Freesco, NND, CDN, EOS

Tak jak w temacie. Wiem ze zmiana wartosci TTL dla 1 uzytkownika to taki wpis :

iptables -t mangle -D POSTROUTING -d $adres_ip -j TTL --ttl-set 1

jak zastosowac trick dla wszystkich uzytkownikow na raz? bez wpisywania w tabliczke wszystkich IP?

iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1

Dzieki wielkie. Zobacze potem.

A co daje taka zmiana ? Moze to jest zwiazane z tym zeby ktos nie udostepnial netu "na lewo" jeszcze komus ?

_________________
.:: Każdy zaczynał od lamera ::.

dokladnie tak scyhe. dzieki temu na łindowsach i tanich routerach nie podzielisz dalej neta. na linuxach teraz jesli nie wpiszesz magicznej regulki

_________________
RoUteR NND [ C333 | 128MB RAM | 13GB HDD | DSL 2Mb]

Na wiki jest cos takiego

Ta regułka wyrzuca wszystkie pakiety z LAN, które są podejrzane o bycie z masq

Przekopiowałem ją i efekt mam taki:

[root@Serwer jarek]# $IPTABLES -A FORWARD -s $INTNET -m ttl --ttl-eq 127 -j DROP
bash: -A: command not found

Co robię nie tak???

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

nie myslisz!!

iptables -A FORWARD -s eth0/1/2/3???? -m ttl --ttl-eq 127 -j DROP

_________________

OK, a czy wobec tego ktos potrafi powiedziec jak podbic TTL abym np bedąc za takim serwerem gdy ktoś mi ograniczy dzielenie mój serwer NND podbijał ten parametr i by było możliwe korzystanie z netu w dalszej podsieci? (pytam dla wiedzy a nie dla zastosowania)

pOZDRAWIAM
mARIUSZ

_________________
Abit i długo długo nic...

[root@Serwer jarek]# iptables -A FORWARD -s eth1 -m ttl --ttl-eq 127 -j DROP iptables v1.3.1: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.

wpisałem to i wynik jak widać, a na pewno jednego gościa mam za firewolem i natem, bo ma router

Z tego wniosek, że albo coś nie tak wpisuję, albo to nie pokazuje tego, co ma.



Niestety to już historia, że na tanim routerze się nie da
http://www.cybersklep.com/planet/catalo ... ucts_id/39
Tu link do aktualizacji oprogramowania jego, zwróćcie uwagę, co dodano w wersji 3.09 i 3.10
http://www.planet.a.pl/filemanager/list/67/

Miałem ten router i opcja zmiany TTL jest tam.

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

iptables -A FORWARD -i eth1 -m ttl --ttl-eq 127 -j DROP
albo
iptables -A FORWARD -o eth1 -m ttl --ttl-eq 127 -j DROP

nie wiem ja sie na tym ne znam ja tu tylko sprzatam

_________________

Reasumując: jeśli chcemy by dodatkowego rutera nie można bylo wykryć z zewnątrz na podstawie TTL, jaką regułę lepiej zastosować?

czy poniższe nie dadzą takiego samego efektu?

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 128

iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-inc 1

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1

V

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

witam zainteresowal mnie temat
czyli po wykorzystaniu wpisow

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 128

iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-inc 1

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1

beda przechodzic pakiety przez router bez problemu

- pytam sie poniewaz dostawaca mial pomylke i wrzucil mnie w do listy osob ktore nie moga udostepniac netu - bo nie maja na to umowy (zapis bez sensu zawsze mozna tylko w ramach wlasnego lokalu ) i byl problem ze pakiety nie bylu routowane wiec po za porten 80 (squid byl wiec dobrze ze to chodzilo) nic nie szlo wiec byly pretensje dlaczego nie dziala nic
wiec jak by zastosowac w/w wpisy mozna by sie ustrzec przed bledami ktore mi zafundowal dostawca.

_________________
CCDP CCNP CCIP

nie jestem tego pewny i akurat niemam możliwości sprawdzenia, czy wpis:

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1

spowoduje ze pakiety wychodzące będą mialy ttl 128 ale pingi na ten serwer z eth0 bądą mialy ttl 129?