我的问题是,“我应该如何担心?”在这种情况下会发生什么情况?我的猜测是本地计算机将首先响应,并且我可能会摆脱它,但最终我会被咬。顺便说一句,我也在其他计算机上看到了公共IP地址。工程师似乎不了解私有地址,或者不希望他们的机器与更广阔的世界连接。
有什么想法/意见吗? (不涉及对机械工程师的暴力行为)? >
使用ActiveX组件通过Internet Explorer对机器上的其中一个设备进行编程。此设备将尝试将数据推送到ActiveX“侦听器”(而不是通常的浏览器模式从远程服务器请求数据)。
我们的Active Directory配置在登录时将安全策略下载到我们的计算机上。该策略中包括受信任站点的列表。其中包括:
批准的公司地址。
各种外部地址,例如我们的银行。
私人地址192.168.0.0/16、172.16.0.0/20和10.0.0.0/24 。
其他所有内容都被阻止。
由于安全策略的原因,ActiveX组件从未收到任何数据,因为传入的流量被安全策略阻止了!我会睡得更香。
感谢您的关注。
#1 楼
简短的答案:重复分配已分配的公共地址是个坏主意。稍长的答案:暂时不考虑路由问题,不能安全地假设您永远不需要从某个地方到达此计算机除了直接连接的电缆以外,或者公共或专用地址分配是静态的,并且永远不会改变。
远程访问问题很明显:全球Internet认为143.166 / 16位于一个位置,而您希望它位于另一个位置。路由器不会进入您的计算机。
所有权可能会改变。即使未将该地址分配给Dell,将来也可以将其分配给他们。戴尔今天确实有此地址,但明天可能会有其他人使用不同的路线。谁知道?您的组织甚至可能会购买该地址块,并进行更多的路由冒险。
最重要的是:不要假设重复的IP可以永远被安全地隔离。您的有线接口将发送针对该地址的ARP请求,并直接从工业机器获取它,而无需网关。此后,发往该地址的数据包将使用工业机器的目标MAC地址。
这将很好用,因为您只使用电缆进行访问,并且只要您永远不需要从其他地方访问此计算机,并且只要全局路由表保持静态即可。
很多ifs。最好使用唯一的公共地址或私有地址池之外的内容来避免此问题。
#2 楼
唯一的问题将是无法与具有这些地址的真实(互联网)计算机通信。当然,您可以在您的网络和此事物之间放置一个防火墙(“ nat box”),使其看起来像是网络的私有地址。多年以来,由于人们很懒惰并出于自己的目的使用“未分配的”地址;现在分配了他们,这带来了一个小问题。但我不太可能需要与现在拥有该地址空间的人们交谈。 15年,还有数...]评论
+1,我要补充说,问题的严重程度取决于您让这些地址进入IGP的距离以及其中有多少地址泄漏给公司的其余部分。不幸的是,在我到达这里之前,有人在我们的IGP上添加了大块AT&T的A级模块。
–迈克·彭宁顿
2013年9月25日在22:40
#3 楼
我的问题是,“我应该怎么担心?”在这种情况下会发生什么
?我的猜测是本地计算机将首先响应
,我可能会摆脱它,但最终我会被咬到。
,这与谁先回答无关。如果您在同一子网中为计算机提供一个地址,则流量将直接流向计算机,而不涉及路由器。
即使您要使用路由,也要在网络中的某些内部路由器上输入到143.166.0.0/16的路由,他们也会比使用(默认?)通往Internet的路由更喜欢此路由。发生这种情况是因为首选“最长前缀匹配”。
您对最终结果的正确理解是,如果您将路由安装在内部路由器中,则Internet的143.166.0.0/16部分将无法连接到您或您的网络。 / 16对于此问题来说似乎有点大,您路由到的子网越小,被咬的机会就越小。
#4 楼
下面是我编辑的答案-最初并没有得到它不是“拥有” IP空间,而是别人的空间。 。 IP地址是IP地址。您的应用程序不知道什么是私有的,什么是公共的。如果有空间,甚至可能有一些“内部”子网和“外部”可访问子网-可以使用常规路由控件,防火墙等控制。内部的意思是您不必担心NAT进出网络的麻烦。但是,如果没有大量额外的精力和配置,您将永远无法到达他们的空间-例如隧道,NAT或双NAT,或更具体的路由。最好建议以书面形式重新命名您的网络,并详细说明如何做,如何管理等。以书面形式获得,那么如果有任何问题,您可以拉出“ ”。下面的否决票是我的原始答案,在其中我误解了这个问题。
评论
对不起,但是我不得不对此进行否决,尽管您可以使用其他人的地址空间,但这并不像您所说的那么容易。
–迈克·彭宁顿
2013年9月25日在22:30
拒绝我的投票是“没关系。现在可能没关系,但最终会在最不期望的情况下咬人。
–generalnetworkerror
2013年9月26日0:47
评论
你们是对的-对不起,我不知道那是别人的空间。谢谢。
–伪网络
2013年9月26日23:20在