teodor Posted November 28, 2006 Posted November 28, 2006 Вопросик: Можно ли файрволом закрыть хождение ICMP покетов на определённые IP адреса? Т.е. при tracert ya.ru с машины пользователя из локальной сети через NAT всё должно выглядеть например так: Трассировка маршрута к ya.ru [213.180.204.8] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 192.168.1.1 2 * * * * 3 * * * * 4 * * * * 5 23 ms 23 ms 23 ms nnovgorod01-FE0-1-110.rosprint.net [212.176.124. 214] 6 26 ms 24 ms 25 ms NNovgorod01-F0-0.RoSprint.net [194.84.77.55] 7 34 ms 32 ms 33 ms Moscow03-ATM1-0-0.65.rosprint.net [195.151.241.8 6] 8 33 ms 37 ms 36 ms Moscow43-GE0-2.rosprint.net [193.232.88.4] 9 34 ms 37 ms 36 ms 217.106.30.222 10 37 ms 35 ms 35 ms ya.ru [213.180.204.8] Трассировка завершена. Вставить ник Quote
GateKeeper Posted November 28, 2006 Posted November 28, 2006 (edited) У фряхи в ядре вообще есть опция такая: options IPSTEALTH ... Есть еще один момент: pf + scrub с опцией min-ttl способны скрыть Ваше присутствие на маршруте движения (у меня один друг так из нашего городишки яндекса в 1 хоп трейсил). Хотя, конечно, если это лишнее: block proto icmp from ... to ... ну и т.д. (полное описание задачи файрволу). Edited November 28, 2006 by GateKeeper Вставить ник Quote
teodor Posted November 28, 2006 Author Posted November 28, 2006 Спасибо. А это прикольно, чтобы трас выходил сразу на магистраль прова. А вот http://getip.ru/ наверное выдаст секрет через кого ты подключен? Вставить ник Quote
zander Posted November 29, 2006 Posted November 29, 2006 А traceroute не UDP случаем протоколом пользуется ? Вставить ник Quote
GateKeeper Posted November 29, 2006 Posted November 29, 2006 Ответ "мальчик издох" один фиг по ICMP кидается. Так что, правильней блокировать ответы, нежели запросы. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.