关于运营商分配假公网 IP 的问题

@wuosuper 其实还有一个问题是，看起来这套系统会限制连接数，不知道这种连接数的限制是系统直接对连接数进行限制，还是由于端口不足导致的限制。
如果不想要公网 ipv4 ，能否绕过这套系统，以避免连接数被限制。

@xxfye 厂商技术人员说不限制连接数的，每个用户并发连接数都可以 20 万以上，同一个端口可以给多个用户复用，并且数据不会冲突。
同一个端口，既可以作为公开在公网的端口供访问，也可以作为多个用户访问公网的源端口。
举个例子，一个端口 12345
可以接受公网传入连接，
也可以复用给多个用户：
10.0.0.1:12345-1.1.1.1:80
10.0.0.2:12345-1.1.1.1:443
10.0.0.3:12345-1.1.1.2:80
10.0.0.4:12345-1.1.1.3:80
10.0.0.5:12345-1.1.1.4:80

只要同一批用户不同时使用同一个来源端口访问同一个目标地址同一个目标端口就不会冲突，冲突会 rst ，客户端自动重试更换新的源端口。
具体的技术没讲，也同样完全是一个黑箱产品。

@wwbfred #98 #99 经过建维朋友咨询厂商
对两个问题的回复：现网运行版本已经很好地解决了这些问题，遇到这些问题的概率低于万分之一，分配 IP 池时即尽可能确保了不会出现这些问题，该问题只会出现在用户首次入网首次拨号的情况。

@wuosuper 你说端口冲突可以通过算法分配，降到一个够低的概率，我信。那我回答所有 SYN 包，怎么办？我通过#99 提出的方案主动探测是否是假 IP ，怎么解决？
更重要的是，既然不遵循标准协议，是不是也应该告诉客户会发生什么，以及这一技术的安全隐患。算法一定是根据开端口的情况的来分配 IP 的，那我换个端口又是首次拨号，攻击面根本没变。

@wuosuper 即使是万分之一，那也是给 IP 层开的一个洞。而且这个万分之一是怎么算的？一万个数据包有一个出问题？还是一万个连接出错期望是一个？还是一万个用户有一个会发现问题？这种 PPT 说法，概率值看起来很小，实际上用户端看到的问题可能比这个要严重得多。现在的低投诉，你根本不知道是没啥问题还是别人根本不知道问题在你运营商这儿。

@acbot #84 花半分钟想的方案，肯定想的不周到，别在意😂

@wwbfred 厂商回复：#104 具体看运营商配置，不会冲突，现网版本不会触发全部 syn 响应问题，已在 2018 年早期版本修复。
#99 具体看运营商配置，默认配置下用户无法探测，同一个用户分配到的地址池数量有限，用户无法遍历全部地址，并且用户短期重新拨号无法更换新 IP 。
#105 万分之一概率是指每一万次地址池分配出现端口冲突的概率约为一次。并且光猫已内置网络质量监测模块，频繁出现相关错误会及时通知后端处理。

@wuosuper 大半夜的辛苦了。虽然我不知道你是哪个部门的，但看得出来厂商是想推这个模块的。
回复 1：完全没看懂是什么意思。
回复 2：看懂了，但我问的不是这个问题。
回复 3：端口冲突是所有问题里最好解决的。
而且厂商的回答没有涉及到最关键的安全性问题。上面提到的几个非常简单的攻击方案，厂商都没有正面回答，都是声称"解决了"，但怎么解决的是机密，解决到什么程度了也是机密。我这里我已经测了，大概率不是假公网，没法进行进一步测试。但这个模块要是大范围部署了，就会有更多人构造出更多的攻击路径，到时候可就不是一个"机密"能说得过去的了。

@wwbfred #108 我就是个打工的，在通宵打游戏，恰好建维朋友在值班，恰好他那边厂商也在值班，恰好他们也在划水，就帮你问了。
安全性问题他们表示现网运行版本不存在，你说的问题初期版本就解决了。至于探测，老用户是没法探测的，只有新装宽带的用户在前一周内可以探测，并且经过多年迭代体验与真实 IP 无异。厂商并不想推这项技术，是某地运营商要他们做的，后来被各地运营商看中，并且已经已经部署了 40+城市。

@wuosuper "安全性问题他们表示现网运行版本不存在"，计算机网络领域，一个连它的存在都不愿意公开的东西，安全何从谈起，这个根本就是违反常识。TCP 握手包复制，UDP 就是首个数据包复制，还是直接发送给其他用户，极大扩大了攻击面。要是能说出个所以然来也行啊，不说，机密，但就是安全。而且就是这个安全稳定高效的方案，我们也不想推，都是运营商求着用。我说句实在话，咱能靠谱点么？

@wwbfred #110 同样厂商回复：上面的图与包复制相关资料都已经过时，现网运行版本结构与上图结构完全不同，是新重构的版本。新版本不会采用包复制 /广播相关方案，故不存在相关安全问题。安全问题已通过相关测试，目前未表明存在相关安全问题。与其关心 CGNAT 的安全性不如关心 PON 接入的安全性，目前部署的 PON 也采用全明文数据广播分发的方式，各运营商为了最大接入数量也未开启加密，加上背反射的情况是完全可以获取整个 PON 下所有用户的上下行明文数据的。

@wuosuper 行吧，都说到这份上了，是骡子是马就出来溜溜吧。这个东西至少初版看起来很是问题，至于现在的安全性，公开出来让大家一起玩玩就知道了。

有说电信的申请现在基本上不好通过了吗？想选个运营商方便一点的，有什么推荐吗？

你们说的都很 nb ，所以我这个小白想问问公网 ip 有啥用，我申请了有啥好处。

@jadelike 也就可以外部访问，没啥。只不过这里的大部分人对远程访问是刚需，所以对公网 IP 的反应不小。

@Dorcoin 别选电信就对了，如果你常上国外网站的话，卡的你怀疑人生。

@wuosuper 已经大规模部署了吗？突然感觉某些时候的灵异事件有解了，比如公网开个端口可以 tcping 通，但是软件连接时就报错，过一会又能连上，难道我也是用的共享地址……？

我觉得 wwbfred 算是钻牛角尖了
为啥要公开？你要是运营商的工作人员 能接触到 就能接触到，公开让大家又一窝蜂的去测试 ip ？某些视频主 又开始忽悠小白 去要真 ip ？
很多不需要真 ip 的 看着比人发的视频 文章就去要，要回来干啥？ ip 不够就技术凑吧
算了 反正现在 v6 一直在推进，后面 v4 的公网 肯定是都要收回的，也就能搞几年了 没啥意义了

@lcy630409 一个搞基础网络，还在这儿上黑箱设施，能瞒一天算一天，出了问题让用户抓瞎。搞个公网 IP ，还分小白大佬，好像一部分人有权利比另一部分人更平等，开动物庄园呢这是？
厂商那边到头来也没说清楚，这玩意到底有什么缺点。处处都是优点，堪称开天辟地，但一说责任就是运营商要求上的，不是我们推的，这玩意儿你用着放心？

@wwbfred 大家都是在一个 BARS 下的城域网，理论上延迟是差不多的，我很好奇要如何进行抢答呢？

我现在有点怀疑，在大内网的现在，ipv4 还稀缺么。

@MNIST 如果延迟都是一样的，其他条件条件也是理想的，那就是 50%成功率呗，够你干很多事的了。而且要是真能这个成功率，我能笑出声。