Ein Client möchte einen Fake-Hop hinzufügen, wenn jemand einen Traceroute für seine IP-Adresse ausführt. Er hat zwei IP-Adressen und eine Schnittstelle (kein Problem, virtuelle Schnittstellen lösen das Problem).Wie soll ich vorgehen? Ist das überhaupt möglich?Ich habe eine Iptables-Weiterleitung versucht, aber dann wird es nicht in einem Traceroute angezeigt.Ich habe jedoch keine anderen Methoden ausprobiert (vielleicht eine Art Überbrückung?)
Hier ist die aktuelle Route, die in Tracert angezeigt wird: Person, die Traceroute ausführt -> 1.1.1.2
Hier ist das geplante Traceroute-Ergebnis: Person, die Traceroute durchführt -> 1.1.1.1 (Fake Hop) -> 1.1.1.2
Aktualisieren:Habe etwas Formatierung hinzugefügt, um klarzustellen, dass es sich nicht um ein xy-Problem handelt. Ich bin absolut offen für jede Lösung, nicht nur für iptables (sei es eine richtige oder ein schmutziger Hack)
Bearbeiten: Es ist nur auf einem Host (Linux). Ich möchte das auch tun. Es muss nichts Ausgefallenes sein. 1.1.1.1 muss nur in einem Traceroute angezeigt werden.
Mein Versuch – Nicht unbedingt der richtige Ansatz
Update: Ich habe versucht, das Paket von 1.1.1.2 an 1.1.1.1 weiterzuleiten, es dann zu verändern, um die TTL zu verringern und es dann an 1.1.1.2 weiterzuleiten (Postrouting -j SNAT --to 1.1.1.1).
Bearbeiten: Hier sind die Regeln, die ich ausprobiert habe, vertrauliche Informationen entfernt:
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*nat
:PREROUTING ACCEPT [8:760]
:INPUT ACCEPT [8:760]
:OUTPUT ACCEPT [1:104]
:POSTROUTING ACCEPT [1:104]
-A POSTROUTING -p icmp -m icmp --icmp-type 8 -j SNAT --to-source 1.1.1.1
COMMIT
# Completed on Mon May 18 15:13:18 2015
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*mangle
:PREROUTING ACCEPT [763:151106]
:INPUT ACCEPT [763:151106]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [299:39396]
:POSTROUTING ACCEPT [299:39396]
-A FORWARD -i eth0 -o eth0:0 -p icmp -m icmp --icmp-type 8 -j TTL --ttl-dec 1
COMMIT
# Completed on Mon May 18 15:13:18 2015
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*filter
:INPUT ACCEPT [839:179066]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [303:40704]
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33523 -j ACCEPT
-A FORWARD -d 1.1.1.1/32 -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Mon May 18 15:13:18 2015
Antwort1
Theoretisch sollte das Folgende funktionieren und das gewünschte Ergebnis erzielen.
- Erstellen Sie auf dem betreffenden Server eine neue virtuelle Schnittstelle und weisen Sie ihr eine IP-Adresse zu.http://linuxconfig.org/configuring-virtual-network-interfaces-in-linux
- Stellen Sie die ursprüngliche IP-Adresse/Schnittstelle so ein, dass sie auf die neue virtuelle Schnittstelle verweist, die im vorherigen Satz durch Ändern der Routing-Tabelle erstellt wurde (tatsächlich wird sie zu einem neuen Router/Gateway zwischen der Quelle und dem Ziel).http://linux-ip.net/html/basic-changing.html
Antwort2
Ok, die einzige Möglichkeit, die mir einfällt, ist, dies auf dem Host zu tun, der die Anfrage initiiert. Sie können dort die zusätzliche Schnittstelle hinzufügen, sie an einen Adapter binden und Routen hinzufügen, damit sie durch diese Schnittstelle fließt. Der Hauptgrund dafür ist, dass Ihre Ablaufverfolgung endet, wenn der Switch die an IP 1.1.1.2 gebundene MAC-Adresse findet.
Wenn Sie den Requester-Host hierfür nicht ändern möchten, müssen Sie Netzwerkänderungen vornehmen, z. B. den Router modifizieren, um den zusätzlichen Hop nachzuahmen.