Gå til innhold

Mulig å sperre for router?


Anbefalte innlegg

Videoannonse
Annonse

 

Er jo det jeg har prøvd å si hele tiden, sjurtf... Det spiller ingen rolle hvilken TTL verdi man pinger med, så lenge den er lik eller større enn antall hopp til målvert... Og TTL verdien man får tilbake, er heller (nødvendigvis) ikke differansen mellom antall hopp og 255..

 

Ping mot vg.no (8 hopp - TTL = 64) - varierer mellom 247 og 248 tilbake

Ping mot db.no (7 hopp - TTL = 64) - gir 249 tilbake

Ping mot sol.no (10 hopp TTL = 64) - gir 55 tilbake

 

Og som jeg også har poengtert, å skulle sette TTL begrensning på trafikk som skal ut på Internett, vil bare sørge for at man garantert ikke får kontakt med en eneste server på utsiden av nettverket man sitter på...

 

Så dette er ikke TTL begrensning, men enten feil med routeren, brukerfeil av TS eller noe annet i den duren....

Igjen viser du at du ikke har forstått hvordan denne sperren fungerer.

 

Det handler ikke om å sette en TTL begrensning, eller forhindre at man ikke kan nå alt som finnes på internett. Det handler om å inspisere TTL feltet i IPheaderen på det ingående interfacet på en ruter på lik linje med å inspisere dest address feltet i IPHeaderen, og basert på dette gjøre et valg.

 

 

Så forklar skikkelig hvordan du tenker da! For vi ser tydeligvis heeeeelt forskjellig på det.....

 

 

 

Som sagt ChrisCo, det funker ikke å dette opp router i noen annen hybel. Alle som har WIFI bruker AP eller router i AP-mode.

 

Kan du ikke da, N'te gang, ta noen screenshots av oppsettet ditt og legge ut her? Samt eventuell logg i routeren? Og svare på hvilket interface på routeren du kobler kabelen til...

Endret av ChrisCo
Lenke til kommentar

 

Hmm..

 

Kan du prøve med "-i 3" - for å verifisere at det fungerer å ha -i etter host.

Ellers så resultatene dine her ut som om det ikke er noe form for acl på ttl.

 

For sikkerhetsskyld:

Du tester nå i samme nettverksport hvor det tidligere ikke fungerte når du satt en ruter i?

 

post-280604-0-55748300-1410270847_thumb.png

 

Ja, bruker akkurat samme port som jeg alltid har gjort. Har bare en port på hybelen som det er nett i.

Lenke til kommentar

Fra resultatene vi ser fra TS, så antar jeg at ISP ikke filtrerer ICMP meldinger, slik at testene TS gjør går gjennom.

 

Fra IOS (cisco firmware) spesifikasjonen kan man definere protokoller man filtrerer på. ISP er nok smart nok til å slippe gjennom ICMP slik at man ikke kan gjøre som vi nå :tease:

 

Dette gjør det litt mer omstedig og teste, siden vi må sende testpakker med UDP eller TCP.

hping er et fint verktøy som kan benyttes - http://www.hping.org/.

Problemet her at ikke nødvendigvis en random host på andre siden vil svare.

Derfor blir kanskje beste testen å endre på maskinen - windows registeret.

 

 

ChrisCo, du er klar over at ISP sine rutere må lese av destination IP feltet på hver eneste IP pakke den får? Det er ikke vanskelig og få ruteren til og også se på TTL feltet i samme pakke.

 

Det fremstår i denne tråden som om du ikke har CCNA - hvis du har denne sertifiseringen bør du klare og forstå denne siden som jeg tidligere har lenket deg: http://www.cisco.com/c/en/us/td/docs/ios/12_4t/12_4t2/htaclttl.html men som du åpenbart har ignorert.

 

Her ser du hvordan man kan filtrere på TTL feltet. Skal også tilate meg å sitere fra siden:

"Filtering on TTL provides a way to control which packets are allowed to reach the router or prevented from reaching the router. By looking at your network layout, you can choose whether to accept or deny packets from a certain router based on how many hops away it is."

Endret av sjurtf
  • Liker 3
Lenke til kommentar

Jeg gidder ikke å bruke mere energi på deg i denne tråden! Du har tydeligvis ikke peil på hva du prater om denne sammenhengen, og i motsetting til deg, så har jeg faktisk nettverkskompentanse!

 

Jeg sa i fra tidligere at det ikke er noe vits å fortsette dette før TS har fått seg en router, og kan verifisere at oppsettet sitt er korrekt...

 

Og hvis det skulle vise seg at jeg tar feil, så skal jeg innrømme det med en gang og beklage at jeg har misforstått!

Lenke til kommentar
Gjest Bruker-182691

Det har jo vist seg at du tar feil;

 

"Filtering on TTL provides a way to control which packets are allowed to reach the router or prevented from reaching the router. By looking at your network layout, you can choose whether to accept or deny packets from a certain router based on how many hops away it is."

Lenke til kommentar

Det har jo vist seg at du tar feil;

 

Han har ikke feil - du siterte jo at han HAR rett.

Om det er filtrert på TTL eller ikke for Heika98 er ikke konkludert ennå, samt hvis de ikke har filtrert på dette, så har de mest sannsynligvis filtrert på en eller annen måte hvis det stemmer som Heika98 sier - at dette gjelder alle der. Da er det mest sannsynlig ikke konfigfeil av bruker, men filtrering. Som han også sier it-ansvarlig har sagt.

Lenke til kommentar

 

Det har jo vist seg at du tar feil;

 

Han har ikke feil - du siterte jo at han HAR rett.

Om det er filtrert på TTL eller ikke for Heika98 er ikke konkludert ennå, samt hvis de ikke har filtrert på dette, så har de mest sannsynligvis filtrert på en eller annen måte hvis det stemmer som Heika98 sier - at dette gjelder alle der. Da er det mest sannsynlig ikke konfigfeil av bruker, men filtrering. Som han også sier it-ansvarlig har sagt.

 

 

Det er jo det jeg sier. Her roper og skriker dere om brukerfeil og at jeg er noob når hele systemet skal være satt opp til å "hindre" bruk av egen router for å holde hastigheten oppe, men ærlig talt, 300 mb/s er vel litt å overdrive? Man trenger ikke så raskt (selv om det er deilig å med lynraskt nett). Men som sagt, de bruker en filtreringsløsning som ikke hindrer oss i å bruke AP.

 

Da har vi fått avklart den delen av saken. Nå kan vi prøve å finne ut hvordan de "filtrerer" og finne en måte å komme rundt "sperra". Bare skriv hva jeg skal gjøre så skal jeg få testet det ut så fort som mulig.

Lenke til kommentar
  • 1 måned senere...

Kom du noe videre i vårt lille prosjekt? :)

 

Ja, det viser seg at p.g.a. misforståelser og feil bruk av begrep har vi vært helt på bærtur. Når han IT-duden sa at det ikke får ant å route sitt eget nett tenkte han på AP fordi AP henter en IP fra routern for hver enhet som er koblet til AP'en. Routern til skolen er satt til å kun gi ut en IP på hver port. Derfor går det ant å bruke en router fordi den deler ut IP'er selv og henter bare en IP fra routern på skolen. Når han kompisen sa at han brukte routern sin i AP mode tenkte jeg AP, men det er han som sa feil. Den Netgear routern jeg først kjøpte som jeg ikke fikk til å funke og flere påsto at det var brukerfeil som hadde skylden var det en software feil på. Når jeg har brukt PC-en i AP mode så funker den ikke helt som AP, fordi den henter bare en IP fra routern og deler ut IP'er selv, så det blir mer rett å kalle det router-mode.

Lenke til kommentar

Routern til skolen er satt til å kun gi ut en IP på hver port.

 

Å si kun port blir det lett missforståelser av :)

 

Nettleser bruker f.eks port 80 +

Ftp port 21 ++

World of warcraft port 3724 ++

osv ...

 

Hva var det jeg sa.... :ph34r:

Nå er denne tråden for om det er mulig å sperre for å koble på en router og da er forslaget på TTL foreslått. Kan ikke se at du har kommet med info som avkrefter at dette er mulig. Personlig tror jeg det er mulig utifra info gitt i tråd.

 

At du fikk rett i forhold til Heika98 sin tråd er vel bare flaks, for utifra info gitt, så skulle ikke mange/alle der, ikke klare å koble til en router(foruten AP mode), tilsi at det er brukerfeil på alle. Så Heika98 feilinformerte og fikk svar utifra denne infoen. Tror du virkelig det er mange som ikke klarer å koble til en router å få den til å virke, men får det til med AP mode?

Endret av KarpeSkrotum
Lenke til kommentar

 

 

Nå er denne tråden for om det er mulig å sperre for å koble på en router og da er forslaget på TTL foreslått. Kan ikke se at du har kommet med info som avkrefter at dette er mulig. Personlig tror jeg det er mulig utifra info gitt i tråd.

 

Ja, det er mulig, det har jeg aldri sagt noe på.. Det jeg har sagt derimot, er at det ikke kan være en TTL-sperre på trafikk som er ment å skulle nå ut på nett... Den TTL verdien bør være så høy som mulig for å gi pakkene lengst mulig levetid.. Å skulle sette en TTL verdi på den trafikken så lavt som 3-5, vil bare sørge for at du aldri når målet, da levetiden vil løpe ut i kjernenettet til ISP, hvis ikke før....

 

 

 

At du fikk rett i forhold til Heika98 sin tråd er vel bare flaks, for utifra info gitt, så skulle ikke mange/alle der, ikke klare å koble til en router(foruten AP mode), tilsi at det er brukerfeil på alle. Så Heika98 feilinformerte og fikk svar utifra denne infoen. Tror du virkelig det er mange som ikke klarer å koble til en router å få den til å virke, men får det til med AP mode?

 

Nei, det er ikke flaks, men kunnskap, og logikk... Jeg har påstått brukerfeil og misforståelser stort sett hele veien, og jaggu hadde jeg rett... Det har jo TS selv innrømmet nå...

 

Konklusjonen er at det er ingen sperre på nettverket, hvertfall ikke TTL, og TS har feilinformert og misforstått, ikke jeg som har hatt flaks...

Lenke til kommentar

 

 

 

Nå er denne tråden for om det er mulig å sperre for å koble på en router og da er forslaget på TTL foreslått. Kan ikke se at du har kommet med info som avkrefter at dette er mulig. Personlig tror jeg det er mulig utifra info gitt i tråd.

 

Ja, det er mulig, det har jeg aldri sagt noe på.. Det jeg har sagt derimot, er at det ikke kan være en TTL-sperre på trafikk som er ment å skulle nå ut på nett... Den TTL verdien bør være så høy som mulig for å gi pakkene lengst mulig levetid.. Å skulle sette en TTL verdi på den trafikken så lavt som 3-5, vil bare sørge for at du aldri når målet, da levetiden vil løpe ut i kjernenettet til ISP, hvis ikke før....

 

 

 

 

Her viser du bare at du fortsatt ikke har forstått hvordan ACL fungerer, og sier det ikke lar seg gjøre å sperre ved bruk av TTL feltet - uten at du beviser noe som helst.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...