URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 63469
[ Назад ]
Исходное сообщение
"Раздел полезных советов: Защита от трассировки маршрутов с п..."
Отправлено auto_tips , 01-Фев-10 23:02
Для того, чтобы затруднить исследование сети (локальной, DMZ и т.д.) можно заблокировать все пакеты с низким значением TTL. Пример блокирования пакетов с TTL меньше 5: iptables -A INPUT -p all -m ttl --ttl-lt 5 -j DROP
или
iptables -A FORWARD -p all -m ttl --ttl-lt 5 -j DROP
URL: http://linux-online-ru.blogspot.com/2010/01/blog-post_31.html
Обсуждается: http://www.opennet.ru/tips/info/2278.shtml
Содержание
- Защита от трассировки маршрутов с помощью iptables,VecH, 23:02 , 01-Фев-10
- Защита от трассировки маршрутов с помощью iptables,PAL, 23:05 , 01-Фев-10
- Защита от трассировки маршрутов с помощью iptables,Киноман, 10:33 , 02-Фев-10
- Защита от трассировки маршрутов с помощью iptables,prapor, 13:59 , 02-Фев-10
- Защита от трассировки маршрутов с помощью iptables,Pahanivo, 18:14 , 02-Фев-10
- Защита от трассировки маршрутов с помощью iptables,pavlinux, 02:21 , 03-Фев-10
- Защита от трассировки маршрутов с помощью iptables,daevy, 06:09 , 02-Фев-10
- Защита от трассировки маршрутов с помощью iptables,i, 14:10 , 02-Фев-10
- Защита от трассировки маршрутов с помощью iptables,pavlinux, 03:38 , 03-Фев-10
- Защита от трассировки маршрутов с помощью iptables,daevy, 06:25 , 03-Фев-10
- Защита от трассировки маршрутов с помощью iptables,gambit, 15:27 , 03-Фев-10
- Защита от трассировки маршрутов с помощью iptables,pavlinux, 19:53 , 03-Фев-10
- Защита от трассировки маршрутов с помощью iptables,Andrey Mitrofanov, 10:54 , 04-Фев-10
- Защита от трассировки маршрутов с помощью iptables,pavlinux, 19:45 , 04-Фев-10
- Защита от трассировки маршрутов с помощью iptables,Andrey Mitrofanov, 10:58 , 04-Фев-10
- Защита от трассировки маршрутов с помощью iptables,pavlinux, 19:43 , 04-Фев-10
- Защита от трассировки маршрутов с помощью iptables,Аноним, 17:24 , 04-Фев-10
Сообщения в этом обсуждении
"Защита от трассировки маршрутов с помощью iptables"
Отправлено VecH , 01-Фев-10 23:02
А в оффтопике сколько ttl по дефолту в трассировке?
"Защита от трассировки маршрутов с помощью iptables"
Отправлено PAL , 01-Фев-10 23:05
А что, есть желающие потанцевать по этим граблям? :D
Ню-ню. Автору сетки сложнее офисных на десяток машин админить приходилось?
"Защита от трассировки маршрутов с помощью iptables"
Отправлено Киноман , 02-Фев-10 10:33
Тролль?
"Защита от трассировки маршрутов с помощью iptables"
Отправлено prapor , 02-Фев-10 13:59
Да нет, просто явно думающий головой человек. Блокируя возможность трассировки в первую очередь ломаем себе возможность диагностики.
"Защита от трассировки маршрутов с помощью iptables"
Отправлено Pahanivo , 02-Фев-10 18:14
+1
это как раз жизненный пример поранои за грани за гранью здравого смысла ))
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 03-Фев-10 02:21
Ну а подумать?!
"Защита от трассировки маршрутов с помощью iptables"
Отправлено daevy , 02-Фев-10 06:09
диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и привет!
"Защита от трассировки маршрутов с помощью iptables"
Отправлено i , 02-Фев-10 14:10
при трассировке можно не исполльзовать udp
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 03-Фев-10 03:38
>диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и
>привет! Привет!
# traceroute -p $(($RANDOM % 65536)) kernel.org
"Защита от трассировки маршрутов с помощью iptables"
Отправлено daevy , 03-Фев-10 06:25
оо! не знал:) как грицца век живи век учись:)
а то что трассер можно по тсп и ицмп пускать это я знаю, потому и написал конкретно про удп)))
"Защита от трассировки маршрутов с помощью iptables"
Отправлено gambit , 03-Фев-10 15:27
Если рассматривать правило в общем контексте, а не оторвано, то описать правило исключающее себя любимого, и пару тройку внешних хостов особенных проблем не составит.
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 03-Фев-10 19:53
Люди!!! Может я проспал последние 10 лет!!!
Скажите, когда в ядре выкинули ipt_MIRROR.c ???
"Защита от трассировки маршрутов с помощью iptables"
Отправлено Andrey Mitrofanov , 04-Фев-10 10:54
>Люди!!! Может я проспал последние 10 лет!!!
>Скажите, когда в ядре выкинули ipt_MIRROR.c ??? А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не собирают, например. То ли выключено и "experimental^2", то ли вообще из патч-о-матика не выпускают.
Со стороны /sbin/iptables поддержка "есть" -
$ find /lib -name "*MIRROR*"
/lib/xtables/libipt_MIRROR.so
$ _
- а модулей ядра нет, "собери себе сам".
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 04-Фев-10 19:45
>[оверквотинг удален]
>А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку
>включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не
>собирают, например. То ли выключено и "experimental^2", то ли вообще из
>патч-о-матика не выпускают.
>
>Со стороны /sbin/iptables поддержка "есть" -
>$ find /lib -name "*MIRROR*"
>/lib/xtables/libipt_MIRROR.so
>$ _
>- а модулей ядра нет, "собери себе сам". Нашёл,... в 2.5.75 было и 2.6.0-rc, видимо испугались :)
http://lxr.linux.no/#linux-bk+v2.5.75/net/ipv4/netfilter/ipt...
"Защита от трассировки маршрутов с помощью iptables"
Отправлено Andrey Mitrofanov , 04-Фев-10 10:58
>в ядре выкинули ipt_MIRROR.c ??? Вдогонку: вдохновился по-быстрому советов в серию "Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть?? :> Эээ, брось -- "не читайте зв обедом..."
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 04-Фев-10 19:43
>>в ядре выкинули ipt_MIRROR.c ???
>"Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть?? Пиши абсудим!
"Защита от трассировки маршрутов с помощью iptables"
Отправлено Аноним , 04-Фев-10 17:24
суровая параноя