Um ISP pode bloquear o encaminhamento de porta?

"Port forwarding" é a coisa errada para focar. O encaminhamento de porta é feito pelo seu roteador, com pacotes que já chegaram ao roteador, e o ISP não pode desativá-lo – mas o que eles podem fazer é impedir que os pacotes cheguem ao seu roteador. Se eles fizerem isso, o que seu roteador faria com eles é irrelevante – ele não pode fazer nada com pacotes que nunca chegam.

Há duas maneiras básicas que um ISP pode impedir que as conexões de entrada cheguem até você:

• Configurando um firewall com estado que permite apenas pacotes de entrada que pertencem a uma conexão já "conhecida", ou seja, apenas respostas, mas não novas conexões. (Roteadores domésticos normalmente também possuem o mesmo tipo de firewall, para proteger sua rede doméstica. Morada".)

• Como efeito colateral de usar NAT Carrier-Grade, em outras palavras, simplesmente não fornecer um endereço IP público no qual você possa receber as conexões. Devido à crescente escassez de endereços IPv4, muitos ISPs domésticos e móveis implantaram o CGNAT, fazendo com que todos os clientes tivessem apenas algum tipo de endereço IP "privado".

Dê uma olhada no "endereço IP WAN" mostrado pelo seu roteador. Normalmente, deve ser um endereço IPv4 público - se não for, isso significa que todo o seu roteador está atrás de outra camada de NAT, possivelmente CGNAT de nível ISP. (Aqui, tenha em mente que 100.64.0.0/10 também é um intervalo privado, especificamente para CGNAT.) Se você tiver um roteador e um modem separado ou ONT, este último também pode estar atuando como um roteador e fazendo NAT.

Se o endereço for público, a próxima etapa é fazer com que o próprio roteador informe se está recebendo os pacotes de entrada. Isso realmente depende do tipo de roteador que você possui, por exemplo, alguns têm um recurso de registro de pacotes em seu firewall, roteadores baseados em OpenWRT podem até ter a ferramenta tcpdump instalada. (Na maioria dos casos, infelizmente, você não tem nada.)

Seu ISP pode desabilitar uma porta . Ou seja, eles podem ter uma regra em seus equipamentos de rede que impeça que pacotes destinados a determinadas portas cheguem ao seu roteador.

O encaminhamento de porta é um comportamento do seu roteador que mapeia entre uma porta externa e um endereço e porta internos. Para o mundo exterior, seu encaminhamento de porta é invisível.

A única maneira de seu ISP interferir no encaminhamento de porta é se o seu roteador for realmente o roteador dele: um equipamento sob seu controle administrativo que ele gerencia remotamente.

Não apenas o CGNAT, mas o ISP pode tecnicamente forçar seu endpoint a ser somente cliente, por exemplo, bloquear qualquer TCP SYN 0direcionado ao seu endpoint ou, no caso de UDP, bloquear todas as mensagens UDP se nenhum datagrama UDP foi visto na direção reversa primeiro.

Um ISP agressivo pode tecnicamente implementar isso para impedir que você execute qualquer tipo de servidor. Na era da mídia social HTTPS, pouco ou nenhum cliente se importará.

Como parecia, seu roteador NAT está atrás do roteador ISP NAT.

Mas isso nem sempre significa que você precisa pagar ao ISP para obter um endereço IP público atribuído ao seu roteador para que você possa habilitar um encaminhamento de porta para obter acesso à VPN implantada em uma das máquinas em sua rede doméstica. De jeito nenhum.

Ainda há opções gratuitas. Como se houvesse muitas empresas no mercado que oferecem serviços de túneis. Não quero dizer nomes, mas todos funcionam mais ou menos assim:

1. você obtém algum software de agente especial instalado em uma máquina dentro de sua rede doméstica. Pode ser algo de código aberto ou proprietário.

2. esse software estabelece conexão com um servidor público, fornecido pelo "provedor de serviço de encapsulamento" e mantém essa conexão o tempo todo, restabelecendo-a se falhar. Este é o "túnel" que sai de sua casa através de todos os NATs, porque você o iniciou de dentro de sua rede doméstica.

3. quando você precisa se conectar à sua rede doméstica de algum lugar de fora, digamos, quando estiver viajando para o Havaí, você estabelece uma conexão com um ponto de entrada público desse "provedor de serviço de túnel" (ele fornecerá um quando você se inscrever) . O provedor atua aqui como man-in-the-middle: ele recebe seu tráfego de rede do Havaí e o direciona através desse túnel, criado pelo seu agent@home. É assim que chega à sua rede doméstica.

Existem muitas implementações diferentes dessa ideia, que variam em muitos detalhes menores. Assim como o provedor de serviços de tunelamento pode tornar seu tunel público, você pode hospedar sites em um hardware @ home mesmo que esteja atrás de dezenas de NATs e firewalls.

A única questão com esses "provedores de serviços de tunelamento" será - quanto você confiará neles. Como se alguém me pedisse para executar algum software proprietário no meu servidor doméstico, eu teria muitas perguntas. Esse software pode potencialmente minerar algumas criptomoedas no meu hardware sem que eu saiba disso, ou esse software pode ter um backdoor e deixar qualquer um entrar. Mesmo que seja um software de código aberto sobre o qual não sei muito, ainda restam dúvidas. Dado do outro lado desse túnel estão algumas pessoas de provedores de serviços que eu não conheço e não sei suas intenções :) mas acho que você entendeu que eu sou paranóico.

Há também algumas outras opções que você pode considerar. Eles estão seguindo praticamente a mesma ideia mostrada acima, mas:

• eles são livres
• descentralizado
• eles estão fornecendo algumas opções melhores de segurança + anonimato

Google para "serviços ocultos" e "protocolo de internet invisível"