所有内部 LAN 节点都面向互联网,如何?

所有内部 LAN 节点都面向互联网,如何?

我的学校已将其设置为所有连接的设备都有一个面向互联网的 IP 地址。也就是说,它们似乎拥有一个子网:129.107.0.0/16(如果我没记错的话),任何设备都可以通过该 IP 地址从任何地方访问。

但是,他们也有一个防火墙,可以阻止所有流量都通过的某些端口。

一般来说,这种设置是怎样的?会使用什么样的硬件、互联网服务和软件?它是否只是类似于没有 NAT 的 iptables/dnsmasq 设置,使用分配的块作为地址空间?这对于住宅连接是否可行(忽略您必须向 ICANN(或任何人)支付 IP 块费用的部分)?

答案1

我认为最简单的答案是他们将这些面向 Internet 的地址视为正常地址。如果您对其中一个 IP 地址进行跟踪路由,您将在到达目的地之前看到学校的交换机(前提是 ICMP 未被阻止)。从交换机开始,路由照常进行,仅使用公共 IP 地址而不是私有 IP 地址。

因此,如果您恰好拥有大量公共 IP 地址,理论上您可以相当轻松地复制此设置。将流量适当地路由到交换机的物流可能取决于您的 IP 地址的服务提供商。

答案2

这就是互联网应有的运行方式,并且当 IPv6 得到广泛部署后,它将再次发挥作用。

您的问题似乎是因为您认为 NAT 是实现网络所必需的。过去和现在都不是。只有在没有可分配给网络上设备的公共 IPv4 地址时,NAT 才是实现网络所必需的。

不幸的是,NAT 导致了很多问题,例如端到端程序不得不采用奇怪的变通方法来相互通信(例如 VoIP),人们利用 NAT 的固有属性来确保安全,而不是实施适当的防火墙,等等。幸运的是,对于大多数人来说,NAT 很快就会成为过去。(越快越好。)

答案3

这可能是一个非常简单的设置。

School network <-> Firewall <-> Modem <-> Internet

调制解调器可以是多个设备。不需要伪装/NA​​T。(或者实际上不需要。使用 NAT 只是一种最好避免的紧急解决方法。)

相关内容