Tahminim doğru ise kendi cgnat ip adresinizi dns kaydı yapmışsınız. Ve 80 poru üzerinde site kurup kendiniz girip denemişsiniz. O site sadece sizin lokal ağınızda çalışır. Cgnatta kullanıcı izolasyonu var ne aynı cgnat kullanıcıları ne de başka herhangibir yerden o siteye erişim olmayacağını düşünüyorum.
Şöyle bir durum var o halde. Bursa’da bulunan aynı TurkNet aboneleri görebiliyor. Bunun testini yapabildim. Ancak farklı bir ilde TurkNet kullanan bir tanıdığım olmadığı için test ettiremedim. Aynı SSG cihazına bağlanan aboneler muhtemelen görüyor. Örneğin İstanbul, İzmir diğer yerlerde ki aboneler iller arası SSG cihazlarına erişemiyor o halde. Ben Bursa’da olduğum için Bursa Aboneleri görebilir o halde. Bu yüzden test yapmanızı istemiştim. Bursa’da bulunan farklı TurkNet aboneleri sayfaya erişebiliyor. Teşekkürler. @btekcan@A.OZGUR
Geri dönüşleriniz için teşekkürler arkadaşlar. Demek ki bir kullanıcı izolasyonu yok gibi görünüyor. SSG ler arası bir politika yoksa farklı SSG cihazından bağlananlarda görüyor demek ki. Eğer durum böyleyse tüm CGNAT dakiler benim CGNAT daki IP adresime erişiyorsa CGNAT tasınız uyarısıyla karşılacak, CGNAT ağında değilse ve web i açmaya çalışıyorsa cgnat da değilsiniz uyarısını verdireceğim.
Biraz farklı senaryolar uygulayacağım, ilgili URL’e erişebilenler olursa, tracert sonuçlarını buradan ekran görüntüsü olarak paylaşmanızı rica edeceğim. Teşekkürler
Bildiğim kadarı ile cgnat 30 veya 31 subnet mask ip dağıtıyor. Anlamı adres havuzunda 2 ip olması. Biri ağ geçidi diğeri kullanıcının aldığı ip ve bu ikisi dışında başka adreslerle haberleşemiyor olması gerekli. Eğer durum doğru ise çok büyük bir güvenlik açığı var. Kontrol edermisiniz wan portunun aldığı adresin subnet maskını.
CGNAT arkasındaki tüm kullanıcılara unique private IP adresi atayıp aralarındaki trafiği lokal bir ağdalarmış gibi route ediyor olabilir mi acaba TurkNet? Aslında çok ciddi bir güvenlik açığı da sayılmaz, sonuçta IPv6 kullanan kullanıcılar olarak tüm portlarımız internete tamamen açık. Gerekli firewall ayarları düzgün yapıldığı sürece herhangi bir sorun yok.
2000’lerde de aslında buna yakındı durum. O zamanlar herkese public IP adresi veriliyordu tabii. Çoğu kişinin en basitinden modeminin arayüzüne (ev modemlerinin güvenlik tarafı zayıftı beklendiği üzere) erişilebiliyordu. Hatta default şifre değiştirilmemişse ayar değişikliği de yapılabiliyordu. Eski forum gönderilerinde gezinirken bu tarz maceralar yaşayanlara denk gelmek mümkün
Ama yine de CGNAT arkasında olduğu için internete açık portunun olmadığı düşünüp firewall konfigürasyonunu atlamış insanlar olabilir. Eğer böyle bir durum varsa, herkesin bilgisinin olması iyi olur.
Tam olarak bunu yapıyor intranet yapısı var demekki. Yasal olmayan hertürlü site kurulup işletilebilir demek oluyor. 100 lü ip bloğu cagnat kullanıcılarının hepsine yetmediğinde çakışan ipler internete giremeyecek anlamına gelir bu. Veya şu an ip alıp internete giremeyenlerin problemi bu bile olabilir.