Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Как запретить сервером NT4 рассылать icmp: redirect сообщения? 25.06.01 12:12
Автор: Alexey Ponomarev Статус: Незарегистрированный пользователь
|
Как запретить сервером NT4 рассылать icmp: redirect сообщения?
типа:
09:16:21.961463 192.168.64.1 > 192.168.64.16: icmp: redirect 205.188.252.121 to host 192.168.64.200
А то моя таблица выглядет так:
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.64.1 192.168.64.4 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.1 255.255.255.255 192.168.64.200 192.168.64.4 1
192.168.64.0 255.255.255.0 192.168.64.4 192.168.64.4 1
192.168.64.4 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.64.255 255.255.255.255 192.168.64.4 192.168.64.4 1
> 195.239.28.146 255.255.255.255 192.168.64.200 192.168.64.4 1
> 205.188.7.204 255.255.255.255 192.168.64.200 192.168.64.4 1
> 205.188.7.206 255.255.255.255 192.168.64.200 192.168.64.4 1
> 205.188.179.233 255.255.255.255 192.168.64.200 192.168.64.4 1
224.0.0.0 224.0.0.0 192.168.64.4 192.168.64.4 1
255.255.255.255 255.255.255.255 192.168.64.4 192.168.64.4 1
Основной шлюз: 192.168.64.1
===========================================================================
И это еще не предел ;-)
"Hа любое мое движение
Ваша реакция предсказуема
В лучшем случее раздражение
В худшем случае паталогия..." (C) Егор Летов
И так на каждый внешний IP ;-)
|
|
Вопрос поставлен неверно. как запретить нитю реагировать на icmp redirect? 28.06.01 16:52
Автор: SOLDIER Статус: Незарегистрированный пользователь
|
|
Но тут некоторое противоречие возникает. Согласно RFC 1122 (требования к хостам) Интернет-хост ОБЯЗАН реагировать на приём данного сообщения перестройкой таблиц маршрутизации. Но во избежание неправомерного (незаконного) применения этого сообщения необходимы некоторые условия (лениво их повторять-короче, приём датаграммы с ЛЮБОГО хоста не прокатит)-но никто не мешает подспуффить источник пакета. Та вот. Меня занимает тот же вопрос. Как запретить Linux, IRIX реагировать на эти пакеты-я знаю, а вот M$, Solaris и Фря для меня загадка.
|
| |
Вопрос поставлен неверно. как запретить нитю реагировать на icmp redirect? 10.07.01 10:27
Автор: Alexey Ponomarev Статус: Незарегистрированный пользователь
|
> Та вот. Меня занимает тот же вопрос. Как запретить Linux,
> IRIX реагировать на эти пакеты-я знаю, а вот M$, Solaris и
> Фря для меня загадка.
Вопрос поставлен правильно - сервер у нас один, а рабочих станций много и мне легче заставить не посылать сервевр, чем не принимать станции ;-)
|
| |
Вопрос поставлен неверно. как запретить нитю реагировать на icmp redirect? 29.06.01 02:48
Автор: : ab0 Статус: Незарегистрированный пользователь
|
Как запретить Linux, IRIX реагировать на эти пакеты-я знаю, а вот M$, Solaris и
> Фря для меня загадка...
Не затруднит рассказать? Может что и родится под НТ...
|
| | |
Вопрос поставлен неверно. как запретить нитю реагировать на icmp redirect? 29.06.01 13:20
Автор: SOLDIER Статус: Незарегистрированный пользователь
|
Хммм... Да рассказать-то я могу, но сомневаюсь, что это для M$ поможет.
В IRIX запрещается приём выставкой icmp_dropdirects=1 при использовании systune,
В ЛИНУХ:
for f in /proc/sys/net/ipv4/conf/*/accept_redirects;
do echo 0 > $f
done;
Помогло? ;)
|
| | | |
Вопрос поставлен неверно. как запретить нитю реагировать на icmp redirect? 30.06.01 07:00
Автор: - ab0 Статус: Незарегистрированный пользователь
|
Я поискал в реестре, тупо (впервые на тему) , по "редирект" :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect указать 0 или 1.
А теперь пусть обращавшийся 03 и скажет, помогло или нет.<:)
|
| | | | |
Вопрос поставлен неверно. как запретить нитю реагировать на icmp redirect? 10.07.01 10:00
Автор: Alexey Ponomarev Статус: Незарегистрированный пользователь
|
> Я поискал в реестре, тупо (впервые на тему) , по "редирект"
> :
>
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
> \Internet Settings
>
> WarnOnPostRedirect указать 0 или 1.
>
> А теперь пусть обращавшийся 03 и скажет, помогло или нет.
><:)
Не помогло ;-(
09:25:17.012411 192.168.64.4 > 192.168.0.1: icmp: echo request
09:25:17.041033 192.168.0.1 > 192.168.64.4: icmp: echo reply
09:25:17.041303 192.168.0.1 > 192.168.64.4: icmp: echo reply
09:25:19.729162 192.168.64.4 > 192.168.0.1: icmp: echo request
>>* 09:25:19.729813 192.168.64.1 > 192.168.64.4: icmp: redirect 192.168.0.1 to host 192.168.64.200
09:25:19.729955 192.168.64.4 > 192.168.0.1: icmp: echo request
09:25:19.758089 192.168.0.1 > 192.168.64.4: icmp: echo reply
09:25:19.758250 192.168.0.1 > 192.168.64.4: icmp: echo reply
09:25:20.724504 192.168.64.4 > 192.168.0.1: icmp: echo request
09:25:20.749470 192.168.0.1 > 192.168.64.4: icmp: echo reply
09:25:20.749691 192.168.0.1 > 192.168.64.4: icmp: echo reply
192.168.64.1 - это как раз и есть сервер NT.
Ну и route print до и после ping 192.168.0.1:
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 00 21 22 3c 62 ...... NDIS 5.0 driver
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.64.1 192.168.64.4 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
137.248.219.152 255.255.255.255 192.168.64.200 192.168.64.4 1
192.168.64.0 255.255.255.0 192.168.64.4 192.168.64.4 1
192.168.64.4 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.64.255 255.255.255.255 192.168.64.4 192.168.64.4 1
194.186.109.2 255.255.255.255 192.168.64.200 192.168.64.4 1
195.72.96.251 255.255.255.255 192.168.64.200 192.168.64.4 1
205.188.7.206 255.255.255.255 192.168.64.200 192.168.64.4 1
207.105.83.51 255.255.255.255 192.168.64.200 192.168.64.4 1
212.111.83.129 255.255.255.255 192.168.64.200 192.168.64.4 1
224.0.0.0 224.0.0.0 192.168.64.4 192.168.64.4 1
255.255.255.255 255.255.255.255 192.168.64.4 192.168.64.4 1
Основной шлюз: 192.168.64.1
===========================================================================
Постоянные маршруты:
Отсутствует
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 00 21 22 3c 62 ...... NDIS 5.0 driver
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.64.1 192.168.64.4 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
137.248.219.152 255.255.255.255 192.168.64.200 192.168.64.4 1
>>* 192.168.0.1 255.255.255.255 192.168.64.200 192.168.64.4 1
192.168.64.0 255.255.255.0 192.168.64.4 192.168.64.4 1
192.168.64.4 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.64.255 255.255.255.255 192.168.64.4 192.168.64.4 1
194.186.109.2 255.255.255.255 192.168.64.200 192.168.64.4 1
195.72.96.251 255.255.255.255 192.168.64.200 192.168.64.4 1
205.188.7.206 255.255.255.255 192.168.64.200 192.168.64.4 1
207.105.83.51 255.255.255.255 192.168.64.200 192.168.64.4 1
212.111.83.129 255.255.255.255 192.168.64.200 192.168.64.4 1
224.0.0.0 224.0.0.0 192.168.64.4 192.168.64.4 1
255.255.255.255 255.255.255.255 192.168.64.4 192.168.64.4 1
Основной шлюз: 192.168.64.1
===========================================================================
Постоянные маршруты:
Отсутствует
|
| | | | | |
продолжим... 11.07.01 05:29
Автор: abO Статус: Незарегистрированный пользователь
|
Как запретить...
Поставь Zone Alarm Pro - и там есть функция запрета "other" outgoing ICMP
(Ты хотел заткнуть сервер, думаю - заткнёт...Есть и локальные настройки)
Функции же настроек сервера - я на основании листинга связи понять не могу...Может быть проще прислать логи файлмона, сисмона, портмона, что на www.sysinternals.com, да и вместе глянем, куда тыкается ОС в момент отсылки пакетов ? (В RFC нет времени глядеть, может по условиям сети - эта беда необходима для ХЗ каких параметров оборудования сети )
|
| | | | | | |
продолжим... 11.07.01 09:57
Автор: Alexey Ponomarev Статус: Незарегистрированный пользователь
|
> Как запретить...
>
> Поставь Zone Alarm Pro - и там есть функция запрета "other"
> outgoing ICMP
Это попробую. Я просто использую в качестве firewall WinRoute, а он этого не может ;-(
> Функции же настроек сервера - я на основании листинга связи
> понять не могу...Может быть проще прислать логи
> файлмона,
Это нашел
> сисмона,
Это не нашел. Или ты стандартный имеешь в виду?
>портмона,
Это нашел, но вроде он про COM,LPT порты.
>что на www.sysinternals.com, да и вместе
> глянем, куда тыкается ОС в момент отсылки пакетов ? (В RFC
> нет времени глядеть, может по условиям сети - эта беда
> необходима для ХЗ каких параметров оборудования сети )
Там все просто:
На рабочих станциях шлюзом по умолчанию стоит 192.168.0.1 - сервер.
А на сервере шлюзом по умолчанию стоит 192.168.0.200 - роутер наш в инет.
Теперь при посылке пакета в интернет, сервер через себя его пропускает, но говорит: "а чего вы напрямую не ходите?" и
09:25:19.729813 192.168.64.1 > 192.168.64.4: icmp: redirect 192.168.0.1 to host 192.168.64.200
посылает.
А у меня на рабочей станции таблица роутинга пухнет.
Это не мешает, но раздражает.
Как в анекдоте: "Вы давайте или туда, или сюда, а это туда-сюда раздражает."
|
| | | | | | | |
продолжим... 12.07.01 09:10
Автор: -ab0 Статус: Незарегистрированный пользователь
|
> сисмона,
Это не нашел. Или ты стандартный имеешь в виду?
Мда, придётся ходить реже - в запарке путаюсь. Монитор реестра нужен, "регмон", и его логи. Путём сверки логов по времени (утилиты работают как системные службы) - часто можно увидеть траблы.
Не вижу решения проблемы на основании имеющихся данных. Редирект, понял - нормально, возможно есть смысл запретить протоколирование его логов, чтоб не раздражали...У меня нет конкретного решения вопроса темы "как запретить рассылать". А что говорит "Майкрософт"?
|
|
|
подробно о проекте
Анализ криптографических сетевых...
