关于运营商分配假公网 IP 的问题

@wuosuper 而且那个复制 SYN 的脑溢血方案都能上线，你告诉我"第三方测试也不是随便过的，如果存在你说的低级安全问题那必然运营商不会采购"，可有半点说服力。只有不搞黑箱，用户才有可能相信。没有用户会选择相信一个放在这么底层的不明设备。

这个算不算黑箱呢？不算，应该算是网络基础操作。应该很久之前就有这种操作了，类似于没有共享公网 ip 的 vps 。

@Argon 论坛的事，上微博挂人了啊？可以的

我感觉我被 @wwbfred 说服了。。。

@SenLief 但是 VPS 会明确告诉你分配到的是内网地址。我觉得楼上吵起来的原因主要有一点就是，这个技术是否真的给人带来方便？
而现在，这套方案对小白和部分不在意稳定性的极客很友好，运营商也节省了公网资源。除了资深大佬，因为发现有玄学连不上问题，debug 半天恐怕才能发现是公网被共享过，而运营商根本没有告知用户，现在有公网的都不敢肯定自己的公网到底是不是独享的。

@wuosuper 曾经没有 switch 而是 hub 的时代，也是可以抢答窃听的。比 PON 还方便，连听 backscattering 的高灵敏度收发机都省了，大家也这么过来了。核心问题不是运营商必须实现什么水平的 L1-L3 安全性，而是不应故意放任用户产生错误认知。
我个人也不认可三方测试，在利益和实际需要驱动下，人什么都干得出来，参考沙利度胺和 737 Max 事件。如果说药物和飞行器实在太过复杂，非专业人员难以评价的话，底层网络架构和协议多少年来都是靠标准化，透明化来实现安全的，为什么到了 NAT4444 就成了个必须保密的黑匣子了呢？我觉得具体实现可以是专利，但是系统的行为总应该成为一个公开的标准，就和（几乎？）所有别的网络设备一样。

@jousca 100 一个地址一个月属于滥用市场支配地位的级别了。不考虑运营商现有的地址库存，采用全租用模式实现向用户分配公网 IP 地址的话，目前一个 C 的租用价格 1.5 万元一年算高于市场价的级别了所以很好租到地址，最便宜见过这个价格的五折。算 1.5 万的高价就是每个用户实际可用地址（每个 C 有 253 个）一年 60 元不到，一年 120 元的话相当于两个高价地址的成本，只要利用率高于一半那么这个价格是绝对有得赚的，如果能按照一万元租到一个 C 那就是血赚了。

@msg7086 只要运营商不管 PCDN 的话，估计大把愿意交易的。

@Archeb 感觉还需要增加用户通过网站、客服热线等渠道配置，完了 RADIUS 下发需要做映射的端口或者端口段的功能。自建 NAS 上跑的大量服务平台就是依赖于端口号固定但可以修改为非默认的，另外还有些游戏、应用需要依赖开启特定端口或端口段才能正常运行。

@wuosuper 1. 如楼上所说，需要增加用户通过自服务网站或者客服热线等渠道手动配置的功能。2. 理论来说最好是由用户路由器自行上报需要的端口段、以及动态上报 UPNP 新生成的映射关系，不过考虑到没有标准化这个很难做。

@laozhoubuluo 你说的自行上报有标准，就是 RFC6970 Universal Plug and Play (UPnP) Internet Gateway Device - Port Control Protocol Interworking Function (IGD-PCP IWF) 这也是我说的“理想方案”的基础

RouterOS 不支持这个功能，然后 miniupnp 应该是支持的。

@Archeb 了解了。其实运营商实现这个就能解决很多问题了。
非要省事搞端口段静态分配，完了心情不好再搞点 QoS 策略、PPS 限制，把可以接受 CGN 的用户弄的也得搞个公网 IP 绕限制。

@wuosuper 至于探测，老用户是没法探测的，只有新装宽带的用户在前一周内可以探测


为什么这个探测老用户无法 新用户只能前 1 周

@lxr760 估计是一种学习机制，学习后可以实现不同入站端口用户的分组。

@fofo 那用户改端口或者行为模式不就和这个分组不匹配了？

@Damn 毕竟不是每个用公网 IP 的都需要映射。之前的帖子里说的是例如一个 IP 给 8 个没有端口映射需求的用户和 2 个有端口映射需求的用户，那么实际上只有这两个用户之间有可能会冲突，概率就低很多了。如果实在是分配不了，一般重新拨号换个 IP 就能解决。大不了软件再改改，如果多个端口都分配失败就把用户踢下线让用户强制更换地址。

@wwbfred tag #死磕派#

@sirlion 是另一个讨论贴《运营商改造为 IPoE 的优势与劣势以及 IPv6 的安全性问题》( https://www.v2ex.com/t/875762 ) 在微博和各个论坛传播出去了，于是有不少人顺路过来看。

公网 ip 现在还有啥好讨论的，目前 ipv6 普及率那么高，我就想问目前的 ipv6 有什么需求是解决不了的，不要说什么路由不好，大部分人要公网的需求就是能从外部访问到内部。

有一个好办法，电脑 PPPoE 拨号后用 WireShark 抓包，如果可以侦测到一些类似随机的端口扫描入站申请（比如 22 端口，MySQL 等），那应该就是全端口的公网 IP 。

@tia 太多了，BT/PT 有不少 v4 Only 的节点，两边都没有公网 IP 就没法互相传输数据。另外企业内网很多都不支持 v6 因此从单位连回家必须公网 v4 地址连接，别跟我说为啥企业不改，有几个企业内网改了双栈的。

@laozhoubuluo #218 专业玩 bt/pt 都买盒子去了，家里那点上传就算了，偶尔下载下还行。公司的话可以用手机，移动数据网是 v6 覆盖率最高的

@tia 那您可想多了，运营商给的这三五十兆的上行玩 pt 的人不少，再一个用盒子养号又不代表人家不直接下载。另外说手机流量的，您给报销流量费吗？除非您念个咒语一下子全世界网络和所有节点都变成 v6 的节点了，否则这就是一个字浪费三个字节的废话。