Блокировка роутеров в сети



  • Здравствуйте.
    Как автоматически блокировать роутеры в сети? По ttl? Как?



  • @randreevich
    В настройках правил fw есть Source OS. Попробуйте с ним поиграться.



  • @randreevich
    Здр
    Если внутри сети нужно блокировать , то можно попробовать делать значение ttl для всех входящих пакетов на wan интерфейсе равным 1 . Но , мне кажется, что стандартными средствами PFSense этого не сделать.
    С помощью netgraph-а такое можно провернуть.



  • @Konstanti
    Внутри сети и пф и любой другой аналогичный ничего блокировать\разрешать не умеет. Только по схеме LANы ->WANы и наоборот.
    Правильно настроенная схема с Source OS в правилах fw должна сработать.
    Плюс, можно еще с настройками DHCP поиграться.



  • DHCP - какие именно Вы имеете ввиду?



  • @werter
    Я так понял , что надо блокировать трафик от роутеров , которые НАтят трафик и лезут наружу. Или я заблуждаюсь ?
    С Source OS - не всегда грамотно сработает
    Надо четко знать сигнатуру пакета , который генерит роутер ( а марка роутера , я так понимаю , может быть неизвестна)
     Гораздо проще делать обратный трафик немаршрутизируемым , уменьшая ttl до 1 .

    Если пробема состоит в чем-то другом , то нужно более детальное пояснение задачи .



  • Да, нужно блокировать роутеры с натом. Как на линуксовом фаерволе, помечать пакеты и блокировать.



  • @randreevich
    Поясните пож , ip адреса неизвестны роутеров ? или как ?
    Откуда они получают ip адреса ?



  • @randreevich
    Попробуйте создать единственное разрешающее правило fw на ЛАН, где в Source OS выбрать слово "Windows" (это значит ВСЕ типы этой ОС). Оно будет работать только для TCP, но этого должно быть достаточно для эксперимента. И поглядеть, что будет.
    Зы. Можно еще и с флоатинг рулез поэкспериментировать.



  • @Konstanti said in Блокировка роутеров в сети:

    @randreevich
    Поясните пож , ip адреса неизвестны роутеров ? или как ?
    Откуда они получают ip адреса ?

    ip роутеров не известны.
    Адреса ПК получают по дхцп с другой машины на linux.



  • @randreevich
    Попробуйте сделать , как советует Werter , возможно , это сработает ( я ,лично ,не уверен)

    Для более надежного способа блокировки я бы делал по-другому (см выше)

    Вы упомянули , что
    Как на линуксовом фаерволе, помечать пакеты и блокировать.

    Какой там алгоритм поиска роутеров используется ?



  • Отслеживаются, помечаются и блокируются пакеты с пониженным ттл на единицу.



  • @randreevich
    Пониженным ttl на единицу относительно какой величины? 64,128 или какой-то другой? Если такой вариант работает, то опять же это элементарно реализуется через подсистему netgraph. Pf в этом процессе даже участия принимать не будет.
    Все происходит до того, как пакет попадёт в сетевой стек freebsd и будет обработан ядром.





  • @randreevich
    Запустите в консоли такую команду , отлавливаются ли пакеты от роутеров ?

    tcpdump -netti название_интерфейса ip and src net адрес_сети/маска_подсети and '(ip[8] != 0x40 and ip[8] != 0x80)'



  • @randreevich
    Запустите в консоли такую команду , отлавливаются ли пакеты от роутеров ?

    tcpdump -netti название_интерфейса ip and src net адрес_сети/маска_подсети and '(ip[8] != 0x40 and ip[8] != 0x80)'


Log in to reply