The OpenNET Project
 
Поиск (ключи):  ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
ССЫЛКИ НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Защита от трассировки маршрутов с помощью iptables 
Для того, чтобы затруднить исследование сети (локальной, DMZ и т.д.) можно
заблокировать все пакеты с низким значением TTL. Пример блокирования пакетов с
TTL меньше 5:

   iptables -A INPUT -p all -m ttl --ttl-lt 5 -j DROP

или

   iptables -A FORWARD -p all -m ttl --ttl-lt 5 -j DROP
 
01.02.2010, Автор: Владимир , Источник: http://linux-online-ru.blogspot.com...
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Ajax режим | Смотреть все | RSS ]
 
  • Защита от трассировки маршрутов с помощь, VecH, 23:02, 01/02/2010 [ответить] (1)
    		• +/
    А в оффтопике сколько ttl по дефолту в трассировке?

  • Защита от трассировки маршрутов с помощь, PAL, 23:05, 01/02/2010 [ответить] (2)
    		• +1 +/
    А что, есть желающие потанцевать по этим граблям? :D
    Ню-ню. Автору сетки сложнее офисных на десяток машин админить приходилось?

     
  • Защита от трассировки маршрутов с помощь, Киноман, 10:33, 02/02/2010 [ответить] (4)
    		• –1 +/
    Тролль?

     
  • Защита от трассировки маршрутов с помощь, prapor, 13:59, 02/02/2010 [ответить] (5)
    		• +1 +/
    Да нет, просто явно думающий головой человек. Блокируя возможность трассировки в первую очередь ломаем себе возможность диагностики.

     
  • Защита от трассировки маршрутов с помощь, Pahanivo, 18:14, 02/02/2010 [ответить] (8)
    		• +/
    +1
    это как раз жизненный пример поранои за грани за гранью здравого смысла ))

  • Защита от трассировки маршрутов с помощь, pavlinux, 02:21, 03/02/2010 [ответить] (9) 
    		• +/
    Ну а подумать?!


  • Защита от трассировки маршрутов с помощь, daevy, 06:09, 02/02/2010 [ответить] (3) 
    		• –1 +/
    диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и привет!

     
  • Защита от трассировки маршрутов с помощь, i, 14:10, 02/02/2010 [ответить] (6) 
    		• +1 +/
    при трассировке можно не исполльзовать udp

  • Защита от трассировки маршрутов с помощь, pavlinux, 03:38, 03/02/2010 [ответить] (11) 
    		• +/
    >диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и
    >привет!

    Привет!
    # traceroute -p $(($RANDOM % 65536)) kernel.org


     
  • Защита от трассировки маршрутов с помощь, daevy, 06:25, 03/02/2010 [ответить] (12) 
    		• +/
    оо! не знал:) как грицца век живи век учись:)
    а то что трассер можно по тсп и ицмп пускать это я знаю, потому и написал конкретно про удп)))

  • Защита от трассировки маршрутов с помощь, gambit, 15:27, 03/02/2010 [ответить] (13) 
    		• +/
    Если рассматривать правило в общем контексте, а не оторвано, то описать правило исключающее себя любимого, и пару тройку внешних хостов особенных проблем не составит.

  • Защита от трассировки маршрутов с помощь, pavlinux, 19:53, 03/02/2010 [ответить] (14) 
    		• +/
    Люди!!! Может я проспал последние 10 лет!!!
    Скажите, когда в ядре выкинули ipt_MIRROR.c ???



     
  • Защита от трассировки маршрутов с помощь, Andrey Mitrofanov, 10:54, 04/02/2010 [ответить] (15
    		• +/
    >Люди!!! Может я проспал последние 10 лет!!!
    >Скажите, когда в ядре выкинули ipt_MIRROR.c ???

    А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не собирают, например. То ли выключено и "experimental^2", то ли вообще из патч-о-матика не выпускают.

    Со стороны /sbin/iptables поддержка "есть" -
    $ find /lib -name "*MIRROR*"
    /lib/xtables/libipt_MIRROR.so
    $ _
    - а модулей ядра нет, "собери себе сам".


     
  • Защита от трассировки маршрутов с помощь, pavlinux, 19:45, 04/02/2010 [ответить] (19
    		• +/
    >[оверквотинг удален]
    >А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку
    >включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не
    >собирают, например. То ли выключено и "experimental^2", то ли вообще из
    >патч-о-матика не выпускают.
    >
    >Со стороны /sbin/iptables поддержка "есть" -
    >$ find /lib -name "*MIRROR*"
    >/lib/xtables/libipt_MIRROR.so
    >$ _
    >- а модулей ядра нет, "собери себе сам".

    Нашёл,... в 2.5.75 было и 2.6.0-rc, видимо испугались :)

    http://lxr.linux.no/#linux-bk+v2.5.75/net/ipv4/netfilter/ipt_MIRROR.c


  • Защита от трассировки маршрутов с помощь, Andrey Mitrofanov, 10:58, 04/02/2010 [ответить] (16
    		• +/
    >в ядре выкинули ipt_MIRROR.c ???

    Вдогонку: вдохновился по-быстрому советов в серию "Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть?? :> Эээ, брось -- "не читайте зв обедом..."


     
  • Защита от трассировки маршрутов с помощь, pavlinux, 19:43, 04/02/2010 [ответить] (18
    		• +/
    >>в ядре выкинули ipt_MIRROR.c ???
    >"Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть??

    Пиши абсудим!


  • суровая параноя ..., Аноним, 17:24, 04/02/2010 [ответить] (17
    		• +/
    текст скрыт [посмотреть] [смотреть все]


    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:
     Добавить заметку
     Версия для печати
     
     Поиск заметки:
     

    Последние заметки
    - 15.03 Наблюдение за трафиком на удаленном хосте через GUI-интерфейс Wireshark
    - 12.03 Организация приема SNMP trap’ов и их отправки на коммутаторах DLink
    - 11.03 Создание шаблонов блоков конфигурации samba при помощи опции "copy"
    - 10.03 Включение и настройка LLDP на коммутаторах Linksys / Cisco серий SPS и SRW средствами SNMP
    - 09.03 Использование протокола CDP (Cisco Discovery Protocol) в Linux
    - 08.03 Решение проблемы с индексацией данных в связке Samba и LDAP
    - 04.03 Превращение Cisco Catalyst 6500 в кабельный тестер
    - 03.03 Решение проблемы с uTP-протоколом uTorrent
    - 02.03 Профилирование запросов в MySQL
    - 01.03 Использование mod_qos для минимизации паразитной нагрузки на сайт
    RSS | Следующие 15 записей >>


    Подпишись на Linux Format и получи один из 3 ценных призов!

    Началась подписка на журнал Linux Format на 2010 год. Спешите оформить подписку на единственный в России ежемесячный журнал о Linux!

    Все, оформившие подписку на печатную версию журнала, получают диск с архивом журнала Linux Format за 2005-2009г. в подарок. Также в подарок вы получаете именную электронную версию в формате PDF. Теперь вы можете приступить к чтению журнала сразу в момент выхода свежего номера, не дожидаясь, пока вам доставят бумажную версию.

    Кроме того, все, оформившие подписку на первую половину или весь 2010 год в интернет-магазине ГНУ/Линуксцентра, автоматически становятся участниками розыгрыша ценных призов:


      Закладки на сайте
      Проследить за страницей     		Created 1996-2010 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList