Блокировка роутеров в сети
-
Здравствуйте.
Как автоматически блокировать роутеры в сети? По ttl? Как? -
@randreevich
В настройках правил fw есть Source OS. Попробуйте с ним поиграться. -
@randreevich
Здр
Если внутри сети нужно блокировать , то можно попробовать делать значение ttl для всех входящих пакетов на wan интерфейсе равным 1 . Но , мне кажется, что стандартными средствами PFSense этого не сделать.
С помощью netgraph-а такое можно провернуть. -
@Konstanti
Внутри сети и пф и любой другой аналогичный ничего блокировать\разрешать не умеет. Только по схеме LANы ->WANы и наоборот.
Правильно настроенная схема с Source OS в правилах fw должна сработать.
Плюс, можно еще с настройками DHCP поиграться. -
DHCP - какие именно Вы имеете ввиду?
-
@werter
Я так понял , что надо блокировать трафик от роутеров , которые НАтят трафик и лезут наружу. Или я заблуждаюсь ?
С Source OS - не всегда грамотно сработает
Надо четко знать сигнатуру пакета , который генерит роутер ( а марка роутера , я так понимаю , может быть неизвестна)
Гораздо проще делать обратный трафик немаршрутизируемым , уменьшая ttl до 1 .Если пробема состоит в чем-то другом , то нужно более детальное пояснение задачи .
-
Да, нужно блокировать роутеры с натом. Как на линуксовом фаерволе, помечать пакеты и блокировать.
-
@randreevich
Поясните пож , ip адреса неизвестны роутеров ? или как ?
Откуда они получают ip адреса ? -
@randreevich
Попробуйте создать единственное разрешающее правило fw на ЛАН, где в Source OS выбрать слово "Windows" (это значит ВСЕ типы этой ОС). Оно будет работать только для TCP, но этого должно быть достаточно для эксперимента. И поглядеть, что будет.
Зы. Можно еще и с флоатинг рулез поэкспериментировать. -
@Konstanti said in Блокировка роутеров в сети:
@randreevich
Поясните пож , ip адреса неизвестны роутеров ? или как ?
Откуда они получают ip адреса ?ip роутеров не известны.
Адреса ПК получают по дхцп с другой машины на linux. -
@randreevich
Попробуйте сделать , как советует Werter , возможно , это сработает ( я ,лично ,не уверен)Для более надежного способа блокировки я бы делал по-другому (см выше)
Вы упомянули , что
Как на линуксовом фаерволе, помечать пакеты и блокировать.Какой там алгоритм поиска роутеров используется ?
-
Отслеживаются, помечаются и блокируются пакеты с пониженным ттл на единицу.
-
@randreevich
Пониженным ttl на единицу относительно какой величины? 64,128 или какой-то другой? Если такой вариант работает, то опять же это элементарно реализуется через подсистему netgraph. Pf в этом процессе даже участия принимать не будет.
Все происходит до того, как пакет попадёт в сетевой стек freebsd и будет обработан ядром. -
-
@randreevich
Запустите в консоли такую команду , отлавливаются ли пакеты от роутеров ?tcpdump -netti название_интерфейса ip and src net адрес_сети/маска_подсети and '(ip[8] != 0x40 and ip[8] != 0x80)'
-
@randreevich
Запустите в консоли такую команду , отлавливаются ли пакеты от роутеров ?tcpdump -netti название_интерфейса ip and src net адрес_сети/маска_подсети and '(ip[8] != 0x40 and ip[8] != 0x80)'
