品的安全性是没有问题的,一会儿又说家宽的链路安全从来都不是重点。
统一一下可以么?要么就说产品安全性没问题,随便你们检验。要么就是民用基础网络设备不关注安全,光明正大的说我们的产品就是有危险。现在为了给产品说好话,搞得跟人分裂了一样。
wuosuper
    192
wuosuper  
   2022-08-30 01:20:18 +08:00 via Android
@wwbfred #190 如果是某能 /某华的光猫,开全透传模式,你是可以抢答的
wuosuper
    193
wuosuper  
   2022-08-30 01:23:12 +08:00 via Android
@wwbrfed #191 厂商回复的部分从来都不是我自己的答复,我也只是好心帮你转发给厂商咨询后原封不动的回答你,我也没有给这个产品说任何好话。我始终是中立的态度,各自角度不同我也没法考虑到每个人。
wwbfred
    194
wwbfred  
   2022-08-30 01:27:27 +08:00   ❤️ 1
@wuosuper 而且我要说明的是,我这里说的安全是一个更容易理解的说法,绝对的安全并不存在。更标准的说法是,厂商的产品有没有扩大攻击面,增加攻击路径。如果能够被证明没有,那么这个产品就是安全的;否则这个产品就不应该在 IP 层上线,至少要经过各方的严格评估。退一万步讲,也要保证用户的知情权。偷偷摸摸地在 IP 层上线黑箱,是绝对不能接受的。
wwbfred
    195
wwbfred  
   2022-08-30 01:31:08 +08:00
@wuosuper 树立一个他人的人设,不管这个人是否真实存在,都不能成为免于被批评的挡箭牌。否则我所有的观点都使用第三人称,那岂不就是永远立于不败之地了?
wwbfred
    196
wwbfred  
   2022-08-30 01:32:16 +08:00
@wuosuper #192 我不了解这个情况,有相关资料么?
wwbfred
    197
wwbfred  
   2022-08-30 01:42:48 +08:00
@wuosuper 还有一点,由配置产生的攻击路径,和由产品特性产生的攻击路径,处理起来的难度是完全不一样的。前者可能需要调整网络配置或架构,后者就是必须下线才能解决问题。厂商现在用 PON 说事,证明自己是安全的,这个并不能很好地站住脚,本质上也是一种比烂的行为。
wuosuper
    198
wuosuper  
   2022-08-30 01:43:02 +08:00 via Android
@wwbrfed #191 如果你有证据能表明这个系统存在安全问题,那你大可以新开一贴公布,说不定运营商看到了就会下线这套系统呢,这样刚好能如你所愿。
既然运营商已经选择也验证了这套系统进行部署,并且是大范围的部署,那么你也没法阻止运营商的决策,如果你有能力能阻止运营商这个决策,那我一定第一个支持你。
运营商对基础设施软硬件采购的安全要求不比你要求的低,第三方测试也不是随便过的,如果存在你说的低级安全问题那必然运营商不会采购,所以没必要对一个你觉得存在但实际不存在的问题较真。
wwbfred
    199
wwbfred  
   2022-08-30 01:52:39 +08:00   ❤️ 2
@wuosuper
1. 你以为去和运营商厂商刚正面才叫阻止?不是的。我现在就是在通过发言的方式号召更多看到这个帖子的网友阻止这套黑箱大范围铺开,你会选择支持我么?
2. 现在的问题不是不存在。因为厂商在黑箱里搞迭代,鬼知道解决了什么问题,又引入了什么新的问题。如果这是一个七层应用,那还好。现在这一个四层设备,让人怎么放心。而且我并没有说它现在一定存在问题,我的措辞是,我不知道它是否存在安全问题;如果它存在,我也不知道问题有多严重。说白了就是两眼一抹黑,不知之不知。
3. 你告诉我你用了这套系统,我换运营商,这样的选择权总是有的吧?运营商现在什么都不说,这是什么行为,合适么?
Argon
    200
Argon  
   2022-08-30 01:58:03 +08:00 via Android
从微博过来观光。顺便支持 @wwbfred
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2751 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 45ms · UTC 12:10 · PVG 20:10 · LAX 04:10 · JFK 07:10
Developed with CodeLauncher
♥ Do have faith in what you're doing.