NAT и TTL

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

NAT и TTL

Непрочитанное сообщение Gloft » 2009-11-03 10:06:34

Может кто еще что знает как заставить маршрутизатор (FreeBSD) скрыть присутствие ната на интерфейсе.
В инете нашел решение для iptables:

Код: Выделить всё

iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64 
Может еще кто что подскажет?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: NAT и TTL

Непрочитанное сообщение paradox » 2009-11-03 10:08:03

зачем что то скрывать?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: NAT и TTL

Непрочитанное сообщение zingel » 2009-11-03 10:09:27

обмануть провайдера скорее всего
Z301171463546 - можно пожертвовать мне денег

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: NAT и TTL

Непрочитанное сообщение Gloft » 2009-11-03 11:47:07

zingel писал(а):обмануть провайдера скорее всего
Да именно для этих целей. Только не обмануть а обойти ограничение.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: NAT и TTL

Непрочитанное сообщение zingel » 2009-11-03 11:53:20

Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: NAT и TTL

Непрочитанное сообщение terminus » 2009-11-05 23:04:26

grep -B 5 -A 5 stealth /sys/conf/NOTES

Код: Выделить всё

# IPSTEALTH enables code to support stealth forwarding (i.e., forwarding
# packets without touching the TTL).  This can be useful to hide firewalls
# from traceroute and similar tools.


options         IPSTEALTH               #support for stealth forwarding
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: NAT и TTL

Непрочитанное сообщение tyler56 » 2009-11-07 19:46:33

PF-ом

Код: Выделить всё

scrub in all min-ttl 10

Inzevision
мл. сержант
Сообщения: 102
Зарегистрирован: 2008-07-30 13:43:00
Откуда: Киев
Контактная информация:

Re: NAT и TTL

Непрочитанное сообщение Inzevision » 2009-12-04 3:09:08

Не стал создавать новую тему, так как эта подходит под мой вопрос.
Суть такова. Есть шлюз на Фре который дайт в локалку инет. Нужно изменять TTL пакетов идущим к пользователям на 1, что бы они не могли пользоваться роутерами и т.п. весчами и не раздавали свой канал соседу или ещё куда...
мне нужно поднимать scrub на внутреннем интерфейсе для исходящих, или на внешнем для входящих?

Аватара пользователя
ADRE
майор
Сообщения: 2640
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: NAT и TTL

Непрочитанное сообщение ADRE » 2009-12-04 6:46:22

terminus писал(а):grep -B 5 -A 5 stealth /sys/conf/NOTES

Код: Выделить всё

# IPSTEALTH enables code to support stealth forwarding (i.e., forwarding
# packets without touching the TTL).  This can be useful to hide firewalls
# from traceroute and similar tools.


options         IPSTEALTH               #support for stealth forwarding
+ динамические правила исходящие соединения ipfw = полный режим (GOD MODE (c) doom2)
//del

Inzevision
мл. сержант
Сообщения: 102
Зарегистрирован: 2008-07-30 13:43:00
Откуда: Киев
Контактная информация:

Re: NAT и TTL

Непрочитанное сообщение Inzevision » 2009-12-04 14:28:39

Inzevision писал(а):Не стал создавать новую тему, так как эта подходит под мой вопрос.
Суть такова. Есть шлюз на Фре который дайт в локалку инет. Нужно изменять TTL пакетов идущим к пользователям на 1, что бы они не могли пользоваться роутерами и т.п. весчами и не раздавали свой канал соседу или ещё куда...
мне нужно поднимать scrub на внутреннем интерфейсе для исходящих, или на внешнем для входящих?
Рещил вопрос так:

Код: Выделить всё

scrub in all min-ttl 15 max-mss 1400 fragment reassemble
scrub all random-id min-ttl *установить своё значение* reassemble tcp fragment reassemble

Inzevision
мл. сержант
Сообщения: 102
Зарегистрирован: 2008-07-30 13:43:00
Откуда: Киев
Контактная информация:

Re: NAT и TTL

Непрочитанное сообщение Inzevision » 2010-04-23 14:15:39

Уже убрал эти строки из конфига, потому как жутко начал тупить инет у клиента.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: NAT и TTL

Непрочитанное сообщение Morty » 2010-04-24 10:38:48

TTL можно выставить через sysctl
и это будет влиять на обе стороны что от клиента что к нему