blokovani traceroute

[Mirek Petricek]

On Wed, Mar 05, 2003 at 04:34:38PM +0100, Vymazal Milan wrote:
> Zdravim konferenci
> 
>  jak zablokuji na routeru aby neslo udelat traceroute do vnitrni site
>  ?. POuzivam iptables ... vsechno je defaultne zakazano a a icmp-type
>  11 taky .. ale stejnak to projde. skousel jsem to a firewall mi to
>  detekovall

Traceroute funguje typicky tak, že posílá datagram s vhodně nastaveným 
TTL příznakem nepoužívanému portu UDP a výstup určuje podle toho jakou 
mu vrátíte ICMP odpověď (buď port-unreachable nebo time-exceeded).

Řešením je tedy DROPování nepoužívaných UDP portů (což by měl každý
firewall dělat stejně).

-- 
/* Miroslav Petricek             mirek na petricek.cz
   UNIS COMPUTERS, spol. s r.o.  Systemovy inzenyr - UNIX
-- http://www.petricek.cz/ ------ ICQ: 56183467  ------