пятница, 13 ноября 2015 г.

Маскируем наш роутер в сети провайдера от TTL-фильтра.

   Теория:
  В IPv4 TTL представляет собой восьмиразрядное поле IP-заголовка.
 Определяет максимальное количество хопов (hop, то есть прыжок, участок между маршрутизаторами), которые пакет может пройти. Наличие этого параметра не позволяет пакету бесконечно ходить по сети. Каждый маршрутизатор, при маршрутизации должен уменьшать значение TTL на единицу, но некоторые шлюзы можно настроить, чтобы игнорировать это. Пакеты, не достигшие адресата, но время жизни которых стало равно нулю, уничтожаются, а отправителю посылается сообщение ICMP Time Exceeded. Если требуется, чтобы пакет не был маршрутизирован (то есть принят только в своём сегменте), то выставляется TTL=1. На отправке пакетов с разным временем жизни основана трассировка их пути прохождения (traceroute). Максимальное значение TTL=255. Обычное начальное значение TTL=64 (зависит от ОС).

   Добавим правило в Mikrotik,  что бы с имитировать конечное устройство:
/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes

Подписаться на новые статьи.

7 комментариев:

  1. Спасибо дорогой человек!
    Не знаю как, но одно, технологическое устройство имело ttl=0 и не маршрутизировалость по vpn. Твоя подсказка помогла решить проблему. Пью кофе, отменяю поездку на объект!)

    ОтветитьУдалить
  2. increment зачем? увеличить на один везде?
    во первых это правило супер требовательное получится к процу.

    не проще поставить на постороутинг выход из роутера в ван, чендж ттл на 64 и делов

    /ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:64 out-interface-list="WAN" passthrough=yes


    ОтветитьУдалить
    Ответы
    1. оно может и проще, но в таком варианте трассировка из вашей локалки до любого узла в интернету будет иметь два прыжка - первый ваш роутер, второй конечный узел. промежуточные узлы не покажутся. это не всегда удобно.

      Удалить
    2. Для этого поставьте галку !(icmp)

      Удалить
  3. Один wlan закидываем в бридж, другой в WAN и цепляемся к телефону с МТС Тарифище. В правиле прописываем new TTL = 65. МТС ни о чём не догадывается =)

    ОтветитьУдалить
    Ответы
    1. А можете написать что то типа такого "/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:64 out-interface-list="WAN" passthrough=yes" не понимаю как сделать

      Удалить
  4. Может out-interface= а не out-interface-list= ?

    ОтветитьУдалить