Скрыть присутствие NAT от провайдера

[pterodaktil]

Преамбула
По неофициальной информации от сотрудников провайдера пров решил денежек поднять в кризис. И хочет ввести оплату за каждый комп в домашней сети (точнее по тарифам для юр. лиц, а это совсем дурные деньги). Юридические вопросы отложим в сторону. Суд конечно охладит его пыл (договор то не предусматривает блокировку NAT). Но в этом случае пров может ухудшить  качество линии. И доказачть что он что-то мухоморит сложновато.
Амбула.
Задумался я над вопросом как не дать гадам увидеть NAT?
Я вижу 3 критерия по которым можно отловить трансляцию адресов:
1.TTL Это лечится элементарно  (iptables -t mangle -A PREROUTING - i <имя интерфейса> -j TTL ttl-set 64) И с точки зрения провайдера я просто сижу под линухом.
2. Идентификатора IP пакета. Если видны несколько потоков с разными последовательностями  идентификации, то понятно что реально  пасется несколько машин.
3. По служебной инфе браузеров/ клиентов аськи и т.п.
Для винды есть такое решение, но на кой ляд нам эта бяка
Если есть еще идеи как можно обнаружить/ скрыть NAT прошу поделиться

[Unreg]

TTL?
netfilter вроде умеет фиксить

[mazzo]

а если использовать для браузеров\аськи проксю? не поможет ? (извиняюсь если предложение идиотское).
а вот для правила TTL вопрос - точно ли так оно должно выглядеть? я вот как раз начал читать про iptables, и  в моем понимании оно должно выглядеть так - iptables -t mangle -A POSTROUTING -o <имя интерфейса> -j TTL ttl-set 64(128,под дурака косить), или мне стоит перечитать статью про iptables?

[pterodaktil]

Браузеры, аськи скрыть можно, но еще куча сервисов ломятся в инет -  апдейты (дома есть win ни nix машины), да и в теле IP пакета приложения кладут свою инфу. Вижу только метод использования внешнего прокси.
По TTL - http://www.opennet.ru/docs/RUS/iptables/ (разел 6.5.14. Действие TTL)
ЗЫ Информация о введении  тарифов на квартирные сети не подтверждается (пока) так что спим спокойно.

[mazzo]

сори что про iptables этот вопрос сюда, но здесь про TTL.....
что делает правило iptables -t mangle -A PREROUTING - i <имя интерфейса> -j TTL ttl-set 64? меняет значение TTL на входе в сеть ? а зачем?...мне нужно наверно поменять значение TTL по выходу пакета из сети? к примеру интерфейс для инета eth0, пишу правило
iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 128 и пингуя эту машину я получаю значения в ответах пинга равным 128.....или мне искать стенку и разбегаться?
Пользователь решил продолжить мысль 17 Августа 2009, 14:37:13:вообще "на пальцах" как должно это выглядеть? пакеты из локальной сети через шлюз должны выходить в интернет ,ессна с интерфейса глядящего в инет, с определенным значением TTL для всех клиентов , будь то вин или линь? т.е к примеру чтобы у всех было TTL 64?

[Unreg]

Браузеры, аськи скрыть можно, но еще куча сервисов ломятся в инет -  апдейты (дома есть win ни nix машины), да и в теле IP пакета приложения кладут свою инфу. Вижу только метод использования внешнего прокси.
По TTL - http://www.opennet.ru/docs/RUS/iptables/ (разел 6.5.14. Действие TTL)
ЗЫ Информация о введении  тарифов на квартирные сети не подтверждается (пока) так что спим спокойно.

там и читал

[pterodaktil]

вообще "на пальцах" как должно это выглядеть? пакеты из локальной сети через шлюз должны выходить в интернет ,ессна с интерфейса глядящего в инет, с определенным значением TTL для всех клиентов , будь то вин или линь? т.е к примеру чтобы у всех было TTL 64?

Да.
Кажется  вы правы, малость лопухнулся...
iptables -t mangle -A POSTROUTING -o <интерфейс, смотрящий во внешнюю сеть> -j TTL --ttl-set <значение>

[mazzo]

никак не могу понять , в том документе как раз написано правило именно так как вы написали.....
6.5.14. Действие TTL

Действие TTL используется для изменения содержимого поля Time To Live в IP заголовке. Один из вариантов применения этого действия - это устанавливать значение поля Time To Live ВО ВСЕХ исходящих пакетах в одно и то же значение. Для чего это?! Есть некоторые провайдеры, которые очень не любят, когда одним подключением пользуется несколько компьютеров, если мы начинаем устанавливать на все пакеты одно и то же значение TTL, то тем самым мы лишаем провайдера одного из критериев определения того, что подключение к Интернету разделяется несколькими компьютерами. Для примера можно привести число TTL = 64, которое является стандартным для ядра Linux.

За дополнительной информацией по установке значения по-умолчанию обращайтесь к ip-sysctl.txt, который вы найдете в приложении Ссылки на другие ресурсы.

Действие TTL можно указывать только в таблице mangle и нигде больше. Для данного действия предусмотрено 3 ключа, описываемых ниже.

Таблица 6-24. Действие TTL
Ключ    --ttl-set
Пример    iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
Описание    Устанавливает поле TTL в заданное значение. Оптимальным считается значение около 64. Это не слишком много, но и не слишком мало Не задавайте слишком большое значение, это может иметь неприятные последствия для вашей сети. Представьте себе, что пакет "зацикливается" между двумя неправильно сконфигурированными роутерами, тогда, при больших значениях TTL, есть риск "потерять" значительную долю пропускной способности канала.

может кто-нибудь разъяснить, зачем в PREROUTING менять TTL?
Пользователь решил продолжить мысль 18 Августа 2009, 13:15:15:up!
Пользователь решил продолжить мысль 18 Августа 2009, 16:48:53:что то не апиться тема

[Unreg]

ну не up, так я upну
http://forum.ixbt.com/topic.cgi?id=14:34550
Пользователь решил продолжить мысль 18 Августа 2009, 15:27:49:http://www.opennet.ru/base/net/nat_detect.txt.html
Пользователь решил продолжить мысль 18 Августа 2009, 17:34:36:так вот борются
http://forum.nag.ru/forum/index.php?showtopic=35167&hl=iptables

[mazzo]

спасибо тебе,добрый человек за АП)
Пользователь решил продолжить мысль 18 Августа 2009, 17:43:58:и за ссылки спасибо

[Unreg]

главное up не бестолково, а с делом
ещё бы тут up сделать, а то мозг горит уже
https://forum.ubuntu.ru/index.php?topic=65056