Nätverks skrivare, skriver ut dokument på nätterna

Ser lite ut som de loggningar jag brukar kunna se i mina Apache-loggar när folk portscannar och försöker testa om den går att använda som öppen proxy.

Hur har ni kopplat in skrivaren? Har den ett publikt IP eller gör ni någon port-forward till den?

@Tellion bra.

Precis som maDa skrev är det normala för de flesta "mindre" datanät att man kör alla prylar man har bakom en router / brandvägg / NAT för att inte ha prylar öppna mot Internet. Iofs är det numera inte hela sanningen eftersom det finns prylar som kör mot tjänster på Internet som default eller standard, det här har ökat ganska mycket iom att vi numera har en hel del IoT prylar.

Övervakningskameror, styrning av EL och allt möjligt. För att komma åt det via telefoner och liknanden är det ganska vanligt att man använder appar som i sin tur kommunicerar mot servrar ute på det öppna Internet. Nu är detta inte ett jättestort problem men något man bör vara medveten om.

Jag hade förut en liten NAT dosa för IP-telefoni inkopplad direkt i en port på fiberdosan men har numera gjort om mitt WiFi och har kopplat om så att dosan ligger bakom brandväggen istället. Funkar fortfarande bra och jag slipper oroa mig för att något kan hända eftersom jag inte har kontroll över IP-Telefonidosan, jag har ingen åtkomst till den vilket är en säkerhetsgrej från ISPn antar jag (Tilgin dosa). Eller så skulle det plötsligt kunna bli så att stadsnätet plockar bort kommunikation mot de andra portarna och bara har en port aktiv i fiberdosan.

Det är väl den _enda_ fördelen att ligga bakom CG_NAT är att den typen av skanning utifrån är inte möjlig att utföras...

alla som har fiberkonverter och dessa ha publik adress (ännu) från ISP så skall man inte koppla in sig direkt i dess portar utan det enda som kopplas in är en egen router till fiberkonvertern och sedan kopplar man in sina grejor till denna router - annars får man den typen av uppvaktningar som TS började med i tråden när det portscannas ute ifrån för att leta efter hack-bar utrustning för olika typer av DDoS-angrepp i framtiden eller komma åt NAS/datorer och plantera in virus i dessa .

nu är Router inte helt felfria heller över tiden med i framtiden upptäckta angreppsvägar, eller av konfigurations-misstag av användaren, men man har reducerat angreppsytan för olika attacker i sitt bakomliggande nät väldigt mycket, speciellt om man har gammal utrustning som olika skrivare, NAS eller webbkameror som är ökända att levereras med för 'alla' kända default-password på en eller flera av sina portar (typ telnet/ssh-porten) eller i windowsvärlden olika svagheter som de aldrig riktigt lyckas få bort.

Det är mer en bieffekt. Jag skulle inte kalla det en "fördel" med CGNAT. Jag tycker inte heller att alla ska tvingas ha stödhjul för att några få kunder kopplar saker fel, vilket du förmodligen inte heller tycker. En bättre lösning vore att stänga av de övriga portarna i mediakonverteraren, alternativt enbart använda dem för TV och IP-telefoni på separata vlan som inte ger full internetaccess.

Allt som behövs är en brandvägg som blockerar inkommande trafik som inte först initierats från insidan. För det behövs varken CGNAT, NAT eller nåt annat.

Håller med om detta helt. Hade ju sparat dem massor av supportsamtal.

Det är ISP:n som bestämmer hur många IP-adresser som ska delas ut och ISP:n äger inte alltid (ganska sällan) mediakonverteraren, det gör kommunikationsoperatören.

Vissa ISP:er vill antagligen ha kvar konkurrensfördelen att kunna låta kunder få fler än en publik IPv4-adress och en hel del kunder vill nog ha den möjligheten. En variant framkommer i trådar på Sweclockers om att dela ett och samma icke-företags-abb mellan två hushåll. Att kunna ha en server på ett IP och övrigt på ett annat är ju trevligt.

Om man bara har en fungerande port för internet i mediakonverteraren måste det till en helt onödig switch för att köra två routrar eller router+server. Ja macvlan existerar så att man kan ha mer än en publik IP på WAN-interfacet på en enda router, men det är inget alternativ för Svensson och är inte lika trevligt i flerhushållsscenariot.

Och gissa vad: folk som inte vet hur de ska koppla kommer koppla in en extra switch i den enda öppna porten porten på mediakonverteraren och sedan sina enheter rakt i switchen och då ändå inte ha en brandvägg.

Du menade antagligen inte att det skulle finnas en brandvägg i mediakonverteraren, men för tydlighetens skull: det är inte säkert att en CPU som sitter i en mediakonverterare/managerad switch klarar av att vara brandvägg. Dessutom vill man inte att KO/ISP ska kontrollera ens brandvägg (om man inte aktivt valt en ISp-router).

Det är i och för sig sant att vissa ISP:er i ett visst nät vill kunna dela ut flera publika IPv4-adresser, ja. Jag är dock inte säker på att den kundgruppen är särskilt stor. Håller dock med om att godtyckliga begränsningar kan vara irriterande, men det är fortfarande bättre än att "lösa" detta "problem" (om man nu måste det) genom att sätta folk bakom CGNAT.

Det går ju att lösa med en liten manual för kunderna också.

Nej, det gjorde jag inte.

Det var ett svar på att NAT (och CGNAT) hindrar inkommande trafik och därmed "skyddar" användaren. Då tyckte jag det värt att nämna vad den riktiga lösningen är.