如何防止主机跟踪其 GW?

网络工程 思科 路由器 跟踪路由 思科-asr
2022-02-11 07:12:14

我想防止所有主机在执行 traceroute 时看到核心路由器,知道我正在使用 cisco 路由器,有什么想法吗?

2个回答

您可以创建 ACL 以拒绝 icmp 超时(拒绝 icmp 任何任何超时),并将其应用于接口。

编辑:要了解为什么您应该阻止超时,您可以享受阅读这篇非常详细的帖子

http://www.slashroot.in/how-does-traceroute-work-and-examples-using-traceroute-command

是的,要从 traceroute 输出中隐藏 Cisco 路由器本身,请创建拒绝超过时间的 ICMP 请求的扩展 ACL。

(config)# ip access-list extended 111
(config-ext-nacl)# deny icmp any host <IP_OF_ROUTER> time-exceeded log
(config-ext-nacl)# permit any any
(config-ext-nacl)# exit
(config)# interface <NAME>
(config-if)# ip access-group 111 in

所描述的配置仅从 traceroute 答案中隐藏此特定路由器的 IP 地址(而不是星号),所有下一个跃点仍然出现。为了防止这种情况,将第二行更改为:

(config-ext-nacl)# deny icmp any any time-exceeded log

然后来自主机的 traceroute 将无法完成,输出将显示很多带星号的行。