Как разрешить traceroute c помощью iptables

Недавно, выяснил, что для работы таких утилит как traceroute и tracepath, недостаточно разрешенного ipmp.

Т.е. в ситуации когда вы сидите за линуксовым шлюзом, на котором все “ненужные” адреса, порты и протоколы закрыты, разрешения натить icmp от пользователя в инет не достаточно, что бы работали трассировщики.

Оказывается, что для трассировки используется не только icmp, но и UDP. Т.е. что бы разрешить пользователям трассировать маршрут, нужно сделать что-то вроде

iptables -A FORWARD -i eth0 -p udp -m udp --dport 33434:33523 -j ACCEPT

Т.е. для трассировки требуется пропускать UDP пакеты на порты с 33434 по 33523.

 

 

Добавить комментарий

Войти с помощью: