22
2024
05
16:09:21

家庭宽带的公网IPv4地址到底封了多少端口?



推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

2022年三大运营商就开始宣布,逐步取消对普通宽带用户的公网IPv4地址服务,目前的做法主要是对于新装用户不再直接提供动态公网IPv4地址服务,也就是我目前这种情况;还有就是对于存量双栈用户,取消直接提供动态公网IPv4地址服务;再就是直接不提供IPv4地址服务。

图片

转念一想,IPv6自1995年被提出IPv4 + IPv6 = IPv10?是的,IPv10就是IPV4 + IPv6!,至今快30年了还没有完全商用,中国电信大举推进IPv6建设也是对信息产业升级做出的一项重要举措。

如果升级IPv6之后,不再需要经过NAT设备,对用户而言倒是一件好事,因为DDNS的协议规范是需要支持IPv6的AAAA解析的。

不过这不是我们今天考虑的重点,我们今天要测试的是我这个公网IP地址在公网开放的端口到底有没有做什么限制。

测试方法也很简单,只需要在路由器上配置NAT映射,将端口都映射到内网开放的端口就可以了。为了操作方便,我直接在电脑上用HFS搭了一个临时的HTTP服务器。

图片

然后调整电脑的防火墙策略,放通80端口的访问权限,之后从路由器上测试端口连通性。

图片

端口开放,可以使用。然后就是结合我们之前介绍的NAT知识,将NAT映射配置到路由器的Dialer接口上。

#

interface Dialer10

 nat server protocol tcp global current-interface 10010 inside 192.168.1.110 80




注意:配置在物理接口上不生效;无需指定IP地址,直接配置使用当前的接口地址即可!

然后我们让外地的小伙伴协助测试一下。

图片

可以看到,目前测试的10010端口是可以用的。

但是一个端口一个端口的测试有点太麻烦了,又不能配置一对一映射,我电脑上也开不了这么多端口。这个时候,MSR设备支持配置连续的外网端口这个功能就派上用场了,在配置时,可以通过指定起始端口号和结束端口号来配置端口范围,端口号建议使用数字形式,取值范围为1~65535。正常情况下,外部端口号和内部端口号是一一对应的关系,但是也可以仅配置一个内网端口号,都成多对一的对应关系,配置限制是结束端口号必须大于起始端口号,且端口范围中的端口数目不能大于10001。

这样,我们就可以用以下命令完成65535个端口全部映射到内网的一个指定端口。



#

interface Dialer10

 nat server protocol tcp global current-interface 1 10000 inside 192.168.1.110 80

 nat server protocol tcp global current-interface 10001 20000 inside 192.168.1.110 80

 nat server protocol tcp global current-interface 20001 30000 inside 192.168.1.110 80

 nat server protocol tcp global current-interface 30001 40000 inside 192.168.1.110 80

 nat server protocol tcp global current-interface 40001 50000 inside 192.168.1.110 80

 nat server protocol tcp global current-interface 50001 60000 inside 192.168.1.110 80

 nat server protocol tcp global current-interface 60001 65535 inside 192.168.1.110 80




我们先用在线工具扫描一下常用端口。

图片

可以看到,封禁的端口都是运营商侧需要报备的端口,25端口是SMTP端口,53端口是DNS端口,80端口是HTTP端口,443端口是HTTPS端口,8080端口属于中间件窗口,一般也用于HTTP服务或HTTPS服务。

然后我们通过NMAP来探测端口1-100的开放性。

图片

图片

可以看到,扫描时间还是很长的,大概一个端口需要1秒多的时间,那65535个端口就需要一天多的时间,看来只能写个脚本放着给他去跑好了,捎带测试一下NMAP的并发情况。

图片

操作发现测试的RTTVAR已经超过2.3秒,还强制降到了2秒。并且一条命令的nmap和grep占了两个进程,并发量大概是26个,一共66条命令未能一次下发成功。

图片

从设备上来看也差不多。

图片

最后,经过测试,发现除了前面的几个端口(25、53、80、443、8080)是关闭的,其余端口都是开放的。


其实是可以申请开放这些端口的,就是要做经营性备案


本文链接:http://hqyman.cn/post/6291.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:





休息一下~~


作者:hqy | 分类:Network | 浏览:84 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

您的IP地址是: