The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Защита от трассировки маршрутов с п..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Защита от трассировки маршрутов с п..."  +/
Сообщение от auto_tips (ok) on 01-Фев-10, 23:02 
Для того, чтобы затруднить исследование сети (локальной, DMZ и т.д.) можно заблокировать все пакеты с низким значением TTL. Пример блокирования пакетов с TTL меньше 5:

   iptables -A INPUT -p all -m ttl --ttl-lt 5 -j DROP

или

   iptables -A FORWARD -p all -m ttl --ttl-lt 5 -j DROP

URL: http://linux-online-ru.blogspot.com/2010/01/blog-post_31.html
Обсуждается: http://www.opennet.me/tips/info/2278.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от VecH email(ok) on 01-Фев-10, 23:02 
А в оффтопике сколько ttl по дефолту в трассировке?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Защита от трассировки маршрутов с помощью iptables"  +1 +/
Сообщение от PAL on 01-Фев-10, 23:05 
А что, есть желающие потанцевать по этим граблям? :D
Ню-ню. Автору сетки сложнее офисных на десяток машин админить приходилось?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Защита от трассировки маршрутов с помощью iptables"  –1 +/
Сообщение от daevy (??) on 02-Фев-10, 06:09 
диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и привет!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Защита от трассировки маршрутов с помощью iptables"  –1 +/
Сообщение от Киноман on 02-Фев-10, 10:33 
Тролль?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Защита от трассировки маршрутов с помощью iptables"  +1 +/
Сообщение от prapor (??) on 02-Фев-10, 13:59 
Да нет, просто явно думающий головой человек. Блокируя возможность трассировки в первую очередь ломаем себе возможность диагностики.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Защита от трассировки маршрутов с помощью iptables"  +1 +/
Сообщение от i (??) on 02-Фев-10, 14:10 
при трассировке можно не исполльзовать udp
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от Pahanivo email(ok) on 02-Фев-10, 18:14 
+1
это как раз жизненный пример поранои за грани за гранью здравого смысла ))
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от pavlinux (ok) on 03-Фев-10, 02:21 
Ну а подумать?!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от pavlinux (ok) on 03-Фев-10, 03:38 
>диапазон портов используемых трассировкой через udp - 33434:33523 можно порезать его и
>привет!

Привет!
# traceroute -p $(($RANDOM % 65536)) kernel.org

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от daevy (??) on 03-Фев-10, 06:25 
оо! не знал:) как грицца век живи век учись:)
а то что трассер можно по тсп и ицмп пускать это я знаю, потому и написал конкретно про удп)))
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от gambit on 03-Фев-10, 15:27 
Если рассматривать правило в общем контексте, а не оторвано, то описать правило исключающее себя любимого, и пару тройку внешних хостов особенных проблем не составит.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от pavlinux (ok) on 03-Фев-10, 19:53 
Люди!!! Может я проспал последние 10 лет!!!
Скажите, когда в ядре выкинули ipt_MIRROR.c ???


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от Andrey Mitrofanov on 04-Фев-10, 10:54 
>Люди!!! Может я проспал последние 10 лет!!!
>Скажите, когда в ядре выкинули ipt_MIRROR.c ???

А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не собирают, например. То ли выключено и "experimental^2", то ли вообще из патч-о-матика не выпускают.

Со стороны /sbin/iptables поддержка "есть" -
$ find /lib -name "*MIRROR*"
/lib/xtables/libipt_MIRROR.so
$ _
- а модулей ядра нет, "собери себе сам".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от Andrey Mitrofanov on 04-Фев-10, 10:58 
>в ядре выкинули ipt_MIRROR.c ???

Вдогонку: вдохновился по-быстрому советов в серию "Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть?? :> Эээ, брось -- "не читайте зв обедом..."

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от Аноним (??) on 04-Фев-10, 17:24 
суровая параноя
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от pavlinux (ok) on 04-Фев-10, 19:43 
>>в ядре выкинули ipt_MIRROR.c ???
>"Как быстро и кааачественно испортить жизнь себе и окружающим: жонглирование бензопилами, iptabls-ами и опасными бритвами дяд блондинок" чиркануть??

Пиши абсудим!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Защита от трассировки маршрутов с помощью iptables"  +/
Сообщение от pavlinux (ok) on 04-Фев-10, 19:45 
>[оверквотинг удален]
>А оно (именно в ядре) с пометкой "не-не-не! мы таку страшну штуку
>включать^Wсобирать по умолчанию не будем" - дистрибуторы в пакетах и не
>собирают, например. То ли выключено и "experimental^2", то ли вообще из
>патч-о-матика не выпускают.
>
>Со стороны /sbin/iptables поддержка "есть" -
>$ find /lib -name "*MIRROR*"
>/lib/xtables/libipt_MIRROR.so
>$ _
>- а модулей ядра нет, "собери себе сам".

Нашёл,... в 2.5.75 было и 2.6.0-rc, видимо испугались :)

http://lxr.linux.no/#linux-bk+v2.5.75/net/ipv4/netfilter/ipt...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру