[MASOCH-L] Bloqueio de Tracert

[Herbert Faleiros]

On Sun 10 May 2009 16:58:59 Gustavo Santos wrote:
> Herbert,
>
> A regra que passei , vai realmente vai evitar que o seu roteador retorne ao
> roteador / host a mensagem icmp tipo 11 codigo 0. Se não me engano é uma
> das unicas formas de que seu roteador não responda a traceroute icmp. 
> Nesta situação ele não vai notificar em caso de looping de roteamento. Mas
> na minha opnião não deve gerar um grande transtorno, pois em caso de
> cliente que tenta acessar você de fora informar que não consegue chegar a
> um host interno, fazendo testes basicos na sua propria rede você consegue
> identificar o looping, ou se quiser que o cliente ajude , é so desativar
> temporariamente a resposta da mensagem para que o cliente indique em qual
> roteador esta ocorrendo o looping.

Olá,

a questão toda deste thread resume-se a:

ocultar a existência de um router/firewall (torná-lo invisível aos Unix 
traceroutes da vida), correto?

Não seria MUITO mais simples incrementar o TLL em 1 toda vez que algum pacote 
passar pelo roteador ao invés de "dropar" (deturpando padrões/ecomedações)?

Eu particularmente também não faria isso, mas acho que é a solução menos 
traumática nesse caso (e pode ser implementada em routerOS, Linux, etc).

Até,

--
Herbert

PS - no Linux eu faria isso na mangle e não na raw.