Клиент хочет добавить фальшивый переход, когда кто-то делает traceroute на его IP-адресе. У него два IP-адреса и один интерфейс (нет проблем, виртуальные интерфейсы решают эту проблему).Как мне поступить? Возможно ли это вообще?Я попробовал переадресацию iptables, но она не отображается в трассировке.Хотя я не пробовал другие методы (может быть, какое-то перекрытие?)
Вот текущий маршрут, показанный в tracert: Человек, выполняющий traceroute -> 1.1.1.2
Вот запланированный результат трассировки: Человек, выполняющий трассировку -> 1.1.1.1 (поддельный переход) -> 1.1.1.2
Обновлять:Добавил немного форматирования, чтобы прояснить, что это не проблема xy. Я абсолютно открыт для любого решения, не только iptables (будь то правильное или грязный хак)
Редактировать: Он только на одном хосте (Linux). Я тоже хочу это сделать. Это не должно быть чем-то замысловатым. 1.1.1.1 просто должен отображаться в traceroute.
Моя попытка - Не обязательно правильный подход
Обновление: я попробовал перенаправить пакет с 1.1.1.2 на 1.1.1.1, затем исказить его, чтобы уменьшить TTL, а затем переслать его на 1.1.1.2 (Postrouting -j SNAT --to 1.1.1.1).
Редактировать: Вот правила, которые я опробовал, конфиденциальная информация удалена:
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*nat
:PREROUTING ACCEPT [8:760]
:INPUT ACCEPT [8:760]
:OUTPUT ACCEPT [1:104]
:POSTROUTING ACCEPT [1:104]
-A POSTROUTING -p icmp -m icmp --icmp-type 8 -j SNAT --to-source 1.1.1.1
COMMIT
# Completed on Mon May 18 15:13:18 2015
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*mangle
:PREROUTING ACCEPT [763:151106]
:INPUT ACCEPT [763:151106]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [299:39396]
:POSTROUTING ACCEPT [299:39396]
-A FORWARD -i eth0 -o eth0:0 -p icmp -m icmp --icmp-type 8 -j TTL --ttl-dec 1
COMMIT
# Completed on Mon May 18 15:13:18 2015
# Generated by iptables-save v1.4.21 on Mon May 18 15:13:18 2015
*filter
:INPUT ACCEPT [839:179066]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [303:40704]
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33523 -j ACCEPT
-A FORWARD -d 1.1.1.1/32 -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Mon May 18 15:13:18 2015
решение1
Теоретически, следующее должно сработать и привести к желаемому результату.
- создайте новый виртуальный интерфейс на соответствующем сервере и назначьте ему IP-адрес,http://linuxconfig.org/настройка-виртуальных-сетевых-интерфейсов-в-linux
- установить исходный IP-адрес/интерфейс так, чтобы он указывал на новый виртуальный интерфейс, созданный в предыдущем наборе путем изменения таблицы маршрутизации (по сути, он становится новым маршрутизатором/шлюзом между источником и целью),http://linux-ip.net/html/basic-changing.html
решение2
Хорошо, единственный способ, который я могу придумать, — это сделать это на хосте, инициирующем запрос. Вы можете добавить туда дополнительный интерфейс, связать его с адаптером и добавить маршруты, чтобы он проходил через этот интерфейс. Основная причина этого в том, что когда коммутатор обнаружит MAC-адрес, привязанный к IP 1.1.1.2, ваша трассировка закончится.
Если вы не хотите менять запрашивающий хост, вам придется внести сетевые изменения, например, изменить маршрутизатор, имитирующий дополнительный переход.