Как изменить ttl на роутере
Обновлено: 22.11.2024
Вт, 12 января 2021 г., 0:14
Я пытался настроить это на своем новом маршрутизаторе LHG LTE-US
Я использую Verizon и пробовал несколько вариантов
Любая помощь будет фантастической
Вт, 12 января 2021 г., 17:15
Кто-нибудь может помочь? Я работаю из дома, поэтому мобильный телефон со всей этой чушью, связанной с коронавирусом, был бы отличным подспорьем для психического здоровья моей семьи.
Вт, 12 января 2021 г., 17:18
Как насчет задать вопрос. Тема настолько расплывчата, и кроме этого, вы не говорите нам, что вы пытаетесь сделать или в чем вам нужна помощь.
RB4011iGS+, RB750Gr3, RB750r2, CRS326-24G-2S (в SwitchOS), CSS326-24G-2S, CSS106-5G-1S, RB260GS
Не знаю, победил ли я их в подчинении, или они победили меня в представление
Предупреждение: я знаю достаточно, чтобы быть опасным.
Вт, 12 января 2021 г., 17:19
Не могли бы вы поделиться конфигурацией (/export hide-sensitive file=anythingyoulike)?
Что вы пробовали, что пытаетесь сделать и с какими проблемами сталкиваетесь?
13 января 2021 г., 16:03
Сегодня я настрою его и порадуюсь этому отчету @erlinden
До сих пор я читал, но cZnt нашел окончательное решение для изменения TTL
Надеюсь, вы, эксперты, сможете направить меня в правильном направлении
13 января 2021 г., 17:46
Повторяю вопрос @k6ccc: чего вы хотите достичь или какую проблему пытаетесь решить? На этом форуме можно ответить на любой вопрос, касающийся настройки Mikrotik, но вы еще не задали четкого вопроса.
Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.
13 января 2021 г., 17:52
Попытка настроить параметры TTL в маршрутизаторе Mikrotik, чтобы обойти использование данных HOTSPOT, когда моя карта Verizon используется на тарелке
Поэтому я могу использовать неограниченное количество данных , как телефон, и не использовать данные точки доступа
Имеет ли это смысл?
13 января 2021 г., 18:02
Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.
13 января 2021 г., 18:12
13 января 2021 г., 18:23
Для управления TTL используется правило action=change-ttl в /ip firewall mangle.
Собственный трафик маршрутизатора должен уходить с TTL=255, но даже это может быть не всегда так, поэтому вам нужно правило mangle в цепочке postrouting, которое обрабатывает как собственный трафик маршрутизатора ( например, DNS) и переадресованный трафик из локальной сети.
/ip firewall mangle add chain=postrouting action=change-ttl new-ttl=set:255 ttl=больше-чем:200 out-interface=имя-вашего-lte-интерфейса р>
Чтобы это работало, вы не должны использовать fasttracking (поэтому отключите правило action=fasttrack-connection в /ip firewall filter, если оно есть), потому что одно Одна из причин, по которой ускоренное отслеживание ускоряет обработку пакетов, заключается в том, что оно пропускает правила изменения.
Если у вас уже есть какие-либо другие правила mangle в цепочке postrouting, сначала введите команду /ip firewall mangle print chain=postrouting where !dynamic, и только потом введите указанную выше команду с дополнительными параметрами passthrough=yes place-before=0.
Поможет это или нет — вопрос, так как мобильный оператор может также проверять IMEI оборудования, а не только TTL, и даже не принимать подключение к определенным диапазонам LTE на предмет «неправильных» IMEI.
Дополнительное условие (ttl=больше, чем:200) позволяет работать traceroute (вероятно, используя квоту данных точки доступа). Если вы никогда не собираетесь использовать traceroute, вы можете опустить это условие.
Часто ли вы сталкиваетесь с необходимостью доступа к Интернету с помощью модема на своем смартфоне 4G/LTE? Я уверен, потому что мой местный кабельный интернет-провайдер отстой. Однако, к сожалению, у операторов сотовой связи есть несколько хитростей, позволяющих обнаруживать (и потенциально блокировать вас) модем. В то время как более продвинутые методы, такие как сниффинг пользовательского агента и снятие отпечатков пальцев стека ОС TCP/IP, сложнее обойти, обнаружение TTL, похоже, используется гораздо шире, и его также намного легче обойти. В этой статье мы рассмотрим, как настроить модификацию TTL на маршрутизаторе на базе OpenWRT.
Все IP-пакеты содержат начальное значение времени жизни (TTL), которое уменьшается на единицу для каждого прыжка или маршрутизатора, через который он проходит, пока не достигнет пункта назначения.По определению пакеты отбрасываются, когда их TTL достигает нуля, чтобы предотвратить бесконечные петли маршрутизации. Когда привязка включена на смартфоне Android или Apple, дополнительный уровень NAT и, следовательно, маршрутизация уменьшает TTL исходящих пакетов через интерфейс привязки на 1. Поскольку TTL по умолчанию на Android и iOS равен 64, это тривиально для телефона. операторы, чтобы различать настоящий трафик на телефоне и привязанный трафик, проверяя значение TTL и равно ли оно 64. Например, в Windows значение TTL по умолчанию равно 128 (и, следовательно, 127 после маршрутизации через NAT привязки) - далеко от 64 и явное свидетельство того, что привязка происходит. Следовательно, чтобы замаскировать привязанный трафик, нам нужно установить единое значение TTL для всех исходящих привязанных пакетов. Принимая во внимание дополнительный переход, добавляемый интерфейсом привязки, и значение TTL 64 по умолчанию для большинства телефонов, это значение равно 64 + 1 = 65.
Приведенные ниже инструкции разработаны и протестированы на GL.iNet AR-300M16 под управлением OpenWRT 18.06.2.
Сценарий: стандартная маршрутизация с отдельными интерфейсами LAN и WAN (привязка)
- С помощью диспетчера пакетов OpenWRT через интерфейс командной строки LuCI или opkg установите пакет iptables-mod-ipopt.
- Перейдите в раздел Сеть → Брандмауэр → Пользовательские правила.
- Добавьте следующую строку: iptables -t mangle -I POSTROUTING -o usb0 -j TTL --ttl-set 65
- Нажмите «Перезапустить брандмауэр», чтобы сохранить изменения.
При необходимости измените usb0 на wlan0 (или любое другое имя интерфейса, соответствующее вашему интерфейсу привязки).
Сценарий: интерфейс Tether WAN соединен мостом с интерфейсом LAN, т. е. OpenWRT выступает в качестве прозрачного моста между USB и Ethernet для уже существующего маршрутизатора и сети
- С помощью диспетчера пакетов OpenWRT через интерфейс командной строки LuCI или opkg установите пакеты iptables-mod-ipopt и iptables-mod-physdev.
- Перейдите в раздел Сеть → Брандмауэр → Пользовательские правила.
- Добавьте следующую строку: iptables -t mangle -I POSTROUTING -m physdev --physdev-out usb0 -j TTL --ttl-set 65
- Подключение по SSH к устройству OpenWRT
- В /etc/sysctl.conf добавьте следующие строки: ол>
- Нажмите «Перезапустить брандмауэр», чтобы сохранить изменения.
При необходимости измените usb0 на wlan0 (или любое другое имя интерфейса, соответствующее вашему интерфейсу привязки).
Если все было настроено правильно, вы должны увидеть медленно увеличивающиеся счетчики трафика для вашего нового правила iptables в Статус → Брандмауэр.
Короче говоря, TTL — это поле в заголовке IP, в котором указывается, сколько маршрутизаторов может пройти пакет. Если у вас есть петля маршрутизации, а TTL не существует, то пакеты могут бесконечно зацикливаться. В чем проблема? Пакеты могут перемещаться между двумя маршрутизаторами практически без задержки. Поскольку пакет мчится по петле от маршрутизатора к маршрутизатору, он потребляет полосу пропускания и ресурсы ЦП… бесполезно!
Итак, вот моя тестовая установка:
Как будто смотришь на Давинчи
По мере того, как пакет проходит через маршрутизатор, пересылающий маршрутизатор считывает значение TTL пакета, вычитает из него единицу и затем пересылает его дальше. Если пакет имеет значение TTL, равное единице, когда он достигает маршрутизатора, он будет отброшен до того, как получит возможность переслать пакет. В Mikrotik значение TTL уменьшается в первую очередь в прямой цепочке.
Что показывает сообщение ping для пакета TTL с истекшим сроком действия.
Это нормальная операция, но у Mikrotik есть небольшая хитрость в переносе. Существует правило искажения, которое можно создать для настройки TTL на любое значение, которое вы хотите! Я подумал, как весело было бы создать петлю маршрутизации… так я и сделал. Вы можете быть удивлены тем, насколько неблагоприятно один пакет ICMP может повлиять на маршрутизатор в бесконечном цикле. (Извините за кричащих детей и случайный кошачий шум, хе-хе)
Скриншоты правил мангла для установки TTL равным 10:
Действие, которое я установил для изменения TTL. При увеличении/уменьшении будет использоваться указанное значение для настройки.
Вот версия кода:
/ip firewall mangle add action=change-ttl chain=prerouting comment="" disabled=no new-ttl=set:10 protocol=icmp
В чем преимущество ручной настройки TTL? Вы можете настроить TTL на более низкое значение, чтобы у определенного трафика не было возможности перемещаться дальше, чем вы хотите. Вы можете установить TTL для пакета равным 1, когда он выходит из маршрутизатора, чтобы за вашим оборудованием мог существовать только хост.
Я нашел несколько тем по этому вопросу, но не могу заставить его работать.когда я запускаю iptables -t mangle -vnL POSTROUTING, я получаю следующее.
Chain POSTROUTING (политика ACCEPT 12438 пакетов, 6106K байт)
pkts bytes target prot opt in out source destination
Спасибо за быстрый ответ. Я все еще чувствую, что мне не хватает какой-то другой базовой конфигурации. разве я не должен увидеть что-то после того, как команда будет принята для информации о пакете?
Еще одна информация. Я вхожу в маршрутизатор через беспроводную точку доступа с рабочего стола Win 10. у меня нет дополнительной конфигурации точки доступа, в настоящее время она работает в беспроводном режиме = точка доступа. Я видел сообщение, в котором указывалось, что мне может потребоваться изменить беспроводной режим, но в моем сценарии я не связываю маршрутизаторы. Я иду от рабочего стола - Wi-Fi - маршрутизатор - кабельный модем.
да, я добавил следующее и нажал "Сохранить брандмауэр" на вкладке "Команды".
iptables -t mangle -I PREROUTING -i `get_wanface` -j TTL --ttl-set 10
iptables -t mangle -I POSTROUTING -o `get_wanface` -j TTL --ttl-set 128< /p>
Затем я выполнил каждую команду через сеанс telnet. как только команда была выдана, я не получил подтверждения того, что она была выполнена.
Затем я выполнил следующую команду, чтобы посмотреть, увижу ли я какие-либо пакетные данные, но ничего не получил. как видите, там написано "ПРИНЯТЬ", но ниже этого ничего нет.
да, я добавил следующее и нажал "Сохранить брандмауэр" на вкладке "Команды".
iptables -t mangle -I PREROUTING -i `get_wanface` -j TTL --ttl-set 10
iptables -t mangle -I POSTROUTING -o `get_wanface` -j TTL --ttl-set 128< /p>
Затем я выполнил каждую команду через сеанс telnet. как только команда была выдана, я не получил подтверждения того, что она была выполнена.
Затем я выполнил следующую команду, чтобы посмотреть, увижу ли я какие-либо пакетные данные, но ничего не получил. как видите, там написано "ПРИНЯТЬ", но ниже этого ничего нет.
как видите, информация о пакете появляется после выполнения команды.
Я бы хотел использовать RTFM, но, похоже, нет четких указаний по этому поводу. Возможно, я неправильно понял, но я думал, что вы или кто-то другой указал использовать пользовательский интерфейс для копирования команд и сохранения их для брандмауэра, а также запускать их через telnet.
Я пытаюсь получить какое-то представление о том, что команды выполнены и работают, но пока ничего не вижу.
Очевидно, что нетворкинг не моя сильная сторона. Я знаю почти достаточно, чтобы быть опасным, но не совсем.
Итак, вот мой новый план. снова прошить прошивку до базовой загрузки WRT. Затем используйте пользовательский интерфейс только для сохранения следующей команды в брандмауэре.
iptables -t mangle -I POSTROUTING -o `get_wanface` -j TTL --ttl-set 128
а затем с помощью: iptables -vnL -t mangle вы должны увидеть:
Chain INPUT (политика ACCEPT 112K пакетов, 13M байт)
pkts bytes target prot opt in out source destination
Chain FORWARD (политика ACCEPT 1244K пакетов, 787M байт)
pkts bytes target prot opt in out source destination
58913 3291K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS привязывает к PMTU
Chain OUTPUT (политика ACCEPT 99677 пакетов, 15M байт)
pkts bytes target prot opt in out source destination
Читайте также: