Um cliente deseja adicionar um salto falso quando alguém faz um traceroute em seu endereço IP. Ele tem dois endereços IP e uma interface (sem problemas, interfaces virtuais resolvem).Como devo proceder? Isso é possível?Eu tentei o encaminhamento do iptables, mas ele não apareceu em um traceroute.Ainda não tentei outros métodos (talvez algum tipo de ponte?)
Aqui está a rota atual mostrada no tracert: Pessoa fazendo traceroute -> 1.1.1.2
Aqui está o resultado do traceroute planejado: Pessoa fazendo traceroute -> 1.1.1.1 (salto falso) -> 1.1.1.2
Atualizar:Adicionada alguma formatação para esclarecer que não é um problema xy. Estou absolutamente aberto a qualquer solução, não apenas ao iptables (seja uma solução adequada ou um hack sujo)
Editar: está em apenas um host (Linux). Eu também quero fazer isso. Não precisa ser nada sofisticado. 1.1.1.1 só precisa aparecer em um traceroute.
Minha tentativa – não necessariamente a abordagem correta
Atualização: tentei devolver o pacote de 1.1.1.2 para 1.1.1.1, depois deturpá-lo para diminuir o TTL e encaminhá-lo para 1.1.1.2 (Postrouting -j SNAT --to 1.1.1.1).
Editar: aqui estão as regras que tentei, informações confidenciais removidas:
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*nat
:PREROUTING ACCEPT [8:760]
:INPUT ACCEPT [8:760]
:OUTPUT ACCEPT [1:104]
:POSTROUTING ACCEPT [1:104]
-A POSTROUTING -p icmp -m icmp --icmp-type 8 -j SNAT --to-source 1.1.1.1
COMMIT
# Completed on Mon May 18 15:13:18 2015
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*mangle
:PREROUTING ACCEPT [763:151106]
:INPUT ACCEPT [763:151106]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [299:39396]
:POSTROUTING ACCEPT [299:39396]
-A FORWARD -i eth0 -o eth0:0 -p icmp -m icmp --icmp-type 8 -j TTL --ttl-dec 1
COMMIT
# Completed on Mon May 18 15:13:18 2015
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*filter
:INPUT ACCEPT [839:179066]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [303:40704]
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33523 -j ACCEPT
-A FORWARD -d 1.1.1.1/32 -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Mon May 18 15:13:18 2015
Responder1
Em teoria, o seguinte deve funcionar e alcançar o que você procura.
- crie uma nova interface virtual no servidor em questão e atribua-lhe um endereço IP,http://linuxconfig.org/configurando-virtual-network-interfaces-in-linux
- definir o endereço IP/interface de origem para que aponte para a nova interface virtual que foi criada no conjunto anterior alterando a tabela de roteamento (na verdade, ele se torna um novo roteador/gateway entre a origem e o destino),http://linux-ip.net/html/basic-change.html
Responder2
Ok, então a única maneira que consigo pensar é fazer isso no host que inicia a solicitação. Você pode adicionar a interface adicional e vinculá-la a um adaptador e adicionar rotas para que ela flua por essa interface. A principal razão para isso é que quando o switch encontrar o endereço MAC vinculado ao IP 1.1.1.2, seu rastreamento será encerrado.
Caso não queira alterar o host solicitante para isso, você precisará fazer alterações na rede, como modificar o roteador para imitar o salto adicional.