наличие подсети за NAT/PROXY

[nikkes]

 Подскажите, как можно узнать, что за фиксированным ip сидит сетка под NAT/Proxy?
цель: раздавать инет только конкретному пользователю и не выпускать тех, кому он сам раздет инет.
т.е. кроме изменения TTL (что пользователь может и корректировать), как еще можно узнать, что через ip-адрес
пользователя выходит несколько фейковых ip?

[Unit]

tcpdump, например, может много чего рассказать о летающих пакетах.

[nikkes]

можно поподробнее? как анализ пакетов поможет обноружить и дропить за ip NAT-подсеть?
модуль strings в  POM к iptables, если я правильно понимаю, тоже не поможет из-за ложных срабатываний...
т.е., как я думаю - обнаружить на шлюзе NAT возможно по ttl (что легко обходится) либо наличием адреса-отправителя в
http (который не понятно как разбирать, поскольку для анализа нужно как минимум склеить пакеты)...
возможно ли как-то еще определить?
 (другой пример: к провайдеру подключается клиент-частник, который начинает продавать через себя инет. как провадер может
опредилить, что в его сети завёлся такой негодяй)?
PS: речь идет про то, как на шлюзе реализовать идею: через выделенный адрес может выходить только 1 абонент (а не фейковая подсеть за ним)

[Unit]

можно поподробнее? как анализ пакетов поможет обноружить и дропить за ip NAT-подсеть?
модуль strings в  POM к iptables, если я правильно понимаю, тоже не поможет из-за ложных срабатываний...
т.е., как я думаю - обнаружить на шлюзе NAT возможно по ttl (что легко обходится) либо наличием адреса-отправителя в
http (который не понятно как разбирать, поскольку для анализа нужно как минимум склеить пакеты)...
возможно ли как-то еще определить?
 (другой пример: к провайдеру подключается клиент-частник, который начинает продавать через себя инет. как провадер может
опредилить, что в его сети завёлся такой негодяй)?
PS: речь идет про то, как на шлюзе реализовать идею: через выделенный адрес может выходить только 1 абонент (а не фейковая подсеть за ним)

Ваша мысль понятна, но как вы будете действовать с клиентом у которого дома стоит обычный роутер? Прописывать персональное исключение?
Помнится несколько лет назад северский провайдер Оберон как раз отслеживал NAT по TTL, всё привело к тому, что данная практика ухудшила карму. Плюс в связи с ростом популярности домашнего роутера данная практика была сведена на нет.

На мой взгляд, в данной надо детальнее анализировать трафик клиента. Однако, забывать про ущемление прав тоже не стоит. Провайдер не в праве запрещать абоненту всё, что ему взбредёт в голову.

[nuclight]

Экономически гораздо перспективнее просто зажимать клиенту полосу на оговоренную в тарифе ширину, и дальше уже его проблема, что он кому-то отдает свой кусок. Плюс те же самые домашние роутеры...

Но если хочется повозиться, вручную анализируя дампы, то можно смотреть последовательности IPID. В большинстве ОС это монотонно возрастающий счетчик, т.е. сколько на графике удастся выделить прямых, столько и будет машин с такими ОС. Вручную, потому что из-за разных факторов автоматизировать не получится, пропуски в последовательности совершенно обычны, да и закорачиваться 16 бит могут очень быстро.