Изменение TTL для сокрытия предыдущих хопов в трассировке (автозагрузка)

[fweg24gwe]

Добрый день.

Мне необходимо изменить TTL для того, чтобы на устройствах при трассировке не было видно два первых адреса.

 

Я создал файл:

/opt/etc/init.d/S60TTL.sh

 

Со следующим содержимым:

#!/opt/bin/sh

PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin

sleep 30

/opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1
/opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1

exit 0

 

Достаточно ли такой настройки или нужно сделать как-то иначе?

Мне важно, чтобы правило не слетало в процессе работы роутера и восстанавливалось при перезагрузке.

 

- я не уверен можно ли было применять iptables-save в /opt/etc/iptables/rules.v4, т.к. там в iptables много динамических правил, которые сохранятся и будут постоянно восстанавливаться

- я не стал использовать сохранение скрипта в netfilter.d, т.к. https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd согласно этой странице правила исполняются рандомно, а команды прибавляют TTL по 1 и скрываться будут друг за другом остальные хопы.

- Пробовал /opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-set 66, который можно было и в netfilter.d поместить, но почему-то тогда скрываются вообще все хопы, остается только самый последний. 

[Александр Рыжов]

1 час назад, tkirillta сказал:

Достаточно ли такой настройки или нужно сделать как-то иначе?

См. https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd

[fweg24gwe]

4 минуты назад, Александр Рыжов сказал:

См. https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd

 

Вы прислали ссылку, на которую я сам ссылаюсь в своем обращении. Прочитал, мне оно совершенно ничего не дало  Непонятно когда и при каких условиях исполняются скрипты из netfilter.d, удаляются ли при этом старые записи из фаервола или он их по много раз одни и те же исполняет. По ссылке практически ничего нет, кроме фразы "scripts are executed when the system rewrites a netfilter table" (когда, как, при каких условиях, удаляется ли старое -- ничего нет)

[fweg24gwe]

Просьба также прокомментировать остальные вопросы из обращения, там все же не один вопрос был.

Спасибо

[Александр Рыжов]

По ссылке правильный путь для решения вашей задачи. Попробуйте разобраться, ничего рандомного в исполнении скриптом /opt/etc/ndm.d нет.

А если нужным интерфейсом управляет прошивка, то можно использовать прошивочный функционал.

[Le ecureuil]

А зачем, если есть interface ip ttl set ?

[fweg24gwe]

3 минуты назад, Le ecureuil сказал:

А зачем, если есть interface ip ttl set ?

Добрый вечер.

Это позволит скрыть два предыдущих хопа в трассировке?

Если не сложно, напишите, пожалуйста, полную команду.

Я пробовал через iptables задавать ttl 64, но тогда все хопы пропадают. Не очень понимаю, как корректно сделать сокрытие первых двух адресов.

 

Спасибо.

[keenet07]

Вот тут смотрели?

https://help.keenetic.com/hc/ru/articles/213965989-Управление-значением-TTL-для-входящих-от-провайдера-и-исходящих-к-провайдеру-пакетов

[r13]

Если эти 2 узла известны, может проще подавлять icmp от них?

[hellonow]

@r13 пользователю @tkirillta как раз был предложен способ подавления ICMP в iptables:

iptables -I FORWARD 1 -p icmp --icmp-type time-exceeded -s <адрес-шлюза> -j DROP

Но почему-то, судя по шапке, выбор пал на TTL.