[MASOCH-L] Bloqueio de Tracert
Rubens Kuhl
rubensk at gmail.com
Thu May 7 15:43:25 BRT 2009
Além de TCP (inclusive HTTP), IP protocolo 0... é só olhar as diversas
opções do pacote hping2.
Se você quer matar traceroute, detecte pelo campo TTL
iptables -t raw -A PREROUTING -i <interface externa> -m ttl --ttl 0 -j DROP
iptables -t raw -A PREROUTING -i <interface externa> -m ttl --ttl 1 -j DROP
iptables -t raw -A PREROUTING -i <interface externa> -m ttl --ttl 2 -j DROP
(repetir até quantos hops você tenha internamente)
Rubens
2009/5/7 Juliano Primavesi - Cyberweb Networks <juliano at cyberweb.com.br>:
>
> Vale lembrar que o tracert pode usar icmp OU udp...
>
> Juliano
>
> Danton Nunes escreveu:
>>
>> On Thu, 7 May 2009, Victor wrote:
>>
>>> Olá Amigos,
>>>
>>> Estou precisando fazer bloqueio de tracert de fora pra dentro. Verifiquei
>>> que alguns Bancos como o Itaú já está utilizando desta técnica, porém já
>>> tentei de tudo e nos testes o primeiro IP (WAN) do roteador, continua sempre
>>> a responder, mesmo definindo ACL pra ele dando deny em ip. A configuração
>>> atual que foi a que chegou mais perto do que preciso é essa:
>>>
>>> access-list 101 deny icmp any any unreachable
>>> access-list 101 deny icmp any any ttl-exceeded
>>> access-list 101 deny icmp any any echo-reply
>>
>> NUNCA faça isto! há mensagens de icmp que são importantíssimas e não devem
>> ser bloqueadas.
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list