我试图阻止 Cisco 2911 路由器的 IP 地址出现在入站跟踪路由中。我已经配置了这条线:
no ip unreachables
在面向 Internet 的接口上,虽然当目标是路由器本身时,这成功地阻止了对跟踪路由探测的响应,但它不会阻止路由器出现在路由器后面的主机的跟踪路由中。我希望防止路由器不仅出现在典型的标准 ICMP 跟踪路由中,而且还出现在“tcptraceroute”和任何其他可以完全跟踪到网络和目的地的路由中。
我隐约知道某种访问列表配置,其中一个会阻止 ICMP 无法访问(和其他),然后将其应用于接口,可能会添加受信任的主机作为例外。如果这确实是这样做的方式,我将如何配置我的思科?
有没有人实现过类似的东西,如果有,怎么做?如果没有,你会如何建议这样做?
您不会阻止由路由器发送的 icmp 不可达数据,而是由 traceroute 或其他工具发送的入站数据包,其 TTL(生存时间)为 1。请参阅例如Cisco Guide to Harden Cisco IOS Devices -查找“过滤 TTL 值”部分
编辑:更正的网址
编辑:请注意,在该 Cisco 文档中,该示例过滤了 TTL < 6 的所有内容。这样,您还可以防止网络中接下来的 4 个跃点出现在跟踪路由中,而无需向这些路由器添加 ACL(假设所有流量通过您正在配置的路由器)。另请注意,数字 6 只是一个任意示例,您应该使用基于网络直径的值(数据包可能在网络中遍历的最大跳数)。这样做的另一个好处是 traceroute 仍然可以在您的网络中工作。
编辑:请注意,正如 Brendan 在评论中指出的那样,BGP、IGMP 等某些协议可能会要求您在 ACL 中进行豁免,因为它们使用低 TTL 值。
您需要阻止 ICMP“超时”消息,以防止路由器出现在 traceroute 输出中。