Jump to content

Изменение TTL для сокрытия предыдущих хопов в трассировке (автозагрузка)


Recommended Posts

Добрый день.

Мне необходимо изменить TTL для того, чтобы на устройствах при трассировке не было видно два первых адреса.

 

Я создал файл:

/opt/etc/init.d/S60TTL.sh

 

Со следующим содержимым:

#!/opt/bin/sh

PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin

sleep 30

/opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1
/opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1

exit 0

 

Достаточно ли такой настройки или нужно сделать как-то иначе?

Мне важно, чтобы правило не слетало в процессе работы роутера и восстанавливалось при перезагрузке.

 

- я не уверен можно ли было применять iptables-save в /opt/etc/iptables/rules.v4, т.к. там в iptables много динамических правил, которые сохранятся и будут постоянно восстанавливаться

- я не стал использовать сохранение скрипта в netfilter.d, т.к. https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd согласно этой странице правила исполняются рандомно, а команды прибавляют TTL по 1 и скрываться будут друг за другом остальные хопы.

- Пробовал /opt/sbin/iptables -t mangle -A PREROUTING -j TTL --ttl-set 66, который можно было и в netfilter.d поместить, но почему-то тогда скрываются вообще все хопы, остается только самый последний. 

Link to comment
Share on other sites

4 минуты назад, Александр Рыжов сказал:

 

Вы прислали ссылку, на которую я сам ссылаюсь в своем обращении. Прочитал, мне оно совершенно ничего не дало  Непонятно когда и при каких условиях исполняются скрипты из netfilter.d, удаляются ли при этом старые записи из фаервола или он их по много раз одни и те же исполняет. По ссылке практически ничего нет, кроме фразы "scripts are executed when the system rewrites a netfilter table" (когда, как, при каких условиях, удаляется ли старое -- ничего нет)

Link to comment
Share on other sites

По ссылке правильный путь для решения вашей задачи. Попробуйте разобраться, ничего рандомного в исполнении скриптом /opt/etc/ndm.d нет.

А если нужным интерфейсом управляет прошивка, то можно использовать прошивочный функционал.

Link to comment
Share on other sites

3 минуты назад, Le ecureuil сказал:

А зачем, если есть interface ip ttl set ?

Добрый вечер.

Это позволит скрыть два предыдущих хопа в трассировке?

Если не сложно, напишите, пожалуйста, полную команду.

Я пробовал через iptables задавать ttl 64, но тогда все хопы пропадают. Не очень понимаю, как корректно сделать сокрытие первых двух адресов.

 

Спасибо.

Link to comment
Share on other sites

@r13 пользователю @tkirillta как раз был предложен способ подавления ICMP в iptables:

iptables -I FORWARD 1 -p icmp --icmp-type time-exceeded -s <адрес-шлюза> -j DROP

Но почему-то, судя по шапке, выбор пал на TTL.
 

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...