The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Защита от трассировки маршрутов с помощью iptables
Для того, чтобы затруднить исследование сети (локальной, DMZ и т.д.) можно
заблокировать все пакеты с низким значением TTL. Пример блокирования пакетов с
TTL меньше 5:

   iptables -A INPUT -p all -m ttl --ttl-lt 5 -j DROP

или

   iptables -A FORWARD -p all -m ttl --ttl-lt 5 -j DROP
 
01.02.2010 , Автор: Владимир , Источник: http://linux-online-ru.blogspot.com...
Ключи: iхtables, ttl, traceroute
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, VecH (ok), 23:02, 01/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в оффтопике сколько ttl по дефолту в трассировке?
     
  • 1.2, PAL (?), 23:05, 01/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А что, есть желающие потанцевать по этим граблям? :D
    Ню-ню. Автору сетки сложнее офисных на десяток машин админить приходилось?
     
     
  • 2.4, Киноман (?), 10:33, 02/02/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тролль?
     
     
  • 3.5, prapor (??), 13:59, 02/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да нет, просто явно думающий головой человек. Блокируя возможность трассировки в первую очередь ломаем себе возможность диагностики.
     
     
  • 4.8, Pahanivo (ok), 18:14, 02/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    это как раз жизненный пример поранои за грани за гранью здравого смысла ))
     
  • 4.9, pavlinux (ok), 02:21, 03/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а подумать?!

     

  • 1.3, daevy (??), 06:09, 02/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и привет!
     
     
  • 2.6, i (??), 14:10, 02/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    при трассировке можно не исполльзовать udp
     
  • 2.11, pavlinux (ok), 03:38, 03/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и
    >привет!

    Привет!
    # traceroute -p $(($RANDOM % 65536)) kernel.org

     
     
  • 3.12, daevy (??), 06:25, 03/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    оо! не знал:) как грицца век живи век учись:)
    а то что трассер можно по тсп и ицмп пускать это я знаю, потому и написал конкретно про удп)))
     

  • 1.13, gambit (?), 15:27, 03/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если рассматривать правило в общем контексте, а не оторвано, то описать правило исключающее себя любимого, и пару тройку внешних хостов особенных проблем не составит.
     
  • 1.14, pavlinux (ok), 19:53, 03/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Люди!!! Может я проспал последние 10 лет!!!
    Скажите, когда в ядре выкинули ipt_MIRROR.c ???


     
     
  • 2.15, Andrey Mitrofanov (?), 10:54, 04/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Люди!!! Может я проспал последние 10 лет!!!
    >Скажите, когда в ядре выкинули ipt_MIRROR.c ???

    А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не собирают, например. То ли выключено и "experimental^2", то ли вообще из патч-о-матика не выпускают.

    Со стороны /sbin/iptables поддержка "есть" -
    $ find /lib -name "*MIRROR*"
    /lib/xtables/libipt_MIRROR.so
    $ _
    - а модулей ядра нет, "собери себе сам".

     
     
  • 3.19, pavlinux (ok), 19:45, 04/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку
    >включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не
    >собирают, например. То ли выключено и "experimental^2", то ли вообще из
    >патч-о-матика не выпускают.
    >
    >Со стороны /sbin/iptables поддержка "есть" -
    >$ find /lib -name "*MIRROR*"
    >/lib/xtables/libipt_MIRROR.so
    >$ _
    >- а модулей ядра нет, "собери себе сам".

    Нашёл,... в 2.5.75 было и 2.6.0-rc, видимо испугались :)

    http://lxr.linux.no/#linux-bk+v2.5.75/net/ipv4/netfilter/ipt_MIRROR.c

     
  • 2.16, Andrey Mitrofanov (?), 10:58, 04/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >в ядре выкинули ipt_MIRROR.c ???

    Вдогонку: вдохновился по-быстрому советов в серию "Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть?? :> Эээ, брось -- "не читайте зв обедом..."

     
     
  • 3.18, pavlinux (ok), 19:43, 04/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>в ядре выкинули ipt_MIRROR.c ???
    >"Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть??

    Пиши абсудим!

     

  • 1.17, Аноним (-), 17:24, 04/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    суровая параноя
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру