Ronald Anchite Guedes wrote:
>Preciso bloquear as respostas do comando tracerouter ou tracert de meus
>clientes de rede, como devo proceder? posso bloquear no meu firewall mas
>ele bloqueia tb o ping? Alguem tem uma solucao?
O traceroute envia pacotes UDP para uma porta aleat�ria alta, geralmente
na casa de 33000. E ele fica esperando respostas ICMP TTL Expired. Quando
ele recebe um ICMP Port Unreachable, sabe que chegou ao destino.
J� o tracert.exe do Windows envia ICMP Echo Request e fica esperando ICMP
TTL Expired. Quando ele recebe o ICMP Echo Reply, sabe que chegou ao
destino.
Para voc� bloquear as respostas traceroute/tracert do, voc� tem as
seguintes op��es:
1) bloqueie todo ICMP TTL Expired no seu firewall. Note que isso pode
atrapalhar casos leg�timos de erro, mas � incomum. Note que ainda assim
os traceroute/tracert v�o conseguir mostrar o n�mero de saltos, mas essa
informa��o � tamb�m f�cilmente obtida por outros meios (inclusive
passivos).
2) bloqueie todo ICMP Port Unreachable. Esse afeta s� os Linux e �
claramente uma pedida ruim, pois qualquer UDP usado ser� afetado,
inclusive DNS.
3) bloqueie todo ICMP Echo Reply. Esse s� afeta os Windows, mas por outro
lado tamb�m bloqueia o ping nos dois sistemas.
Qual � o problema que voc� est� tentando resolver?
--
Thiago Macieira - thiago (AT) macieira (DOT) info
PGP/GPG: 0x6EF45358; fingerprint:
E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358
3. Ac seo woruld wear� geborod, sw� se Scieppend cwea� "Gewurde Unix" and
wundor fremede and him "Unix" genemned, ��t is se rihtendgesamnung.
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
