URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 63469
[ Назад ]
Исходное сообщение
"Раздел полезных советов: Защита от трассировки маршрутов с п..."
Отправлено auto_tips , 01-Фев-10 23:02 
Для того, чтобы затруднить исследование сети (локальной, DMZ и т.д.) можно заблокировать все пакеты с низким значением TTL. Пример блокирования пакетов с TTL меньше 5:

   iptables -A INPUT -p all -m ttl --ttl-lt 5 -j DROP

или

   iptables -A FORWARD -p all -m ttl --ttl-lt 5 -j DROP

URL: http://linux-online-ru.blogspot.com/2010/01/blog-post_31.html
Обсуждается: http://www.opennet.ru/tips/info/2278.shtml

Содержание
Сообщения в этом обсуждении
"Защита от трассировки маршрутов с помощью iptables"
Отправлено VecH , 01-Фев-10 23:02 
А в оффтопике сколько ttl по дефолту в трассировке?
"Защита от трассировки маршрутов с помощью iptables"
Отправлено PAL , 01-Фев-10 23:05 
А что, есть желающие потанцевать по этим граблям? :D
Ню-ню. Автору сетки сложнее офисных на десяток машин админить приходилось?
"Защита от трассировки маршрутов с помощью iptables"
Отправлено Киноман , 02-Фев-10 10:33 
Тролль?
"Защита от трассировки маршрутов с помощью iptables"
Отправлено prapor , 02-Фев-10 13:59 
Да нет, просто явно думающий головой человек. Блокируя возможность трассировки в первую очередь ломаем себе возможность диагностики.
"Защита от трассировки маршрутов с помощью iptables"
Отправлено Pahanivo , 02-Фев-10 18:14 
+1
это как раз жизненный пример поранои за грани за гранью здравого смысла ))
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 03-Фев-10 02:21 
Ну а подумать?!

"Защита от трассировки маршрутов с помощью iptables"
Отправлено daevy , 02-Фев-10 06:09 
диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и привет!
"Защита от трассировки маршрутов с помощью iptables"
Отправлено i , 02-Фев-10 14:10 
при трассировке можно не исполльзовать udp
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 03-Фев-10 03:38 
>диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и
>привет!

Привет!
# traceroute -p $(($RANDOM % 65536)) kernel.org

"Защита от трассировки маршрутов с помощью iptables"
Отправлено daevy , 03-Фев-10 06:25 
оо! не знал:) как грицца век живи век учись:)
а то что трассер можно по тсп и ицмп пускать это я знаю, потому и написал конкретно про удп)))
"Защита от трассировки маршрутов с помощью iptables"
Отправлено gambit , 03-Фев-10 15:27 
Если рассматривать правило в общем контексте, а не оторвано, то описать правило исключающее себя любимого, и пару тройку внешних хостов особенных проблем не составит.
"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 03-Фев-10 19:53 
Люди!!! Может я проспал последние 10 лет!!!
Скажите, когда в ядре выкинули ipt_MIRROR.c ???


"Защита от трассировки маршрутов с помощью iptables"
Отправлено Andrey Mitrofanov , 04-Фев-10 10:54 
>Люди!!! Может я проспал последние 10 лет!!!
>Скажите, когда в ядре выкинули ipt_MIRROR.c ???

А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не собирают, например. То ли выключено и "experimental^2", то ли вообще из патч-о-матика не выпускают.

Со стороны /sbin/iptables поддержка "есть" -
$ find /lib -name "*MIRROR*"
/lib/xtables/libipt_MIRROR.so
$ _
- а модулей ядра нет, "собери себе сам".

"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 04-Фев-10 19:45 
>[оверквотинг удален]
>А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку
>включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не
>собирают, например. То ли выключено и "experimental^2", то ли вообще из
>патч-о-матика не выпускают.
>
>Со стороны /sbin/iptables поддержка "есть" -
>$ find /lib -name "*MIRROR*"
>/lib/xtables/libipt_MIRROR.so
>$ _
>- а модулей ядра нет, "собери себе сам".

Нашёл,... в 2.5.75 было и 2.6.0-rc, видимо испугались :)

http://lxr.linux.no/#linux-bk+v2.5.75/net/ipv4/netfilter/ipt...

"Защита от трассировки маршрутов с помощью iptables"
Отправлено Andrey Mitrofanov , 04-Фев-10 10:58 
>в ядре выкинули ipt_MIRROR.c ???

Вдогонку: вдохновился по-быстрому советов в серию "Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть?? :> Эээ, брось -- "не читайте зв обедом..."

"Защита от трассировки маршрутов с помощью iptables"
Отправлено pavlinux , 04-Фев-10 19:43 
>>в ядре выкинули ipt_MIRROR.c ???
>"Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть??

Пиши абсудим!

"Защита от трассировки маршрутов с помощью iptables"
Отправлено Аноним , 04-Фев-10 17:24 
суровая параноя