yagamixp
发表于 2004-11-18 17:01:32
对了,好像装完正的linux然后用iptables 定一下规则好像ttl返回值也不会变的。还有做透明网关也可以的啊@@至于改ttl返回值这是最可行的对付drop 31,67,127
心想事成
发表于 2005-1-3 21:26:19
最近才在网上查到一篇文章,方法很简单,就是将53端口返回的包的TTL值设置为1.这样的话,dns查询的包只能到达下一级主机。如果它用了代理或者nat,再下一级的ttl将将为0,这个包就丢掉了。从而实现无法解析dns限制非法nat。
lovellh
发表于 2005-1-4 10:28:26
我现在的小区是以太网就是好多用户用CCPROXY 代理,,wsgtrsys大哥可以帮我搞个拉,限TTL就行了,,我试了2个月也没有进展,,,
a99456820
发表于 2005-1-4 11:50:01
lovellh
发表于 2005-1-5 07:57:17
a99456820 你成功了限NAT吗???
心想事成
发表于 2005-1-7 12:53:05
不知道这个正确否。意思是将从连接lan那张网卡上出来的协议为udp,源端口为53的包的TTL设为1
CODE
iptables -t mangle -A PREROUTING -i eth1 -d 192.168.1.0/24 -p udp --sport 53 -j TTL --ttl-set 1