Блокировка роутеров в сети
-
Да, нужно блокировать роутеры с натом. Как на линуксовом фаерволе, помечать пакеты и блокировать.
-
@randreevich
Поясните пож , ip адреса неизвестны роутеров ? или как ?
Откуда они получают ip адреса ? -
@randreevich
Попробуйте создать единственное разрешающее правило fw на ЛАН, где в Source OS выбрать слово "Windows" (это значит ВСЕ типы этой ОС). Оно будет работать только для TCP, но этого должно быть достаточно для эксперимента. И поглядеть, что будет.
Зы. Можно еще и с флоатинг рулез поэкспериментировать. -
@Konstanti said in Блокировка роутеров в сети:
@randreevich
Поясните пож , ip адреса неизвестны роутеров ? или как ?
Откуда они получают ip адреса ?ip роутеров не известны.
Адреса ПК получают по дхцп с другой машины на linux. -
@randreevich
Попробуйте сделать , как советует Werter , возможно , это сработает ( я ,лично ,не уверен)Для более надежного способа блокировки я бы делал по-другому (см выше)
Вы упомянули , что
Как на линуксовом фаерволе, помечать пакеты и блокировать.Какой там алгоритм поиска роутеров используется ?
-
Отслеживаются, помечаются и блокируются пакеты с пониженным ттл на единицу.
-
@randreevich
Пониженным ttl на единицу относительно какой величины? 64,128 или какой-то другой? Если такой вариант работает, то опять же это элементарно реализуется через подсистему netgraph. Pf в этом процессе даже участия принимать не будет.
Все происходит до того, как пакет попадёт в сетевой стек freebsd и будет обработан ядром. -
-
@randreevich
Запустите в консоли такую команду , отлавливаются ли пакеты от роутеров ?tcpdump -netti название_интерфейса ip and src net адрес_сети/маска_подсети and '(ip[8] != 0x40 and ip[8] != 0x80)'
-
@randreevich
Запустите в консоли такую команду , отлавливаются ли пакеты от роутеров ?tcpdump -netti название_интерфейса ip and src net адрес_сети/маска_подсети and '(ip[8] != 0x40 and ip[8] != 0x80)'