Andal menentukan rentang alamat IP yang dapat ditugaskan ke router

2

Seperti kebanyakan dari kita dengan layanan internet rumah yang disediakan oleh ISP, router / modem saya secara dinamis diberi alamat IP eksternal, biasanya dalam jangkauan. Ketika router diatur ulang (mis. Oleh pemadaman listrik) router menegosiasikan sewa baru pada alamat IP yang berbeda dari ISP.

Saya terhubung dari rumah ke server di mana saya memiliki hak admin. Saya ingin membuka firewall di server hanya untuk kisaran alamat IP yang dapat ditugaskan ke router rumah saya.

Bagaimana cara andal menentukan kisaran ini? Saya berasumsi bahwa ISP tidak akan dapat memberi tahu saya informasi ini jika saya menelepon (baik karena kebijakan mungkin tidak mengizinkannya, atau staf tidak tahu apa yang saya bicarakan).

Saya juga ingin itu menjadi rentang terkecil (atau serangkaian rentang mungkin) untuk alasan keamanan.

peta digital
sumber
pemikiran sampingan; Anda dapat secara andal menyimpan IP yang sama melalui kontraknya jika Anda memiliki modem pada UPS seperti yang digunakan bersama oleh komputer.
Psycogeek

Jawaban:

3

Jangan berasumsi bahwa seseorang di ISP Anda tidak dapat memberi tahu Anda informasi ini. Anda mungkin benar, tetapi dalam semua kejujuran, mereka adalah orang-orang yang akan memiliki informasi ini. Karena Anda dapat membeli IP statis dari mereka (meskipun Anda tidak menginginkannya) mereka adalah yang tahu.

Anda tidak dapat dengan andal mempersempit rentang ... sama sekali, sungguh. Maksudku, mari kita lempar angka di luar sana. Sebagai contoh...

Jika suatu hari alamat IP Anda adalah 69.79.10.230 ... siapa yang mengatakan bahwa ISP Anda hanya menyewa 69.79.10.xxx untuk digunakan bagi pelanggan mereka. Mereka dapat memiliki 69,79.xxx.xxx tersedia untuk mereka, yang berarti ada lebih dari 65.000 alamat yang tersedia di sana. Dan jika Anda memantau alamat tempat Anda ditugaskan untuk ... katakanlah ... seminggu, siapa yang dapat mengatakan bahwa ini adalah satu-satunya subnet yang mereka operasikan? Apakah Anda harus menonton selama sebulan? Bagaimana jika mereka memutar subnet setiap 6 bulan atau setiap tahun? Inilah mengapa saya katakan Anda tidak bisa menebak dengan andal dalam kisaran sempit.

Tentu saja, ini sangat tergantung pada bagaimana Anda mendefinisikan "sempit" dan "andal" untuk tujuan ini.

Inilah sebabnya saya katakan Anda harus mengambil risiko dan menghubungi dukungan teknis ISP Anda. Beri tahu mereka apa yang Anda butuhkan dan mengapa Anda membutuhkannya, dan mintalah untuk berbicara dengan teknisi tingkat 2 atau supervisor. Jujur, mereka biasanya jauh lebih mendukung daripada yang Anda pikirkan, terutama ketika mereka mengatakan hal-hal yang tidak membuat mereka bertanggung jawab secara langsung. Mereka tidak akan membantu memberi tahu Anda cara mengatur router Anda (karena mereka tidak ingin bertanggung jawab atas peralatan yang tidak mereka miliki), tetapi memberi Anda jangkauan yang Anda harapkan dari alamat IP Anda berasal bukan sesuatu yang belum Anda alami sendiri seiring waktu. Mereka mungkin menolak Anda, tapi hei ... Anda tidak pernah tahu jika Anda tidak bertanya.

Bon Gart
sumber
Saya tahu ini kurang aman, jelas, tetapi membuka 69.xxx.xxx.xxx dalam contoh Anda tentu lebih baik daripada tidak memiliki firewall sama sekali. Atau ini terlalu berisiko?
digitalmaps
1
Tentu, membuka "hanya" ke kisaran 69.0.0.0 lebih baik daripada tidak sama sekali tetapi ini adalah lubang yang sangat besar ...
laurent
1
16 juta lubang alamat, beri atau
terima
Saya setuju dengan Bon, hubungi Dukungan Teknis mereka dan meminta teknologi level 2 atau 3. Teknisi level 1 tidak akan tahu apa yang Anda bicarakan tetapi teknisi level 2 atau 3 kemungkinan besar akan melakukannya. Bersikaplah gigih . Teknisi Level 1 lebih atau kurang menggerutu di garis depan, dan kebanyakan dari mereka akan melakukan apa yang mereka bisa untuk membuat Anda keluar dari telepon secepat mungkin, terus meminta teknologi level 2 atau 3 atau meminta pengawas untuk mentransfer Anda ke mereka. Karena Anda membayar untuk layanan ini, saya pikir itu adil bagi Anda untuk mendapatkan dukungan untuk mereka. Yang terburuk yang bisa dikatakan oleh teknisi tingkat 2/3 adalah tidak.
White Phoenix
3

Seperti yang dikatakan Bon Gart, ISP Anda adalah satu-satunya yang mengetahui info ini dan Anda tidak akan menebaknya dengan keandalan dan ini dapat berubah seiring waktu.

Bagaimanapun, saya tidak berpikir ini adalah cara yang aman untuk membuka firewall server Anda untuk terhubung. Tergantung pada OS yang Anda gunakan, apa yang ingin Anda lakukan di server dan bagaimana dan apa yang Anda miliki, ada cara yang lebih aman untuk terhubung dengannya. Berikut ini beberapa ide:

  • mendaftar dengan penyedia DNS Dinamis (dynDNS atau DNSExit misalnya) dan buka firewall hanya ke alamat host (penunjuk) yang ditugaskan ke mesin di rumah Anda
  • menggunakan VPN dengan sertifikat ssl di kedua sisi ( openvpn misalnya)
  • menggunakan SSH dengan kunci atau kunci dan kata sandi tetapi tidak hanya kata sandi
  • hanya buka ssh (atau lainnya) port (dengan kunci ssh) dan buat terowongan terenkripsi ke port yang perlu Anda gunakan di server sehingga Anda terhubung ke port lokal di mesin Anda
  • dalam semua kasus, gunakan fail2ban atau sesuatu seperti itu untuk memblokir IP setelah beberapa upaya salah
laurent
sumber
Sayangnya server adalah Windows 2003 menggunakan firewall RRAS. Hanya alamat IP yang dapat ditentukan, sehingga solusi berbasis DNS yang bagus tidak berfungsi. Dan saya ingin membatasi akses VPN juga hanya untuk komputer di rumah saya - atau apakah ini terlalu aman.
digitalmaps
Tidak ada yang terlalu aman :) Saya pikir kecuali VPN (seperti openvpn) dengan 1 kunci enkripsi di setiap sisi dan dengan server memeriksa apakah klien memiliki kunci keamanan yang adil menurut saya, terutama jika Anda secara otomatis melarang IP mencoba koneksi yang gagal. .
laurent
Menggunakan layanan seperti DynDNS atau FreeDNS untuk menegosiasikan koneksi, dengan skrip di server untuk mengatur entri DNS dengan benar ketika alamat IP berubah. Anda kemudian dapat mengatur keamanan seperti biasa.
ChimneyImp