云宽带是否有公网IP?
能看到公网IP,但是因为光猫在云宽带架构下在NAT后,因此无法使用DMZ主机和虚拟主机等端口映射功能来直接对公网暴露内网端口,上海电信有一个收费服务可以开通公网服务,相当于是把DMZ另外拆开来收费了。
云宽带的光猫是什么角色?
理解在云宽带下,光猫只是一个光转电+bridge的角色,不再负责拨号,也不再有其他管理功能,管理全部都在上层电信机房的网关内实现
云宽带不再有内网?
因为光猫拨号后有NAT存在,原先的光猫后是内部局域网,对电信来说是黑盒,在云宽带下,光猫后的所有设备的IP地址是由电信机房的大局域网直接分配的,因此所有设备都直接暴露在电信大局域网内,电信可以看到每个子设备的在线状态和流量。
如何应对云宽带?
在光猫和上网设备之间增加路由器,由路由器来完成之前光猫的NAT转换和内网隔离功能。
例外?
在云宽带下,因为光猫不再NAT和承担防火墙的功能,就出现了一个例外,就是IPV6是可以直接访问到内网设备的,只要这个设备是连接在光猫上从电信机房DHCP出的IP,即IP地址为192.168.71.**,就可以用IPV6地址直接从公网访问。
原因?
推测是因为电信网关没有设置防火墙,或者防火墙太老了还没办法给IPV6协议设置规则,IPV4之所以没办法从公网访问到内网是因为IP是NAT过的,而IPV6不需要NAT,所以可以直接从公网经过电信网关路由到末端设备。
缺陷?安全问题?
这个问题的严重性在于,只要设备是直接连在光猫上,只要知道设备的IPv6地址,就可以直接从公网访问这个设备。从某种意义来说,确实解决了公网访问内网的问题,但是是在一个没有任何防护的情况下。
应对?
由于大部分的路由器对IPv6的支持不好,且内网全量部署IPv6的兼容性也会存在一定问题,最好的做法是单独用一个软路由来实现接入公网IPv6,再由这个软路由将来自公网IPv6的流量转发给内网IPv4设备。好处是在软路由上可以方便的配置防火墙和转发规则,且内网设备安全性也有保证,不会全部暴露在公网上。
架构?
- IPv4流量:公网==》电信网关(光猫)==》路由器A==》设备
- IPv6流量:公网==》电信网关(光猫)==》软路由==》路由器A==》设备
软路由的eth0接光猫lan口,eth1接路由器A的lan口,同时获取公网IPv6地址和内网IPv4地址,公网流量在软路由内部根据规则转发到内网不同的设备上。在这个架构里,软路由在IPv6里承担的角色就类似云宽带前的光猫,获取公网地址,并承担内网NAT。
There are no comments yet