Tomsk Sysadmins Forum
Unix => Администрирование => Topic started by: Diab on July 20, 2006, 16:34:24
-
Подскажите как во FreeBSD форматить ttl всех пакетов, прошедшых через NAT ??
net.inet.ipf.fr_ipfrttl не подходит.
Или мож кто-нить вкурсе как фиксить ttl в Винде??
На линух переходить не охото
-
Подскажите как во FreeBSD форматить ttl всех пакетов, прошедшых через NAT ??
net.inet.ipf.fr_ipfrttl не подходит.
Или мож кто-нить вкурсе как фиксить ttl в Винде??
На линух переходить не охото
а смысл? спрятать от провайдера что за тобой целая сетка?
-
а смысл? спрятать от провайдера что за тобой целая сетка?
Догадливый...а по теме что-нить могешь написать?
Да и еще обнаружил скруб в pf, кто-нить им форматил? У меня только при начале работы пакеты проходят, такое ощущение будто очередь гонит
-
Догадливый...а по теме что-нить могешь написать?
http://www.talkbroadband.com/articles/49/1...our-Default-TTL (http://www.talkbroadband.com/articles/49/1/Registry-Tweak-for-Windows2000%7B47%7DXP%7B47%7DNT:-Change-Your-Default-TTL)
http://kamburov.net/index.php?/content/view/17/26/ (http://kamburov.net/index.php?/content/view/17/26/)
-
Реестр не помогает, софтину не пробывал...
Кто-нить под фрей настраивал ipf или встречал IPTABLES переделанный под фрю?
-
Реестр не помогает
что значит "реестр не помогает"? ты поменял значение в реестре, но начальное значение ttl так и осталось равным 32?
-
что значит "реестр не помогает"? ты поменял значение в реестре, но начальное значение ttl так и осталось равным 32?
Значение поменялось...но толку мало
Вообщем надо именно на шлюзе форматить...
-
Значение поменялось...но толку мало
что значит мало? что не работает-то? если провайдер режет пакеты у которых TTL меньше 32, то ты просто увеличиваешь TTL на клиентах. если к тебе на NAT приходят пакеты с TTL=1, тогда правка DefaultTTL естессно не поможет.
-
Значение поменялось...но толку мало
Вообщем надо именно на шлюзе форматить...
Diab вот как раз на тебя я и буду ставить больше или меньше. Спасибо что засветился здесь.
-
Diab вот как раз на тебя я и буду ставить больше или меньше. Спасибо что засветился здесь.
Я никогда не понимал таких "провайдеров" какой в этом тайный смысл. Я какой надо TTL такой и поставлю. В лаликсе вообще в iptables есть цель TTL, корректируешь на 1 и наслаждаешься жизнью.
-
Diab вот как раз на тебя я и буду ставить больше или меньше. Спасибо что засветился здесь.
Оберону и тебе лично "благодарность" за такой...беспредел...у меня в контракте подобные пункты не оговорены...хотя бы стабильных 100Мб/с без постоянных дисконектов кабеля наладили, а потом выежывались.
Хотел остаться на Фре ...
-
Оберону и тебе лично "благодарность" за такой...беспредел...у меня в контракте подобные пункты не оговорены...хотя бы стабильных 100Мб/с без постоянных дисконектов кабеля наладили, а потом выежывались.
Хотел остаться на Фре ...
Метод борьбы с "сильно умными" провайдерами на Linux шлюзе
$IPTABLES -t mangle -A PREROUTING -j TTL --ttl-inc 1
или даже
$IPTABLES -t mangle -A PREROUTING -j TTL --ttl-set нужное_значение_TTL
-
Метод борьбы с "сильно умными" провайдерами на Linux шлюзе
$IPTABLES -t mangle -A PREROUTING -j TTL --ttl-inc 1
или даже
$IPTABLES -t mangle -A PREROUTING -j TTL --ttl-set нужное_значение_TTL
Метод борбы с "силно умными" клиентами
ipfw add deny all from ip to any
-
Метод борбы с "силно умными" клиентами
ipfw add deny all from ip to any
и это провайдерский уровень? в корпоративной сети с жестким policy я еще понимаю, а в случае коммерческого провайдинга imho не те методы. далеко ходить не буду, ни Томлайн, ни ЦИС не ставит нам препятствий, спокойно натимся к обоим.
-
Метод борбы с "силно умными" клиентами
ipfw add deny all from ip to any
тогда уж ipfw add deny all from any to any
нафига вам клиенты, только работать мешают
Всякие наты делают, хотя как влияет нат на работу провайдера мне совсем не понятно, это же личное дело клиента -- хочет он "мучится" и сидеть за натом, ну и пусть, сам себе злобный буратино.
ЦиС вот при установке ADSL сами настраивают его так чтобы можно было подключить столько компов сколько тебе нужно, никаких проблем.
-
Обычно такие запреты делают мелкие коммерческо-домашние сети, которые хотят срубить побольше денех
Хотя, с другой стороны, а вдруг пользователь тоже будет брать денехи с тех, кто подключены через него
А вообще-то такие вещи нужно четко прописывать в договоре
-
Метод борбы с "силно умными" клиентами
ipfw add deny all from ip to any
Какой умный ход , и зачем тода клиентов подключать...на кабели тратиться да монтажникам плотить, пусть лучше деньги просто платят за воздух !!!!
-
Метод борбы с "силно умными" клиентами
ipfw add deny all from ip to any
кстати, а если у меня виртуальная машина запущена, и выходит в нет с хост машины, за это тоже надо платить абонентку??? Ведь ttl будет разный с одной машины, просто особенность работы ПО! Imho, оберон бредят уже.
ps:// интересно посмотреть на них будет, как они будут кабель прокладывать внутри моего компа ))
-
ps:// интересно посмотреть на них будет, как они будут кабель прокладывать внутри моего компа ))
ЖЖОШЬ!!!!
-
кстати, а если у меня виртуальная машина запущена, и выходит в нет с хост машины, за это тоже надо платить абонентку??? Ведь ttl будет разный с одной машины, просто особенность работы ПО! Imho, оберон бредят уже.
ps:// интересно посмотреть на них будет, как они будут кабель прокладывать внутри моего компа smile.gif))
А если целый сегмент?
-
тогда уж ipfw add deny all from any to any
нафига вам клиенты, только работать мешают
Всякие наты делают, хотя как влияет нат на работу провайдера мне совсем не понятно, это же личное дело клиента -- хочет он "мучится" и сидеть за натом, ну и пусть, сам себе злобный буратино.
ЦиС вот при установке ADSL сами настраивают его так чтобы можно было подключить столько компов сколько тебе нужно, никаких проблем.
Ответ. Есть дохрена домашних сетей которые платят 200 рублей а внутри собирают по 50 тысяч. И спрашивается нах они такие умные нужны?
-
Вообще, изменять TTL в проходящих пакетах - диверсия и нарушение стандарта. Сразу отсекаем нафиг диагностические средства типа traceroute. Кроме того (в том числе по указанной причине) не имеет смысл провайдеру определять NAT лишь по TTL, а клиенту маскировать его только лишь изменением TTL. Давно уже существуют методики определения NATа по "отпечаткам" TCP/IP-стека в пакетах, позволяющие даже примерно оценить количество машин за NATом. Так что единственный надежный способ для клиента замаскироваться - это поставить проксю %)
-
Интересно, а если поднять ВПН сервер с шифрованием трафика или даже без шифрования, то провайдер сможет установить, что за этим компом подсеть висит?
-
Ну тогда уже получается хождение через туннель, а не напрямую сразу. По логике вещей туннели провайдер может только резать.
-
Ответ. Есть дохрена домашних сетей которые платят 200 рублей а внутри собирают по 50 тысяч. И спрашивается нах они такие умные нужны?
Хм, а тебе завидно? Можешь сходить в какой-нибудь правоохранительный орган.
Или тебе мешает нагрузка от левой сети? Тогда пиши договора правильные, скажем гарантируй скорость 64кбит/с при любой нагрузке. И можешь спокойно урезать тех кого подозреваешь. А еще можно отказываться от таких клиентов и разрывать договора. Но морочить себе голову вычислением сетей за NAT'ом - лишний геморрой и зря потраченое время.