Jump to content

Как запретить tracert ?

Pirojok
 Share

Recommended Posts

Kirya

Kirya

Posted
Posted
Pirojok, Если ты полностью хочешь скрыть прова последней мили, тебе надо поднимать что-нибудь типа VPN/IPSEC между твоим сервером и какой-нибудь машинкой, стоящей скажем на коллоке, и пользователи будут видить как-раз твоего коллокатора.
LostSoul

LostSoul

Posted
Posted
я хочу скрыть инфу от том что это pppoe соединение (стрим). провайдера фиг сним пусть видят.

 

Они по пренадлежности IP-адреса будут видеть что этот блок выделен под пользователей стрим.

 

Чтоб этого не было, тебе надо тунелировать свой трафик куда-нибудь к другому провайдеру через стрим :) Чтоб в инете народ светился другими адресами)

 

То есть использовать стрим тока как транспорт.

 

А так ничё ты не сделаешь. ты изнутри трейсроут закроешь - так они его попросят друга снаружи пустить. ( то есть ОТ друга к тебе )

teodor

teodor

Posted
Posted

По теме вопросик: если кто знает, укажите кто в нете предоставляет бесплатно VPN подключение, как-раз для тунелирования трафика... плиzzzzz.

boykov

boykov

Posted
Posted

а нафига это скрывать?

 

просто запретить tracert -- можно, icmp 11 типа убить.

 

а так -- только туннель.

boykov

boykov

Posted
Posted

хм. вообще то классически таки "udp шлем, icmp получаем, растим ttl пока не получим port unreachable" или я чего то не понимаю. Во всяком случае фряха так делает.

 

варианты с только tcp, может, есть но как-то не совсем понятно, как оно должно работать.

KD

KD

Posted
Posted

если увеличивать ttl проходящим пакетам, трассировкой пользоваться уже не получится.

но LostSoul прав, ип скрыть никак не получится, а ип о многом говорит

KD

KD

Posted
Posted

N-ый хоп в данном случае будет таким как (N+K)-ый хоп если бы ничего не менялось, где К - величина увеличения ttl

GateKeeper

GateKeeper

Posted
Posted

Фиг с ним с трейсом. Фаерволите по TTL по нужному HOP. Надо то скрыть только лишь один HOP из всей цепочки!!! Например, 3-й для пользователя. К тому же, насколько знаю, при traceroute (любом, хоть TCP, хоть UDP) на пользователя возвращается ВНУТРЕННИЙ адрес шлюза относительно клиента, а не адрес, торчащий наружу. Проверяли? Точно pppoe светится?

boykov

boykov

Posted
Posted

тогда решение

 

разрешить icmp type 11 до шлюза (или админской подсети)

разрешить icmp type 0 до шлюза (или админской подсети)

запретить icmp type 11 от третьего хопа

запретить icmp type 0 от третьего хопа

 

третий хоп -- то, что прячем.

LostSoul

LostSoul

Posted
Posted
Фиг с ним с трейсом. Фаерволите по TTL по нужному HOP. Надо то скрыть только лишь один HOP из всей цепочки!!! Например, 3-й для пользователя. К тому же, насколько знаю, при traceroute (любом, хоть TCP, хоть UDP) на пользователя возвращается ВНУТРЕННИЙ адрес шлюза относительно клиента, а не адрес, торчащий наружу. Проверяли? Точно pppoe светится?

 

Им нужно скрывать ПОСЛЕДНИЙ ХОП. То есть тот IP на который клиенты натятся :))) Он на стриме pppoe---***.mtu-net.ru называется или типа того и Пирожку мучительно стыдно за это ;)

 

Но увы IP никак не поменять и всё равно будет светится :)

LostSoul

LostSoul

Posted
Posted
По теме вопросик: если кто знает, укажите кто в нете предоставляет бесплатно VPN подключение, как-раз для тунелирования трафика... плиzzzzz.

 

Гугл даёт бесплатно :) А оно тебе надо бесплатно то?

GateKeeper

GateKeeper

Posted
Posted
Им нужно скрывать ПОСЛЕДНИЙ ХОП. То есть тот IP на который клиенты натятся :))) Он на стриме pppoe---***.mtu-net.ru называется или типа того и Пирожку мучительно стыдно за это ;)

Но увы IP никак не поменять и всё равно будет светится :)

Им нужно скрывать ВНЕШНИЙ IP на ПОСЛЕДНЕМ ХОПе для ВНУТРЕННИХ пользователей. Чего делать-то ДАЖЕ НЕ НАДО (по крайней мере в случае разных embedded и *nix). Потому что при достижении TTL Expired соответствующий ICMP будет отправлен с внутренней же сетевухи клиенту, адрес у которой, скорее всего будет что-то типа 10/8|172.16/12|192.168/16. Ну, разве что только скрыть еще и удалённый конец pppoe-линка (т.е. сервер), по которому тоже можно если что вычислить что за фигня... а так...

LostSoul

LostSoul

Posted
Posted

Им нужно скрывать ВНЕШНИЙ IP на ПОСЛЕДНЕМ ХОПе для ВНУТРЕННИХ пользователей. Чего делать-то ДАЖЕ НЕ НАДО (по крайней мере в случае разных embedded и *nix). Потому что при достижении TTL Expired соответствующий ICMP будет отправлен с внутренней же сетевухи клиенту, адрес у которой, скорее всего будет что-то типа 10/8|172.16/12|192.168/16. Ну, разве что только скрыть еще и удалённый конец pppoe-линка (т.е. сервер), по которому тоже можно если что вычислить что за фигня... а так...

Дык шила в мешке не утаишь.... заходишь на любой сайт где "твой хост" показывает, а там ppoe-mtu-net-ru, ну или там чат или IRC какое-нибудь...

GateKeeper

GateKeeper

Posted
Posted

Многие провайдеры не стесняются своим клиентам (особенно после определенного периода плодотворного сотрудничества) прописать эксклюзивный PTR. Может, есть смысл попросить? Мой прописал без проблем в течение нескольких часов.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.