ARGOMENTO:

Ciao a tutti,

ho appena riscontrato una strana anomalia (almeno credo sia tale) nell'output del comando show ip nat translations: in pratica viene elencata una traduzione NAT in cui l'indirizzo inside local è in realtà un IP pubblico:

Non pare anche a voi che sia una cosa parecchio strana?

Se parliamo di stranezza, si te lo confermo è un pò strano, ma non per forza di cose insensato.
Ci possono essere molteplici motivi per una configurazione del genere: ad esempio se l'inside local appartiene all'Autonomous System number 100 e l'inside global appartiene all'AS 200, potrebbero aver deciso di nattare l'indirizzo su un certo router per renderlo direttamente accessibile dall'AS 200 senza dover passare per il 100.

Per capire esattamente quello che sto dicendo qualche nozione di BGP potrebbe essere utile, ma intuitivamente sai che ogni indirizzo ip pubblico è assegnato ad un Internet Service Provider, e tuttta Internet va verso quell'ISP per raggiungere quell'indirizzo, se una rete fosse in una configurazione multihoming verso due diversi ISP, potresti cavartela con questo stratagemma per consentire almeno agli utenti dell'AS 200 di andare direttamente verso quella macchina... anche se bisogna prestare particolare attenzione al traffico di ritorno perchè possono presentarsi situazioni di asyncronous routing che tipicamente generano problemi.

Spero di essermi riuscito a spiegare... magari poi è solo un errore di configurazione...

Non mi è del tutto chiaro, forse perché cerco di applicare la tua spiegazione allo scenario reale: in pratica quello è un normalissimo router aDSL di un cliente (senza BGP o altri protocolli di routing abilitati), che fa il NAT dei client della LAN; c'è una sola interfaccia dsl connessa all'ISP e una sola interfaccia ethernet cui sono connessi tutti i client della LAN. Oltre a questo, sul router è configurata una VPN per l'accesso remoto, usata solo per la manutenzione dei sistemi della LAN. La mia impressione è che qualcuno stia usando questo router per collegarsi ad altri host in modo che come IP di provenienza risulti quello del router dsl invece di quello reale, ma sinceramente non so come spiegare questa cosa o replicarla. Nel frattempo gli IP pubblici nattati sono diventati più di uno

Il mio delirio precedente non richiedeva che i router del tuo cliente parlassero BGP, ma in ogni caso dovresti avere due ISP differenti.

Con lo scenario che mi proponi, mi viene in mente una ragione molto più semplice, il tuo web server precedentemente aveva un ip pubblico, ora o per cambio di ISP o perchè l'ISP per qualche ragione ha ritirato quell'indirizzo, di fatto il vecchio IP pubblico non è più utilizzabile, così lo natti per rendere pubblico il server su internet evitando di dover cambiare indirizzo ip al server.

Certamente è una configurazione non pulita specialmente in virtù del fatto che se così fosse gli host della rete interna non potrebbero raggiungerlo.

Questa spiegazione mi è più chiara, ma purtroppo non c'è nessun server web nella rete. Per me è come se alcuni client (esterni) stessero usando il mio router come proxy, ma continuo a non sapere come né ad indagare più a fondo, almeno per vedere cosa passa su queste connessioni. Non c'è una specie di tcpdump su IOS?

[EDIT]
Mi rispondo da solo: debug ip packet

Vediamo se mi inchioda il router mentre lo monitoro da remoto...

Dunque, posto che la sessione che hai mostrato è probabilmente quella di un server web sulla 443. Non credo che si tratti di un proxy, perchè lo scopo di un proxy è proprio quello di mascherare il proprio indirizzo ip, e l'indirizzo ip 50.22.231.53 (inside local) di fatto lo vedi così com'è, semplicemente viene nattato, mentre l'indirizzo di un proxy almeno in linea di principio non dovrebbe esserlo. Diverso se tu vedessi che da un host interno, con indirizzo ip privato interno inside local, partissero diverse sessioni TCP, allora potresti pensare ad un hackeraggio di questo tipo.

In particolare l'indirizzo ip 50.22.231.53 sembra appartenere ad un servizio di cloud americano www.softlayer.com/ che di certo non dovrebbe risiedere sulla tua rete.

Mi concentrerei sul fatto che le sessioni dal tuo indirizzo interno hanno come porta sorgente la 443 e questo fa pensare che questa macchina stia fungendo da server. Ora il problema principale è questo, anche se avessi un sistema hackerato a livello applicativo, il tuo router come fa a sapere dove girare i pacchetti per la 50.22.231.53? Uno show ip route sarebbe di grande aiuto. Probabilmente è abilitata la funzionalità di proxy arp sull'interfaccia interna, in questo caso basterebbe disabilitare questa feature con no ip proxy-arp a livello di interfaccia per far cadere questo strano funzionamento, ma prima di tutto cercherei di indagare se non sia voluto.

Un consiglio, sul router dai uno show ip arp e nota se il mac di 50.22.231.53 non sia lo stesso di qualche altra macchina.

Sulla LAN non c'è nessun host con l'IP 50.22.231.53, avevo già controllato la cache arp; il proxy arp sull'interfaccia LAN è abilitato, credo di poterlo disabilitare senza problemi. Riguardo alla tabella di routing non c'è nulla di strano: solo le reti connesse, la vpn e la default. Per quanto riguarda la porta 443 penso sia un caso, dato che altre entry simili nella tabella delle traduzioni NAT avevano altri numeri di porta (e altri IP pubblici), tuttavia molti degli indirizzi outside andavano verso la porta 8080 di IP appartenenti ad Accenture. Il router è stato recentemente riavviato e tutte quelle strane entry sono sparite e non sono più ricomparse. Spero di riuscire a replicare in qualche modo questa situazione così strana. Grazie per le spiegazioni!

Sono davvero curioso,però una domanda rimane irrisolta, se la tabella di routing non gira verso il 50.22.231.53, se non trovi questa entry nella tabella di arp, come fa il router a girare i pacchetti verso questi ip? Però parli di una VPN, probabilmente ipsec o webvpn, però questa introduce una quantità di casistiche non indifferente. In ongi caso buono lo spunto che ci ha permesso di fare un pò di ginnastica mentale