[Изменение TTL для сокрытия предыдущих хопов в трассировке (автозагрузка)]

3 минуты назад, Le ecureuil сказал:

А зачем, если есть interface ip ttl set ?

Добрый вечер.

Это позволит скрыть два предыдущих хопа в трассировке?

Если не сложно, напишите, пожалуйста, полную команду.

Я пробовал через iptables задавать ttl 64, но тогда все хопы пропадают. Не очень понимаю, как корректно сделать сокрытие первых двух адресов.

 

Спасибо.

[Изменение TTL для сокрытия предыдущих хопов в трассировке (автозагрузка)]

Просьба также прокомментировать остальные вопросы из обращения, там все же не один вопрос был.

Спасибо

[Изменение TTL для сокрытия предыдущих хопов в трассировке (автозагрузка)]

4 минуты назад, Александр Рыжов сказал:

См. https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd

 

Вы прислали ссылку, на которую я сам ссылаюсь в своем обращении. Прочитал, мне оно совершенно ничего не дало  Непонятно когда и при каких условиях исполняются скрипты из netfilter.d, удаляются ли при этом старые записи из фаервола или он их по много раз одни и те же исполняет. По ссылке практически ничего нет, кроме фразы "scripts are executed when the system rewrites a netfilter table" (когда, как, при каких условиях, удаляется ли старое -- ничего нет)

[Изменение TTL для сокрытия предыдущих хопов в трассировке (автозагрузка)]

Добрый день.

Мне необходимо изменить TTL для того, чтобы на устройствах при трассировке не было видно два первых адреса.

 

Я создал файл:

/opt/etc/init.d/S60TTL.sh

 

Со следующим содержимым:

#!/opt/bin/sh

PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin

sleep 30

/opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1
/opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1

exit 0

 

Достаточно ли такой настройки или нужно сделать как-то иначе?

Мне важно, чтобы правило не слетало в процессе работы роутера и восстанавливалось при перезагрузке.

 

- я не уверен можно ли было применять iptables-save в /opt/etc/iptables/rules.v4, т.к. там в iptables много динамических правил, которые сохранятся и будут постоянно восстанавливаться

- я не стал использовать сохранение скрипта в netfilter.d, т.к. https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd согласно этой странице правила исполняются рандомно, а команды прибавляют TTL по 1 и скрываться будут друг за другом остальные хопы.

- Пробовал /opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-set 66, который можно было и в netfilter.d поместить, но почему-то тогда скрываются вообще все хопы, остается только самый последний. 

[Реализовать механизм по типу ToS Byte Preservation]

Трафик устройств, проброшенных в VPN-туннель (например, трафик IP-камер) идет внутри туннеля, текущий механизм приоритизации не помогает. Изначально трафик устройства идет с более высоким приоритетом, но после попадания в туннель внешний трафик самого туннеля уже не имеет соотвествующей метки ToS и выходит наравне с трафиком незарегистрированного устройства. Чтобы это работало просьба реализовать механизм по типу ToS Byte Preservation у Cisco: https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND/QoS-SRND-Book/IPSecQoS.html#10944.

(тикеты 516485, 522143)