SKFREE

Mikrotik™ Info - MK - zmena TTL
Thomas - 08.06.2007 - 11:56
Post subject: MK - zmena TTL
takže , nakoľko sa rozmohlo na sieti zdielanie netu , chcel by som tomu zabraniť ... raz som očul o riešení , kde sa dá na MK znížiť TTL na 1 takže na dalšom routri paket končí svoju púť ...
neriešili ste to niekto , alebo neviete ako to spraviť?
Vopred daujem za rady typu prejdi na linux ...
bakula - 08.06.2007 - 12:31
Post subject:
napr. takto
/ ip firewall mangle add chain=postrouting action=change-ttl new-ttl=set:1 comment="test TTL"

prejst na linux nemusis ale ked ho budes poznat pojde to s tym mikrotikom lahsie Smile
Thomas - 08.06.2007 - 12:44
Post subject:
ja dakujem ... ale zakaznici asi nie Smile
si - 08.06.2007 - 12:59
Post subject:
bakula wrote: ›napr. takto
/ ip firewall mangle add chain=postrouting action=change-ttl new-ttl=set:1 comment="test TTL"

prejst na linux nemusis ale ked ho budes poznat pojde to s tym mikrotikom lahsie Smile


sikovny zakaznik ti ojebe aj tamto Smile
Chalan - 08.06.2007 - 13:07
Post subject:
ten sikovny zakaznik musi mat linux ako NATovaciu masinu ci vie to oklamat aj s obycajnym HW routrom?
si - 08.06.2007 - 13:08
Post subject:
neviem o tom zeby taketo moznosti ponukal neaky HW router, ale nie je to vylucene... (resp. take cisco to urcite umoznuje, ale kto si ho na to domov kupi ? Razz )
Chalan - 08.06.2007 - 13:12
Post subject:
takze svojim sposobom to riesenie je... ale ako vies ze ten user ten router nema len pre svoje PC v byte, pripadne si dokupil notas a chce ho mat wifi?
si - 08.06.2007 - 13:17
Post subject:
ja ak by ma trapilo ci ten user to pouziva na sirenie dalej alebo e-e tak by som vyhrabal taky pekny skriptik (volakedy som pouzival, da sa to najst niekde na nete) ktory ti povie na zaklade roznych priznakov na packetoch co z jednotlivych IP lozia to ci za tou IP je zanatovanych viacero zariadeni a dokonca to vedelo aj odhadnut kolko (v jednej chvili)
Thomas - 08.06.2007 - 13:19
Post subject:
ak sú to pc v domácnosti nieje problem za 49 Sk mesačne má dalšiu ipku .. a nemusí mať žiaden router ... firmy dostávajú samostaný subnet .. len tu sú staršne lakomý ludia načo budú platiť 499 za 4/1 Mbit linku ked si ju môžu cez router 5 rozdeliť ... toto s ttlkom + obmedzenie počtu spojení + striktné uplatnovanie FUP a keď sa budú stažovať žeto nejde ... jednoducho nemate zdielať propojenie ..
si - 08.06.2007 - 13:21
Post subject:
Thomas: my tu dalsiu IP nadelime zadarmo Razz
bakula - 08.06.2007 - 13:41
Post subject:
http://elceef.itsec.pl/natdet/
Robert - 08.06.2007 - 14:41
Post subject:
V nasej sieti sa uplatnoval opacny extrem. Radio zasadne vo WISP rezime a DHCP na vnutornej sieti. Takze zakaznik mal hned tych adries 100 (tolko prideloval DPCP).
lol - 08.06.2007 - 14:49
Post subject:
Robert: Ja to tak robim tiez a nech si zakaznik zdiela dalej ked chce. Ludia to dalej ajtak nebudu zdielat uz len z toho principu, ze sa boja, ze im to pojde "pomaly"
Robert - 08.06.2007 - 15:19
Post subject:
lol: V reali zdielalo dost malo ludi. Vacsinu dvaja susedia v rodinnych domoch. V zopar pripadoch niekolko ludi na LAN v bytovke. Nas biznis tym naozaj neutrpel. Na druhej strane vela zakaznikov ocenilo, ze si mohli napr. nosit domov NB, ktory si jednoducho pripojili a fungoval im. Dost zakaznikov malo 2-3 pocitace. Takze sme poskytovali cosi ako "analogova" kablovka. Sluzba bez zbytocnych pikantnosti.
zelmar - 08.06.2007 - 19:30
Post subject:
Chalan wrote: ›ten sikovny zakaznik musi mat linux ako NATovaciu masinu ci vie to oklamat aj s obycajnym HW routrom?


Ten šikovný zákazník musí mať doma proxy server , ktorý všetky pakety zostavuje sam a nie iba prepisuje zdrojovu IP.
si - 08.06.2007 - 20:45
Post subject:
zelmar: moze mat aj obycajnu natovaciu masinu ak vie pracovat s TTLkami a zisti ze si mu spravil prave takyto oser
Robert - 08.06.2007 - 23:03
Post subject:
Hovori sa, ze na kazdu zbran existuje aj protizbran. Maloktora ochrana sa ponima ako naozajnepriestrelna. Ide o tom, ze pripadnemu narusitelovi sa to stazi a da sa ocakavat, ze velke % to nebude vediet prekonat.

Napr. kedysi som uvazoval nad ochranou na LAN sietach takym sposobm, ze nebudem kontrolovat len MAC adresu (a na zaklade toho pridelovat IP), ale budem aj pozerat HOST name, pod ktorym sa PC registruje do DHCP servera. Takze by nestacilo spoofovat MAC adresu. Vo svojej podstati primitivna ochrana, ktora by vsak niektorym mozno zabranila kradnut MAC/IP adresy (pokial by nepochopil, v cem delo, po com by to velmi rychlo prekonal).
zelmar - 09.06.2007 - 00:07
Post subject:
A pritom staci zamknut mac na porte...


Laughing
Chalan - 09.06.2007 - 08:47
Post subject:
mac adresu si dnes uz hockto vie naklonovat...
bakula - 09.06.2007 - 09:34
Post subject:
Mna skor zaujima ci to funguje aj v praxi. Lebo je mozne ze niektore routre seru na nejake pravidla. Mal som jeden ktory neznamo akym sposobom sral na mac adresu. Doteraz to nechapem ale mam na sieti zamok mac/ip a po vymene tohto routra zostal v arp tabulke povodny staticky zaznam zo starou mac adresou zariadenia. Prisiel som na to jedine tak ze som nasiel packety ktore boli smerovane inde v uplne inom segmente siete lebo bridge nevedel kde to ma poslat (na zaklade mac) tak to islo vsade. Interet ale za routrom isiel bez problemov. Neviem ale ten switch ignoroval mac adresu a komunikoval len na zaklade ip ale to bude skor vynimka...
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits