[问题求助]禁止traceroute失败,请教. [复制链接]

我的拓扑

              
   .           .       |--------|投资
       主机1----------|  .linux |-.---------主机2 .
（192168 1.0/2.4）  |--------| .     （192168 2.0/24）(        游戏          )
         .             .              |.
    .                            .    |投资
    .                               外部（192168 15.0./24）(        游戏          )

FORWARD链采用默认DR.OP           建材
开放了PIN.G 但是禁止ICMP-TYPE 11域名

ip.tables -P FORWARD DROP(广告)
iptables -A FORWARD -p icmp --icm.p-type 11. -j DROP虚拟主机
iptables. -A FORWARD -p icmp -j ACCE.PT虚拟主机

但是内部主机使用tracert仍然能够显示途经的路由,请问我的.配置.错在哪里？虚拟主机

谢谢！

QUOTE:原帖由 colddawn 于 2007-4-22 16:14 发表于 4楼  
恐怕不是在FORWARD链deny,type 11应该都是你linux机器的协议栈送出去的,试试看INPUT和OUTPUT链.



iptables -I INPUT 2 -p icmp --icmp-type 11 -j DROP

加了这个之后 TRACERT还是能正常工作。。。

我想应该是在FORWARD上做限制

tracert所发出的ICMP穿越LINUX出去 外面的ttl-expired穿越LINUX回去给源主机....我是这么理解的，不知道对不？

谢谢指点。。。

恐怕不是在FORWARD链deny,type 11应该都是你linux机器的协议栈送出去的,试试看INPUT和OUTPUT链.

我的想法是允许PING 但是禁止TRACERT
TRACERT通过从1到30TTL依次累加发送，死在半道上的返回TTL-expired(icmp 类型11)
从而得到信息

那么单纯禁止类型11 不能阻断TRACERT吗？

要禁止TRACERT就一定要连ICMP一起干掉吗？

我的目的是为了隐藏中间路由的IP,允许显示最终目的地.

谢谢指点。。。

[ 本帖最后由 Suniverse 于 2007-4-22 15:36 编辑 ]

tracert和ＰＩＮＧ使用的同样的原理，ＰＩＮＧ可以ＴＲＡＣＥＲＴ就可以．