[MASOCH-L] Bloqueio de Tracert

Andrez eduardo.andrez at gmail.com
Fri May 8 10:32:09 BRT 2009


Olá Victor.
Acho que você quer é "esconder" o roteador, não é isso?

Do básico.

O que "descobre" o IP do roteador, é o fato do pacote que está sendo roteado
atingir TTL == 0. Isso geram um evento de TTL-Exceeded e o roteador notifica
o "remetente" do pacote sobre o ocorrido. ( isso é bem grosseiro mas não
está errado ).

Produtos da Extreme Networks, por exemplo, facilitam esse trabalho:

> disable icmp time-exceeded

A segunda linha da sua ACL deveria ter resolvido isso, aplicando em out,
como você fez. No entanto isso não barra o tratamento to  time-exceeded pelo
roteador, que consome CPU.

Procurei algo parecido nos cisco mas não encontrei. Então Rubens Kuhi está
sugerindo algo que funciona, só que pra Linux. Pra cisco tem algo aqui:

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t2/htaclttl.html

O que você precisa e saber quantos ( se só sua borda ou outros que estão
atras dele e façam parte do caminho ) que você quer "esconder". Algumas
operadoras bloqueia pacotes que não consigam atravessar toda a rede dela.


Se respondi a coisa certa, isso não é do outro mundo não. Da pra fazer
tranquilo. Matar o resto das menssagens ICMP eu não faria não ( não com
todas :D ).


Atenciosamente

2009/5/7 Victor <victor_volpe at bol.com.br>

> Olá Amigos,
>
> Estou precisando fazer bloqueio de tracert de fora pra dentro. Verifiquei
> que alguns Bancos como o Itaú já está utilizando desta técnica, porém já
> tentei de tudo e nos testes o primeiro IP (WAN) do roteador, continua sempre
> a responder, mesmo definindo ACL pra ele dando deny em ip. A configuração
> atual que foi a que chegou mais perto do que preciso é essa:
>
> access-list 101 deny icmp any any unreachable
> access-list 101 deny icmp any any ttl-exceeded
> access-list 101 deny icmp any any echo-reply
> access-list 101 permit ip any any
> interface serial 0/0
> ip access-group 101 out
>
> Essa mostrou-se eficaz com tracert do Windows e até mesmo com traceroutes
> UDP, como o do DNSStuff.
>
> Obrigado.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente.
Eduardo Andrez de Oliveira.
_
°v°
/(_)\
^ ^


More information about the masoch-l mailing list