NAT tiltása ISP által?

Web, mail, IRC, IM, hálózatok

Nem lehet megosztani az internetet. A shorewall script indítása után csak pingelni lehet, de sem weboldal sem ftp hely nem érhető el. Azok a weboldalak sem érhetőek el, amiket egyébként ping-elni lehet. Nagyon régen néhány kisebb internet-szolgáltató a TTL alacsonyra állításával akadályozta meg a NAT megosztást (miután a port-blokkolást már ki lehetett kerülni).
Itt is erről lenne szó?

(A portálmester megtanulhatna már végre rendesen angolul :-)

  • 2236 megtekintés

( Jason v | 2011. 03. 31., cs – 16:39 )

ISP neve?

http://tinyurl.com/5r265b4

http://www.frozentux.net/iptables-tutorial/chunkyhtml/x4820.html

TTL Target

The TTL target is used to modify the Time To Live field in the IP header. One useful application of this is to change all Time To Live values to the same value on all outgoing packets. One reason for doing this is if you have a bully ISP which don't allow you to have more than one machine connected to the same Internet connection, and who actively pursues this. Setting all TTL values to the same value, will effectively make it a little bit harder for them to notice that you are doing this. We may then reset the TTL value for all outgoing packets to a standardized value, such as 64 as specified in the Linux kernel.

Ha jól emlékszem a shorewall iptables frontend. Kicsit megkokeszolod és nem fogja csökkenteni a TTL-t, illetve a bejövő csomagok TTL-ét is meg kell növelni, mert van ahol 1-gyel küldik be neked, hogy a routereden megfáradjon a packet.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( bambano | 2011. 03. 31., cs – 16:41 )

minden más lehetőséget kizártál? nem látom azokot, hogy minek tiltaná az isp a megosztást...
(bújtatott subscribe)

( muszi v | 2011. 03. 31., cs – 16:42 )

Anno a Dunaweb csinalt ilyet, 1-re allitottak a bejovo csomagok TTL-jet. Masfel oramba telt, mig rajottem, hogy miert nem megy az internet a router mogul. :-)

Ez volt a megoldas: 

iptables -t mangle -A PREROUTING -i "$EXT_IF" -m ttl --ttl-lt 2 -j TTL --ttl-inc 16

( pr23 | 2011. 03. 31., cs – 19:20 )

Hasonló problémával küzdök egy Borsod megyei szolgáltatónál.
Router küldi a csomagokat, de nem kap egyet sem, szóval nem hiszem, hogy a TTL szintet vették volna le.

( E-Medve v | 2011. 03. 31., cs – 19:57 )

Ha csak az asztali gép van rádugva direktbe, akkor gondolom megy a net. Esetleg meg kellene próbálni, hogy a shorewall-os gép wan portján a mac address-t beállítani az asztali gép mac addressére.

( eddie303 | 2011. 03. 31., cs – 19:49 )

A Shorewall-ban a zonapolitika tuti jo ? En abbol szivtam ilyenekkel, szerintem lodd le a shorewall-t majd

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

termeszetesen 192.168.1.0 a belso halo neve ez esetben... Csereld az aktualisra... Es ha mukodik, akkor a shorewall konfig a gond...
---
Hey! Where'd my terminal go?
DropBox tárhely itt!

( dash | 2011. 03. 31., cs – 21:22 )

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

-------------------------------------------------------------------------
színes

( pezo v | 2011. 04. 01., p – 08:12 )

Jajj, de örültem 12 másodpercig, hogy ezzel a TTL=1 -el meg tudom oldani a cégnél a dugi-AP -k kitiltását... Aztán rájöttem, hogy routing mindenképpen kell a TTL csökkenéséhez. Nos, legalább a bután (WAN) de dugiban felcsatlakoztatott routerek ellen véd...

( eax | 2011. 04. 03., v – 17:15 )

Nezd meg a forgalmat droccapaval nat elott, utan, meg a celnal, es ki fog derulni.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!