禁止网络中私设NAT的解决办法

心想事成

你先看这篇文章：http://www.routerclub.com/ipb/index.php?showtopic=4075&st=0如果有人在下面私开nat的话，它那个ip出来的包的ttl值一定为：31或者 63 或者127你只需要在iptables中drop掉ttl数据等于以上值的包，就可以禁止它上网了。

yagamixp

可是用的是windows2k+winrouter改一下注册表好像可以改变ttl的返回值！不知道这样如何防止呢？

心想事成

QUOTE (yagamixp @ Nov 8 2004, 04:50 PM)
可是用的是windows2k+winrouter改一下注册表好像可以改变ttl的返回值！不知道这样如何防止呢？  
  这个就没办法了。不过一般人是不知道你这样做的，它也就不会改ttl值了。

心想事成

试试这个，不过我也没有试验过。请把192.168.1.0/24替换为适合自己的值

CODE
iptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 127 -j DROPiptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 31 -j DROPiptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 63 -j DROP

lovellh

CCPROXy 代理是不是就好可以了，有空试试

ddr

QUOTE (a99456820 @ Nov 8 2004, 10:21 AM)
我朋友要包下一个学校的网络也就是这个学校的网让我朋友管这个学校如谁想上网,则到我朋友处交钱收费的为了防止另人交一个钱而多人共享上网,当然可以绑定ip我现在用coyote,如一个个绑定ip可行吗?请回答这个问题我认为这样有些麻烦,有不有其它路由软件可以轻松实现吗?请回答他说电信用的一个硬路可以实现以上功能,是真的吗,哪种硬路由可实现呀,请回答  
  为什么不按流量计费呢？他要nat就去nat吧。不过资费单一学生有权去申请其他的isp。你无权干涉的。

bow

用routeros的认证功能

txwwy

不管用ROS做WEB认证、还是pppoe认证都可以做NAT，而且ROS中没有封闭TTL=？的选项

yagamixp

明白了，不过好像跨网段时TTL返回值也会少1吧

心想事成

这个不太清楚。你用 tcpdump抓包看一下就知道了

lovellh

[root@kp iptables-1.2.11]# iptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 127 -j DROP[root@kp iptables-1.2.11]# iptables -A FORWARD -s 10.48.11.0/24 -m ttl --ttl 127 -j DROP

txwwy

每经过一跳，TTL都会少1的