Настроил недавно TrueNAS, поднял торренты и DLNA. В качестве торрент-клиента специально выбрал Transmission, а не rtorrent, потому что Tranmission сам просит маршрутизатор пробросить порты (через UPnP). И вот в тот же вечер вижу в логах TrueNAS две попытки подключения к TrueNAS по SSH. Меня очень смутил тот факт, что имя пользователя, под которым пытались войти, совпадает с моим интернет-именем пользователя на различных ресурсах. Это же имя используется как локальный логин на ноуте и настольном компе. Адрес, с которого была попытака подключения принадлежит локальной сети — 192.168.1.222, но вот что странно: такого лиза нет в записях маршрутизатора, а лиз выдаётся на 24 часа (с момента попытка входа прошло 6-7 часов). Я включил все устройства в доме, которые могут подключаться по домашней сети, и ни одно из них не попросило себе 192.168.1.122. Я даже скажу более того — все устройства уже имели лиз в пуле dhcp, поэтому новых адресов я не увидел.
Поскольку TrueNAS находится за NAT-ом, а на маршрутизаторе отсутствуют статические пробросы порта, то по логике получается, что попытка подключения шла из локальной сети. Но нет никаких следов кого-либо, кто бы это мог сделать из локальной сети. Да и откуда могло что-то попасть в локальную сеть, когда у меня телефоны на андроиде с приложениями только из Play, машина на Linux и телевизоры? Допустим, это дырявые телевизоры, но ведь они за NAT-ом, и получить малварь могли только через официальное обновление. Это может быть сам маршрутизатор, но там порты тоже все закрыты.
Посему у меня начала закрадываться идея, что через UPnP и манипуляции с пакетами TCP можно как-то попасть в локальную сеть. Или нет?
Re: Атака на доступ к локальной сети. Обход NAT через UPnP?
После эпичного провала с upnp/v1.0 кое-что поправили в upnp/v2.0. Но в целом мир как-то держится на ногах только потому что домашние абоненты с дырявыми soho маршрутизаторами изолированно друг от друга сидят на серых адресах за провайдерским NAT, а в организациях доросших до белого ip хватает ума не использовать soho железки и upnp.
Все проблемы от жадности и глупости
Re[2]: Атака на доступ к локальной сети. Обход NAT через UPnP?
Здравствуйте, Stanislaw K, Вы писали:
SK>После эпичного провала с upnp/v1.0 кое-что поправили в upnp/v2.0. Но в целом мир как-то держится на ногах только потому что домашние абоненты с дырявыми soho маршрутизаторами изолированно друг от друга сидят на серых адресах за провайдерским NAT, а в организациях доросших до белого ip хватает ума не использовать soho железки и upnp.
А у меня как раз белый IP Получается, что лучше перейти на серый? Так-то маршрутизатор у меня норма, на EdgeOS, ничего наружу не торчит.
Re[3]: Атака на доступ к локальной сети. Обход NAT через UPnP?
Здравствуйте, cppguard, Вы писали:
SK>>После эпичного провала с upnp/v1.0 кое-что поправили в upnp/v2.0. Но в целом мир как-то держится на ногах только потому что домашние абоненты с дырявыми soho маршрутизаторами изолированно друг от друга сидят на серых адресах за провайдерским NAT, а в организациях доросших до белого ip хватает ума не использовать soho железки и upnp.
C>А у меня как раз белый IP Получается, что лучше перейти на серый?
Но зачем то ты себе арендовал и оплачиваешь себе белый IP, значит он тебе нужен. Да и не в нем дело.
C>Так-то маршрутизатор у меня норма, на EdgeOS, ничего наружу не торчит.
Просто отключи UPnP. практической пользы от него никакой.
Все проблемы от жадности и глупости
Re[4]: Атака на доступ к локальной сети. Обход NAT через UPnP?
Здравствуйте, Stanislaw K, Вы писали:
SK>Просто отключи UPnP. практической пользы от него никакой.
Торрентовые порты руками пробрасывать? Просто удобно, что у торрентов динамический IP во внутренней сети, а порты сами пробрасываются. А так придётся фиксировать адрес, руками вписывать переназначение портов.
Re[5]: Атака на доступ к локальной сети. Обход NAT через UPnP?
Здравствуйте, cppguard, Вы писали:
C>И вот в тот же вечер вижу в логах TrueNAS две попытки подключения к TrueNAS по SSH. Меня очень смутил тот факт, что имя пользователя, под которым пытались войти, совпадает с моим интернет-именем пользователя на различных ресурсах. Это же имя используется как локальный логин на ноуте и настольном компе. Адрес, с которого была попытака подключения принадлежит локальной сети — 192.168.1.222, но вот что странно: такого лиза нет в записях маршрутизатора, а лиз выдаётся на 24 часа (с момента попытка входа прошло 6-7 часов).
Попробуй в следующий раз посмотреть MAC-адрес в arp-кэше truenas (Команда arp -a обычно). Это поможет по крайней мере идентифицировать производителя железки которая стучится.
Может просто забыл про какую-нибудь.
UPnP скорее всего не при чем.
Re[2]: Атака на доступ к локальной сети. Обход NAT через UPnP?
Здравствуйте, Константин Б., Вы писали:
КБ>UPnP скорее всего не при чем.
Так и есть, оказалось, что UPnP на маршрутизаторе выключен. Я подозреваю, что китайский ZigBee шлюз этим занимался. Я его отключил, и пока новых попыток не было.
Получается, что лучше перейти на серый? Так-то маршрутизатор у меня норма, на EdgeOS, ничего наружу не торчит.
