Тема: (РЕШЕН) Проблем със iptables & ttl (Прочетена 3759 пъти)

hack_man · « -: Sep 26, 2008, 17:12 »

Използвам Gentoo машина за рутер и сървър, обаче се оказа че доставчика прави мизери с TTL-a !!!
Погледнах темата http://linux-bg.org/cgi-bin....9911239 и сформирах един кратък скрипт :

Примерен код

#!/bin/bash

iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -F -t raw

iptables -t mangle -A PREROUTING -i ppp0 -j TTL --ttl-inc 1
#iptables -t mangle -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j TTL --ttl-inc 1
iptables -t mangle -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j TTL --ttl-set 64
TTL --ttl-inc 1

iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE

/etc/init.d/iptables save

Когато направя ping от рутера към dir.bg ttl-a е 58.
Когато направя ping от машина във вътрешната мрежа към dir.bg ttl-a е 58.

Проблема е че има сайтове, в моя случай abv.bg и др. към които горния случай не е така.
от рутера ттл-а е 61
а от друга машина е 60
':huh:'

Оказва се че при всички сайтове при които имам разминаване на ттл-а немога да ги отворя и съм сигурен че е от защитата на доставчика.

Пробвах и с "--ttl-inc 1" и с "--ttl-set 64" няма разлика.

Някакви идей ?

hack_man · « **Отговор #1 -:** Sep 29, 2008, 09:55 »

Никой ли няма идея

'>?

dvbb · « **Отговор #2 -:** Sep 29, 2008, 10:51 »

ttl-inc го направи 2

hack_man · « **Отговор #3 -:** Sep 29, 2008, 14:07 »

няма промяна

'>

hack_man · « **Отговор #4 -:** Sep 29, 2008, 14:15 »

Странно но сега каквото и да пинг-вам ... от вътрешна е 1 по-малко винаги...
независимо колко е ttl-inc
да но това не разрешава проблема ....
abv.bg продължава да не ми се отваря.

когато не минавам през рутер ... всичко е ок
мина ли .. край ...
каква ли защита прилага доставчика?
как мога да я избегна ??

VladSun · « **Отговор #5 -:** Sep 29, 2008, 14:38 »

iptables -t mangle -A PREROUTING -i ppp0 -j TTL --ttl-inc 2
iptables -t mangle -A POSTROUTING -o ppp0 -j TTL --ttl-set 64

Така със сигурност пакетите излизащи от рутера ти ще имат винаги ТТЛ=64 независимо от къде идват.

Освен това - пусни два tcpdump на входния и изходния интерфейс и вижа какво става, вместо да се чудиш

'>

hack_man · « **Отговор #6 -:** Sep 29, 2008, 14:54 »

с tcpdump не съм работил.... и незнам какво да гледам

'>

VladSun · « **Отговор #7 -:** Sep 29, 2008, 15:13 »

tcpdump -nv -i eth0

hack_man · « **Отговор #8 -:** Sep 29, 2008, 15:35 »

tcpdump host 192.168.1.10 and abv.bg -v

Примерен код

15:34:13.125880 IP (tos 0x0, ttl 64, id 33385, offset 0, flags [DF], proto TCP (6), length 52) my-MAC.51117 > abv.bg.http: F, cksum 0x5354 (correct), 3697129583:3697129583(0) ack 120363165 win 65535 <nop,nop,timestamp 408848432 2070476071>
15:34:13.148020 IP (tos 0x40, ttl 61, id 28099, offset 0, flags [DF], proto TCP (6), length 52) abv.bg.http > my-MAC.51117: ., cksum 0x0b4e (correct), ack 1 win 54 <nop,nop,timestamp 2070491559 408848432>
15:34:16.021851 IP (tos 0x0, ttl 64, id 12811, offset 0, flags [DF], proto TCP (6), length 64) my-MAC.51119 > abv.bg.http: S, cksum 0xf66b (correct), 3311074520:3311074520(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 408848461 0,sackOK,eol>
15:34:16.044099 IP (tos 0x40, ttl 61, id 0, offset 0, flags [DF], proto TCP (6), length 60) abv.bg.http > my-MAC.51119: S, cksum 0xb958 (correct), 133854983:133854983(0) ack 3311074521 win 5792 <mss 1460,sackOK,timestamp 2070494456 408848461,nop,wscale 7>
15:34:16.045150 IP (tos 0x0, ttl 64, id 64894, offset 0, flags [DF], proto TCP (6), length 52) my-MAC.51119 > abv.bg.http: ., cksum 0xfec4 (correct), ack 1 win 65535 <nop,nop,timestamp 408848461 2070494456>
15:34:16.045414 IP (tos 0x0, ttl 64, id 7722, offset 0, flags [DF], proto TCP (6), length 423) my-MAC.51119 > abv.bg.http: P 1:372(371) ack 1 win 65535 <nop,nop,timestamp 408848461 2070494456>
15:34:16.957870 IP (tos 0x0, ttl 64, id 62991, offset 0, flags [DF], proto TCP (6), length 423) my-MAC.51119 > abv.bg.http: P 1:372(371) ack 1 win 65535 <nop,nop,timestamp 408848470 2070494456>
15:34:18.960528 IP (tos 0x0, ttl 64, id 30510, offset 0, flags [DF], proto TCP (6), length 423) my-MAC.51119 > abv.bg.http: P 1:372(371) ack 1 win 65535 <nop,nop,timestamp 408848490 2070494456>
15:34:18.982379 IP (tos 0x40, ttl 61, id 16251, offset 0, flags [DF], proto TCP (6), length 52) abv.bg.http > my-MAC.51119: ., cksum 0xf183 (correct), ack 372 win 54 <nop,nop,timestamp 2070497395 408848490>
15:34:18.982853 IP (tos 0x40, ttl 61, id 16252, offset 0, flags [DF], proto TCP (6), length 481) abv.bg.http > my-MAC.51119: P 1:430(429) ack 372 win 54 <nop,nop,timestamp 2070497395 408848490>
15:34:18.984140 IP (tos 0x0, ttl 64, id 15708, offset 0, flags [DF], proto TCP (6), length 52) my-MAC.51119 > abv.bg.http: ., cksum 0xf00b (correct), ack 430 win 65535 <nop,nop,timestamp 408848491 2070497395>
15:34:18.993944 IP (tos 0x0, ttl 64, id 20227, offset 0, flags [DF], proto TCP (6), length 64) my-MAC.51120 > abv.bg.http: S, cksum 0xaa6f (correct), 1203684946:1203684946(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 408848491 0,sackOK,eol>
15:34:19.017056 IP (tos 0x40, ttl 61, id 0, offset 0, flags [DF], proto TCP (6), length 60) abv.bg.http > my-MAC.51120: S, cksum 0x0fbd (correct), 2757873657:2757873657(0) ack 1203684947 win 5792 <mss 1460,sackOK,timestamp 426379069 408848491,nop,wscale 7>
15:34:19.018056 IP (tos 0x0, ttl 64, id 40280, offset 0, flags [DF], proto TCP (6), length 52) my-MAC.51120 > abv.bg.http: ., cksum 0x5529 (correct), ack 1 win 65535 <nop,nop,timestamp 408848491 426379069>
15:34:19.018470 IP (tos 0x0, ttl 64, id 55901, offset 0, flags [DF], proto TCP (6), length 427) my-MAC.51120 > abv.bg.http: P 1:376(375) ack 1 win 65535 <nop,nop,timestamp 408848491 426379069>
15:34:19.042438 IP (tos 0x40, ttl 61, id 51372, offset 0, flags [DF], proto TCP (6), length 52) abv.bg.http > my-MAC.51120: ., cksum 0x5363 (correct), ack 376 win 54 <nop,nop,timestamp 426379094 408848491>
15:34:20.981778 IP (tos 0x40, ttl 61, id 16253, offset 0, flags [DF], proto TCP (6), length 52) abv.bg.http > my-MAC.51119: F, cksum 0xe805 (correct), 430:430(0) ack 372 win 54 <nop,nop,timestamp 2070499395 408848490>
15:34:20.983032 IP (tos 0x0, ttl 64, id 21041, offset 0, flags [DF], proto TCP (6), length 52) my-MAC.51119 > abv.bg.http: ., cksum 0xe826 (correct), ack 431 win 65535 <nop,nop,timestamp 408848511 2070499395>
15:34:21.043058 IP (tos 0x40, ttl 61, id 51379, offset 0, flags [DF], proto TCP (6), length 1218) abv.bg.http > my-MAC.51120: FP 4345:5511(1166) ack 376 win 54 <nop,nop,timestamp 426381095 408848491>
15:34:21.044404 IP (tos 0x0, ttl 64, id 48400, offset 0, flags [DF], proto TCP (6), length 64) my-MAC.51120 > abv.bg.http: ., cksum 0x0e37 (correct), ack 1 win 65535 <nop,nop,timestamp 408848511 426379094,nop,nop,sack 1 {4345:5511}>
15:34:23.576897 IP (tos 0x0, ttl 64, id 35411, offset 0, flags [DF], proto TCP (6), length 52) my-MAC.51119 > abv.bg.http: F, cksum 0xe80b (correct), 372:372(0) ack 431 win 65535 <nop,nop,timestamp 408848537 2070499395>
15:34:23.600271 IP (tos 0x40, ttl 61, id 16254, offset 0, flags [DF], proto TCP (6), length 52) abv.bg.http > my-MAC.51119: ., cksum 0xdd9b (correct), ack 373 win 54 <nop,nop,timestamp 2070502013 408848537>
15:34:28.072606 IP (tos 0x0, ttl 64, id 4933, offset 0, flags [DF], proto TCP (6), length 64) my-MAC.51058 > abv.bg.http: F, cksum 0xee47 (correct), 157552758:157552758(0) ack 3341492010 win 65535 <nop,nop,timestamp 408848581 2069456143,nop,nop,sack 1 {4345:5511}>

gat3way · « **Отговор #9 -:** Sep 29, 2008, 17:54 »

Прекрасен пример за установяване на TCP сесия и затварянето й като хората

'>

Кое не можело да се отваря?

hack_man · « **Отговор #10 -:** Sep 29, 2008, 18:27 »

немога да отворя нищо през браузър-а
пробвах с firefox, safari, links нищо не отваря

'>

кофтито е че не отваря само 2-3 саита

'>

KPETEH · « **Отговор #11 -:** Sep 29, 2008, 19:04 »

Възможно ли е да ти филтрират abv-to примерно ?
Въпреки че ми се струва безумно ... но знам ли

hack_man · « **Отговор #12 -:** Sep 29, 2008, 19:47 »

не го фолтрират понеже ако не минавам през рутер се отваря,
ако мина .... не се отваря...

'>

знам че има ограничение по ттл но явно не някакво друго .... и по начина който аз "оправям" ттл-а не мога да прескоча защитата

'>

hack_man · « **Отговор #13 -:** Sep 29, 2008, 19:51 »

пускам нова тема по въпроса със защитата по ттл.

тази може да се заключи.

e_stealth · « **Отговор #14 -:** Sep 30, 2008, 21:00 »

пробвай следдното :

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t mangle -A PREROUTING -i ppp0 -j TTL --ttl-inc 1
iptables -t mangle -A POSTROUTING -o ppp0 -j TTL --ttl-set 64

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	Iptables Настройка на програми	mozly	1	4168	Dec 10, 2002, 23:48 от Vency
	iptables Настройка на програми	sunhater	3	4039	Apr 23, 2003, 15:02 от sunhater
	iptables Настройка на програми	dumdum	4	4655	Apr 30, 2003, 10:40 от dumdum
	IPTABLES Настройка на програми	achird	2	4731	May 20, 2003, 14:14 от achird
	iptables Настройка на програми	dumdum	2	3725	May 03, 2003, 17:00 от

Автор Тема: (РЕШЕН) Проблем със iptables & ttl (Прочетена 3759 пъти)