Com o utilitário iptables no host Linux, é necessário criar um mini firewall. Eu preciso soltar todas as conexões de entrada com comprimento de pacote maior que 722 E TTL maior que 22. Precisa exatamente de AND. Largue apenas se ambas as condições forem VERDADEIRAS.
sudo iptables -N LOGDROP
sudo iptables -A OUTPUT -m ttl --ttl-gt 22 -j LOGDROP
sudo iptables -A INPUT -m ttl --ttl-gt 22 -j LOGDROP
sudo iptables -A LOGDROP -m length --length 722:65535 -j DROP
Endereço IP do host é 10.6.7.9 com firewall.
Eu fiz 4 testes deste host, tentando fazer ping em outro host:
ping -s 10000 -t 250 10.6.7.10 //fail (TTL AND LENGHT are wrong)
ping -s 100 -t 200 10.6.7.10 //success (TTL is wrong)
ping -s 10 -t 10 10.6.7.10 //success (Both are right)
ping -s 10000 -t 10 10.6.7.10 // fail, BUT SHOULD BE TRUE.
Por que o último ping não funciona e como corrigi-lo?
Se as duas condições devem ser verdadeiras ao mesmo tempo, você deve construir as condições como:
sudo iptables -A OUTPUT -m ttl --ttl-gt 22 -m length --length 722:65535 -j DROP
sudo iptables -A INPUT -m ttl --ttl-gt 22 -m length --length 722:65535 -j DROP
Tags networking iptables linux