Изменить TTL
-
Как можно на интерфейсе установить ttl отличное от 64 ? pfsense 2.0.3.
-
В гугле - change ttl pfsense. И вуаля! - http://forum.pfsense.org/index.php/topic,4712.0.html , http://forum.pfsense.org/index.php/topic,27206.0.html
Change the following line in /etc/inc/filter.inc
$rules .= "scrub all {$scrubnodf} {$mssclamp} fragment
reassemble\n"; // reassemble all directions
to:
$rules .= "scrub all min-ttl 255 {$scrubnodf} {$mssclamp}
fragment reassemble\n"; // reassemble all directionsThat will reset the TTL to 255 (substitute whatever sufficiently high
value appeals to you) as it passes through the pfSense box. The above
line lives on line 166 in filter.inc version 1.575.2.235. BTW, this
will have the other added advantage of being able to mask different
OSs behind your pfSense box and the network layout as ALL packets will
have a normalized TTL after traversing the firewall. -
Спасибо помоглось. Версия 2.0.3, файлик /etc/inc/filter.inc строка 448
Было:
$scrubrules .= "scrub on ${$scrubcfg['descr']} all {$scrubnodf} {$scrubrnid} {$mssclamp} fragment reassemble\n"; // reassemble all directions
Стало:
$scrubrules .= "scrub on ${$scrubcfg['descr']} all min-ttl нужное_число {$scrubnodf} {$scrubrnid} {$mssclamp} fragment reassemble\n"; // reassemble all directions -
Доброго дня всем!!!
Люди добрые, подскажите пожалуйста, а возможно ли сделать так, что бы при посылке запроса любой машины из локальной сети по WAN уходило фиксированное число TTL?
К примеру у одного компьютера идет TTL = 128, у второго 64… у третьего 48 и т.д., а пройдя через pfsense идут все TTL только 64?
Требуется для обхода ограничений Yota.
pfsense 2.2.6-RELEASE (i386)
Если это возможно, то очень прошу опишите подробнее, я очень далек от настроек, но голова работает, так что думаю, если будет подробное описание, то справлюсь (ведь установить pfsense и настроить 4 сети с выходом в интернет ума хватило)))) ).
Заранее спасибо! -
Доброе.
Для модема с Йотой + железн. роутер есть вот - http://4pda.ru/forum/index.php?showtopic=596728&st=2820#entry40233875 , http://4pda.ru/forum/index.php?showtopic=596728&st=2760#entry40152576 -
Для модема с Йотой + железн. роутер
Спасибо за ответ, и за ссылки…. Я там был ранее, эту ветку изучил досконально, но это мне не подошло ибо бегать и менять на 50 машинах TTL как то не очень хочется.
Поэтому собственно я и спросил, может ли pfsense сам отправлять только одно значение TTL, и не важно какое значение TTL на него пришло...
Я же описал ситуацию... К примеру с одной машины пришло TTL=128, с другой 65, с третей 48..... с сотой 115.... а запросы пройдя через pfsense ушли в интернет с TTL = 64.
Или возможно есть какое либо другое решение этой задачи...
Это бы решило все проблемы связанные с ограничением Yota.Как я понимаю, железяки только пропускают значение TTL добавляя к нему единичку... Но дело в том, что к примеру в домашней сети можно вылечить 2-3 машины, добавив в реестре параметр DefaultTTL, но в сетях где кроме одного роутера и свистка - модема есть ещё железки значение TTL от разных машин даже по одному адресу будет разное... соответственно пройдя через pfsense + роутер + свисток добавятся еще единички..... А так как значения TTL будут разные Yota поймет, что свисток - это не один смартфон, а за смартфоном имеется сеть (включен режим модема).... Вот и есть задачка, что бы какая либо железка или какая либо программа ловила запросы с разными TTL и превращала эти запросы с одним и тем же TTL.... как будто работает в Yota-сети всего одно устройство, с IMEI от смартфона....
-
но это мне не подошло ибо бегать и менять на 50 машинах TTL
ttl меняется один раз - на шлюзе. И ссылки на 4pda как раз об этом.
Далее
Свисток вставляется в железный роутер. На роутере шаманите с ttl. Пакеты уходят с правильным ttl.
Какая разница у кого какой ttl до этого был в локальн. сети, если пакет уходит с правильным ttl от роутера ?Пробуйте с железным роутером.
P.s. Вот готовое решение по модемам - http://4pda.ru/forum/index.php?showtopic=582284&st=19820#entry46975186
Раз сделали - и всё. А для страховки вместо файла hosts исп. dnsmasq на пф, вбив туда адреса для блокировки.