NAT и расшаренные ресурсы
 

Вопрос первый, может ли пользователь ПК, находящийся в сети провайдера с IP 172.17.X.X видеть мои расшаренные папки в сети 192.168.X.X, при условии, что я сижу за NAT роутера и при этом в свойствах подключения у меня только галочка на Протокол интернета (TCP/IP)?
Второе, те же самые условия, что и в первом вопросе, только я устанавливаю галочки на Клиент для сетей MS и на Служба доступа к файлам и принтерам сетей MS, становятся ли видимыми извне мои расшаренные папки?

Я могу увидеть шары в сети провайдера только активировав все три службы, но только на тех ПК, где нет роутеров, то есть на тех, что не за NAT. Использую сканеры сети (NetScan, NetLook).

Спрашиваю, так как ко мне на ПК недавно приходили "посетители" с внешней сети 172.17.X.X , интересует как от них скрыть шары, но при этом общие папки должны быть открытыми в моей внутренней сети с IP 192.168.X.X.

Ещё добавлю, что роутер новый, DIR-300/NRU, пока что не полностью ему доверяю. Хотя в нём как бы и есть NAT, но почему-то маршрутизатор не участвует в tracert, то есть работает прозрачно, что меня и смущает, но настроен как роутер, а не как точка доступа.

Если будут вопросы, с удовольствием отвечу.

Rostlv, 1 - нет, 2 - нет. Утверждения верны, если маршрутизатор настроен стандартно без порт-маппинга внутрь домашней сети.

если у вас не будет этих галочек - даже из локальной сети никто не увидит у вас расшаренные ресурсы...
Я вот не помню, они вообще создадутся...

Проверил возможность доступа извне в мою сеть, зайти на ПК не получилось. Пробовал оба варианта, указанные мной в первом посте. Смог зайти только через DMZ, что и не удивительно. Но всё же странно, как тогда при таких же настройках роутера в NetWorx было соединение с ПК из внешней сети, причём подсоединялся не я, а ко мне. И ещё, как можно объяснить, что маршрутизатор не участвует в tracert? Но при этом, если пытаться найти его по IP из внешней сети, то некоторые сканеры это делают, даже если отключен пинг WAN-порта.

Только некоторые? Какие именно?
Точно отключен?
Может, нужно перезагрузиться?

Как не участвует?
Первым пунктом сразу идёт маршрутизатор провайдера?

NetScan находит, а NetLook - нет. Только в настройках NetScan надо поменять метод сканирования на both ICMP & ARP.
Да, первый шлюз провайдера, а DIR - не виден.

Возможно, что WAN-порт роутера работает без включения NAT, и роутер напрямую замыкает WAN на первый локальный IP?
Конкретно с DIR-300 я не работал, но на некоторых ADSL-модемах в настройках WAN-порта в режиме PPPoE-соединения были отдельные опции для включения firewall (настраивался отдельно) и NAT
Хотелось бы взглянуть на скриншот параметров WAN

NAT в DIR выключается только при задействовании AP, в режиме роутера он включен всегда.
Скриншоты настроек WAN, static IP, как у меня:


Остальные настройки можно посмотреть в мануале тут: ftp://ftp.dlink.co.uk/dir_products/dir-300/
Маршрутизатор работает прозрачно не только у меня, а у всех владельцев. Вот поэтому и интересно, как разработчики смогли реализовать сей момент в устройстве. И почему IP роутера можно обнаружить при ARP-сканировании. И как ко мне зашли, при включённом NAT, без какого либо проброса портов, всё было по умолчанию, даже SPI был включен.

А почему на этом скриншоте не видно никаких настроек?

Так настройки то стандартные, IP - 172.17.X.X, маска - 255.255.0.0, шлюз - 172.17.X.X, DNS - от google 8.8.8.8 и 8.8.4.4, привязки по MAC нет. Второй скриншот так и выглядит. Ещё включен SPI и брандмауэр, который не отключается. Всё.

Тем более непонятно, зачем нужно шифровать серый IP :)

Ещё два вопроса
1. Как организован выход в интернет? Провайдер маршрутизирует данную сеть или же создаётся коммутируемое PPPoE (VPN) соединение?
2. Есть ли программы, создающие "виртуальную частную сеть"? (Hamachi и т.д.)

Как было обнаружено вторжение?

Никакого VPN, соединение static IP, со всеми вытекающими, соответственно доп. ПО нет.
По уменьшению скорости закачки, в это время канал использовался на полную. Установлен NetWorx, там и увидел в "соединениях". Порт 80, как раз и был открыт, так как качал с файлообменника. SPI почему-то не сработал должным образом.
Кстати, недавно посещал WU, проверял только наличие обновлений, ничего не устанавливал, но каким-то образом, сервер WU подсоединился ко мне по UDP-порту. Брандмауэр DIR, по-моему - решето. Вот и консультируюсь, надо удостовериться в правоте, если так, то придётся ругаться с разработчиками прошивки.

Не понял? Локальный 80-й порт? На домашнем компьютере поднят HTTP-сервер?
А какое отношение он имеет к скачке чего-то с файлообменников?

Какой сервер - стандартный Мелкомягкий или провайдер экономии траффика ради предоставляет доступ к своему внутреннему "зеркалу"?
Отвечаю, ни один сайт из интернета не смог бы получить доступ даже к устройству с адресом 172.25.x.y , ибо это "серый" адрес, защищаемый маршрутизатором провайдера

Нет, на маршрутизаторе, локальный не помню какой был открыт.
Да стандартный, IP - 207.46.197.32, зеркала у провайдера нет.


Как тогда объяснить первый скриншот?

Какой ещё "первый скриншот"?

В*конце-концов, хотелось бы видеть логи программы, обнаружившей "взлом".
Или хотя бы результаты netstat

Тот, что над вторым. На нём отчётливо видно соединение моё и ко мне.
В NetWorx, закладка "соединения" это и есть вариант netstat. Лог конечно не сохранял, своим глазам пока что доверяю.
В общем спасибо всем за помощь.

Там отчётливо видно 13 соединений (1 UDP + 12 TCP). Входящие они или исходящие не написано.

Не написано. Но разве при проверке обновлений ПК подключается к серверам WU по UDP? И вообще, это первое соединение на DIR, когда появился IP из интернета, всегда только внутренние IP (не считая DNS). После этого случая специально пробовал воссоздать ситуацию, не получилось. Смотрел NetWorx, на WU соединения только по TCP, по UDP - нет.

WU использует HTTP (80) и HTTPS (443).

На указанном адресе висит огромное число сайтов MS.
Любая MS программа могла отправить на него UDP пакет.

Для отслеживания активности приложений используется персональный файрвол.

Да, конечно. Но хочется ограничить количество брандмауэров, а так есть аппаратный, на все ПК. Но для полной безопасности приходится ставить ещё на каждый ПК софтовый. Зачем тогда аппаратный? Понимаю, что в DIR он не совсем полноценный, не может справиться даже с безопасностью внутренних сетей, пришлось настроить правила. Но на интернет правила в нём не настроить, разве что полностью запретить.

Объясняю.
Любой маршрутизатор на шлюзе (хоть аппаратный, хоть программный) изначально способен задерживать только нежелательные входящие соединения. Исходящие соединения же он способен отлавливать только по заранее определённым адресам или портам получателя.
А если хочется ограничить доступ на уровне определённого списка программ, то тут поможет только локальный файрволл, который имеет доступ к списку запущенных процессов. Но такое нужно крайне редко

Полностью согласен. Но всё же я не уверен, что подключение WU было с ПК, а не наоборот. Тем более, что из сети провайдера ко мне подключились без проблем, с задействованными брандмауэром и SPI.
Может ещё кто подскажет, как разработчики умудрились сделать роутер прозрачным. Напомню, речь идёт о DIR-300/NRU или о ревизии B1, не путать с A1.